端点安全防护 - 防毒软件与软件防火墙

适用人员: 技术人员。
适用法规: 资通安全责任等级分级办法

技术面分类提要

• 网路架构
• 端点安全防护
  • 防毒软件与软件防火墙
  • 端点防护软件
  • GCB
  • VANS
• 应用开发

设备第一个要上、也是最重要的就属防毒软件与防火墙，而由於新的 Windows 作业系统都已内建这两个功能，因此最低限度只要启用即可完成这篇的要求。

防毒软件

新版 Windows 的内建防毒效果虽然不能跟付费的比，如果有预算限制，有启用内建的防毒足矣。如果还要更强化，建议使用付费防毒软件，不要再花时间使用免费的防毒，效果未必更好，也有可能花更多时间在调校。

内建防毒软件 Windows Defender 的另外一个好处是有防勒索功能，可以保护特定的资料夹，避免不明程序修改(加密)，也可以再加一层自家的 OneDrive 达到受害时的版本恢复。

防火墙

防火墙的中心原则是白名单，不管对内对外都要一条条加入，避免发生资安事件时范围扩大。如果使用内建的防火墙必须再注意规则是否设定妥当。大部份的内建规则没有太大问题(开放DNS 53，不允许 445 网芳等)，但仍建议不需要的连线先关闭，有需要时再开启，实务上大致分一般个人与主机使用:

• 一般个人: 对内禁止，对外开放
  • 对内原则上禁止所有连线。常见开启的有共用资料夹TCP 445，但透过网芳攻击的病毒屡见不鲜，建议还是用别的方案替代。
  • 使用对外较不受限制，也可采用白名单，大多允许网页连线(80,443)。
• 主机: 对内、对外皆原则禁止
  • 对内仅开放提供的服务，并严格限制来源 IP
  • 对外原则不开放。常见开放的除了连接其他主机之外，还会加入系统更新、软件更新的位址等。

最後提醒一下，在有套用 GCB 的情况下两者都会强制启用。而如果单位内有安装第三方的防火墙(或是防毒软件中内建防火墙)，记得在规则上要两者都套用。不过实务上关掉内建防火墙会方便的多，以免同时维护两套规则。GCB 方面只要记得在例外规则中注明已有安装第三方防火墙即可。