iT邦幫忙

2021 iThome 鐵人賽

DAY 13
0
Security

作業抄起來!資通安全管理法什麼的系列 第 13

端點安全防護 - 防毒軟體與軟體防火牆

適用人員: 技術人員。
適用法規: 資通安全責任等級分級辦法

技術面分類提要

  • 網路架構
  • 端點安全防護
    • 防毒軟體與軟體防火牆
    • 端點防護軟體
    • GCB
    • VANS
  • 應用開發

設備第一個要上、也是最重要的就屬防毒軟體與防火牆,而由於新的 Windows 作業系統都已內建這兩個功能,因此最低限度只要啟用即可完成這篇的要求。

防毒軟體

新版 Windows 的內建防毒效果雖然不能跟付費的比,如果有預算限制,有啟用內建的防毒足矣。如果還要更強化,建議使用付費防毒軟體,不要再花時間使用免費的防毒,效果未必更好,也有可能花更多時間在調校。

內建防毒軟體 Windows Defender 的另外一個好處是有防勒索功能,可以保護特定的資料夾,避免不明程式修改(加密),也可以再加一層自家的 OneDrive 達到受害時的版本恢復。

防火牆

防火牆的中心原則是白名單,不管對內對外都要一條條加入,避免發生資安事件時範圍擴大。如果使用內建的防火牆必須再注意規則是否設定妥當。大部份的內建規則沒有太大問題(開放DNS 53,不允許 445 網芳等),但仍建議不需要的連線先關閉,有需要時再開啟,實務上大致分一般個人與主機使用:

  • 一般個人: 對內禁止,對外開放
    • 對內原則上禁止所有連線。常見開啟的有共用資料夾TCP 445,但透過網芳攻擊的病毒屢見不鮮,建議還是用別的方案替代。
    • 使用對外較不受限制,也可採用白名單,大多允許網頁連線(80,443)。
  • 主機: 對內、對外皆原則禁止
    • 對內僅開放提供的服務,並嚴格限制來源 IP
    • 對外原則不開放。常見開放的除了連接其他主機之外,還會加入系統更新、軟體更新的位址等。

最後提醒一下,在有套用 GCB 的情況下兩者都會強制啟用。而如果單位內有安裝第三方的防火牆(或是防毒軟體中內建防火牆),記得在規則上要兩者都套用。不過實務上關掉內建防火牆會方便的多,以免同時維護兩套規則。GCB 方面只要記得在例外規則中註明已有安裝第三方防火牆即可。


上一篇
端點安全防護
下一篇
端點安全防護 - 端點防護軟體 EDR
系列文
作業抄起來!資通安全管理法什麼的30

尚未有邦友留言

立即登入留言