iT邦幫忙

0

大家好,有個問題想請教各位邦友:

小弟公司有個網頁(程式無法修改)必須使用IE裡,最低的安全性,否則有些功能是無法使用的。
除了將『區域安全性』等級設為『低』之外,還需要進到『自訂等級』中,將所有的『提示』改為『啟用』

雖然將安全性調到最低,但該電腦有以下限制:

  1. 只能開啟公司的網頁。
  2. 低安全性的設定只在『信任的網站』。
  3. 『信任的網站』區域只有加入公司的網址。
  4. 該電腦完全獨立,直接透過 IP 分享器再接 ADSL 上網,沒有跟其它電腦接在一起。
  5. 只能使用 WinXP + IE8

換言之,該電腦只能開啟我公司的網頁,其他甚麼事都不能做。

如果是這樣,還會有甚麼安全性的疑慮呢?(不考慮公司網頁中毒或被入侵)
可否請邦友們幫忙想想看、評估看看,還有哪些風險,這樣的風險因素算不算高呢?

看更多先前的討論...收起先前的討論...
另外一提好了
一般使用者權限遇到特定的方式依然還是可以被入侵的(利用系統漏洞)
所以就算只是user 權限使用IE 仍然避免不掉上述問題,頂多只能減少
所以必要的防毒軟體最好還是安裝(但之前參加研討會,也只有K 牌的抓得到...)
另外就是本機及IP 分享器上都設定防火牆,完全限制可連線的位址及port 號
其它一律擋掉...
另外如果可以還能配合系統還原軟體(Time Machine 是免費的,很好用)以及sandbox 軟體(請自己查)會更有保障
另外也可以利用VMware 直接開台虛擬主機,僅在使用時開啟,其它設定相同
萬一掛掉也不用擔心...(反正還可以做多重快照,永保安康..)
misadm iT邦高手 10 級 ‧ 2012-03-05 08:32:29 檢舉
當然!一般的防護是不會少的,只不過這台 PC 的 IE 安全性,是最低的。我已我希望在可以開啟最低安全性的前提之下,用最高安全性的防護。

所以我才會問,已經限制安全性區域,帳號也沒有安裝程式的權限,而這條 ADSL 也只有這台 PC 在用,在這樣的環境之下,是否就已經達到我說的『IE 安全最低,環境安全最高』的狀態呢?
misadm iT邦高手 10 級 ‧ 2012-03-05 08:43:15 檢舉
感謝各位邦友的回應!

小弟再次整理一下此 PC 目前採用的安全設定:
1. 作業系統 → WinXP-Pro+SP3,IE 版本 → 8.0
2. 有安裝防毒軟體 → Office Scan (含防火牆功能)。
3. 此 PC 單獨接一台 IP 分享器上網。
4. IP 分享器內有限定只能上我公司指定的網站。
5. IE 的安全性,只有『信任的網站』區域是最低的安全設定。
6. 我公司的網站有加入『信任的網站』區域內。
7. 帳號只有一般 Local User 的權限(無法安裝軟體)。

還請大家幫忙看看有沒有問題。
misadm提到:
不會少的,只不過這台 PC 的 IE 安全性,是最低的。我已我希望在可以開啟最低安全性的前提之下,用最高安全性的防護。

所以我才會問,已經限制安全性區域,帳號也沒有安裝程式的權限,而這條 ADSL 也只有這台 PC 在用,在這樣的環境之下,是否就已經達到我說的『IE 安全最...(恕刪)

最好是加上定期更新系統(Windows Update)及定期備份還原的機制(我的話會弄成每次開機就做還原,除非管理者去進行相關系統update)...

2 個回答

8
wiseguy
iT邦超人 1 級 ‧ 2012-03-01 15:14:02
最佳解答

再建立一個權限受限的帳號 (比如只能存取他的個人目錄),指定用 IE 時,使用這個帳號來開啟。
如此一來,就算你公司網頁中毒,或者用此 IE 去亂開有病毒或木馬的網頁,也無法感染整台電腦,只需要把該帳號刪除就解毒了。

misadm iT邦高手 10 級 ‧ 2012-03-01 15:24:53 檢舉

有的,只有一個 User 帳號可以登入該電腦,而且沒有本機 Administrator 的權限。換言之該帳號無法安裝軟體,對系統資料夾也只有讀取的權限而已。

CalvinKuo iT邦大師 7 級 ‧ 2012-03-01 15:46:39 檢舉

但是受限的使用者似乎還可以安裝Chrome這種安裝方式的程式...
雖然如wiseguy大大說刪除此帳號&設定檔目錄就OK了,如果是我會想用IP分享器或防毒軟體設定該電腦只能上微軟與防毒軟體更新網站。

Chrome安裝路徑:
C:\Documents and Settings\使用者\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

不過限定電腦單一用途,在這種景氣下有點難度。老闆當然希望物盡其用...

misadm iT邦高手 10 級 ‧ 2012-03-01 17:21:27 檢舉

但是受限的使用者似乎還可以安裝Chrome這種安裝方式的程式...

確實!當 IE 是低安全性時,是可以安裝的。

IP分享器或防毒軟體設定該電腦只能上微軟與防毒軟體更新網站

感謝提醒,我會在防火牆加上這條原則。

限定電腦單一用途,在這種景氣下有點難度。老闆當然希望物盡其用...

沒辦法,看是要安全性還是要物盡其用,如果老闆要物盡其用,那我就不會讓電腦跑公司網頁!看是老闆要跑網頁還是物盡其用囉!

2
simon88
iT邦研究生 3 級 ‧ 2012-03-02 10:43:48

需不需要把usb插槽用『速利控』封起來?電腦主機外殼貼封條?

misadm iT邦高手 10 級 ‧ 2012-03-02 10:58:47 檢舉

這倒不必,我比較在乎的是 IE 安全性。有目前這樣的限制,是否來自 IE 的風險就會降低!?還是說都沒用??

我要發表回答

立即登入回答