รายการตรวจสอบการตั้งค่า Windows XP Pro

ในการใช้งานเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows XP ให้มีความปลอดภัยนั้น ก่อนอื่นต้องทำการคอนฟิกระบบให้มีความปลอดภัยก่อน โดยเช็คลิสต์ด้านล่างนั้น เป็นกรอบกว้างๆ สำหรับใช้เป็นแนวทางในการคอนฟิกเครื่อง Windows XP Professional ให้มีความปลอดภัย แต่อย่างไรก็ตาม เช็คลิสต์เหล่านี้อาจมีเข้มงวดเกินไปสำหรับการใชงานส่วนบุคคล และอาจจะเข้มงวดน้อยไปสำหรับการใช้งานในบางองค์กรก็ได้ ดังนั้น การนำไปใช้งานนั้น ท่านต้องพิจารณาปัจจัยอื่นๆ ประกอบด้วย เนื่องจากการใช้งานของแต่ละคนนั้น ก็มีลักษณะที่แตกต่างกันออกไป

ให้ตรวจสอบว่าทุกพาร์ติชันใช้ไฟล์ซีสเต็มแบบ NTFS
ไฟล์ซีสเต็มแบบ NTFS นั้น สามารถกำหนดระดับการใช้งานได้ถึงระดับไฟล์ ซึ่งจะไม่สามารถทำได้ในไฟล์ซีสเต็มแบบ FAT, FAT32, หรือ FAT32 และหากมีพาร์ติชันที่ไม่เป็น NTFS สามารถทำการเปลี่ยนเป็น NTFS ได้โดยใช้คำสั่ง convert ที่คอมมานด์พร็อมพ์ ดังนี้ convert drive_letter: /fs:ntfs

ตัวอย่าง:ต้องการเปลี่ยนไดรฟ์ D: เป็น NTFS ทำดังนี้
convert drive_letter: /fs:ntfs
หมายเหตุ: การเปลี่ยนแปลงนี้จะไม่สามารถทำกลับกันได้

ปกป้องการแชร์ไฟล์
สำหรับ Windpws XP ที่ไม่ได้เป็นสมาชิกของโดเมนนั้น รูปแบบการแชร์ไฟล์โดยดีฟอลท์จะเป็นแบบ "Simple File Sharing" นั้นคือการแอคเซสของผู้ใช้จากเครื่องอื่นๆ นั้น จะถูกบังคับให้เป็น Guest account ซึ่งหมายความว่าการแอคเซสผ่านเครือข่ายนั้นจะกระทำผ่านทาง Server Message Block (SMB) และ Remote Procedure Call (RPC)

การแชร์ไฟล์ในรูปแบบการแชร์แบบ "Simple File Sharing" นั้น สามารถทำการแชร์แบบ read-only หรือ read, create, change และ delete ซึ่งออกแบบมาให้เหมาะกับการใช้งานแบบ Home Network หรือ เครือข่ายที่อยู่หลังไฟร์วอลล์ และมีข้อควรทราบคือ ถ้าหาก Windows XP มีการแชร์ไฟล์และไม่ได้เปิดใช้งานไฟร์วอลล์ เมื่อทำการเชื่อมต่อกับอินเทอร์เน็ตผู้ใช้จากอินเทอร์เน็ตสามารถที่จะทำการแอคเซสเข้าการแชร์ไฟล์ได้

สำหรับ Windpws XP ที่เป็นสมาชิกของโดเมนนั้น รูปแบบการแชร์ไฟล์โดยดีฟอลท์นั้นจะเป็นแบบ "Classic security model" นั้นคือการแอคเซสของผู้ใช้จากเครื่องอื่นๆ นั้น จะต้องทำการตรวจสอบตัวตน authenticate โดยใช้ username และ password ก่อนว่าได้รับการอนุญาตให้ใช้งานหรือไม่

ใช้งาน Internet Connection Sharing (ICS) เพื่อแชร์การเชื่อมต่อกับอินเทอร์เน็ต
Windows XP นั้น สามารถใช้ทำการแชร์การเชื่อมต่อกับอินเทอร์เน็ตให้กับเครื่องอื่นๆ ได้ ซึ่งเหมาะกับการใช้งานแบบ Home Network หรือ SMB โดยเครื่องคอมพิวเตอร์ที่ต่อกับอินเทอร์เน็ตหรือที่เรียกว่า ICS Host จะทำหน้าที่เป็นเกตเวย์ให้กับเครื่องคอมพิวเตอร์อื่นๆ บนระบบเครือข่ายในการใช้งานอินเทอร์เน็ต การใช้งาน ICS นั้น ทำการเชื่อมต่อกับอินเทอร์เน็ตมีความปลอดภัยเนื่องจากผู้ใช้บนอินเทอร์เน็ตจะเห็นเพียงเครื่องที่เป็น ICS Host เพียงตัวเดียว สำหรับรายละเอียดวิธีการใช้งาน ICS สามารถอ่านได้จาก Internet Connection Sharing (ICS) ที่ url http://thaiwinadmin.blogspot.com/2007/11/kb-112007-33.html

ใช้งาน Internet Connection Firewall (ICF)
Internet Connection Firewall (ICF) นั้นถูกออกแบบมาเพื่อการใช้งานในเครือข่ายแบบ Home Network หรือ SMB ซึ่งจะช่วยในการปกป้อง Windows XP ที่เชื่อมต่อโดยตรงกับอินเทอร์เน็ต ให้มีความปลอดภัยมากขึ้น Windows XP ICF นั้น จะทำการฟิลเตอร์แบบ stateful packet ซึ่งจะยอมให้ทราฟิกขาเข้าที่ตรงกับเซสชันขาออกเท่านั้นสามารถผ่านไปได้ โดยวิธีการเปิดใช้งาน ICF ทำได้ดังนี้ คลิกขวาที่ Internet connection ใน Network Connections, คลิก Properties, คลิก Advanced tab, จากนั้นเลือกเชคบ็อกซ์ Enable Firewall on this connection

กำหนดนโยบายการควบคุมการใช้งานซอฟต์แวร์
นโยบายการควบคุมการใช้งานซอฟต์แวร์นั้น ช่วยให้ผู้ดูแลระบบสามารถควบคุมได้ว่าจะอนุญาตให้ซอฟต์แวร์ใดที่สามารถมำการรันได้หรือตัวใดที่ไม่อนุญาตให้ทำการรัน การควบคุมเหล่านี้จะช่วยป้องกันทำงานโปรแกรมที่ไม่พึงประสงค์ เช่น trojan horse หรือ malware ต่างๆ เป็นต้น วิธีการใช้งานนโยบายการควบคุมการใช้งานซอฟต์แวร์นั้นทำได้โดยใช้ local security policy สำหรับเครื่องแบบ Standalone และ Group Policy บน Active Directory สำหรับเครื่องแบบ Doamin member สำหรับวิธีการใช้งานนั้น สามารถอ่านได้จาก
Don't run specified Windows Appplications ที่ url http://thaiwinadmin.blogspot.com/2007/10/kb-102007-22.html

กำหนดรหัสผ่านให้กับแอคเคาท์
Windows XP นั้น จะยอมให้ยูสเซอร์ที่ไม่มีรหัสผ่าน สามารถทำการล็อกออนเข้าใช้งานได้จากหน้าเครื่องเท่านั้น โดยไม่ยอมให้ทำการล็อกออนจากระยะไกล (Remote Desktop) และการใช้งาน secondary logon (RunAs) ได้ ดังนั้น หากต้องการใช้ฟีเจอร์ดังกล่าวก็ต้องทำการกำหนดรหัสผ่านให้กับยูสเซอร์ แต่มีข้อควรระวังคือ การกำหนดรหัสผ่านที่ง่ายเกินไปนั้น อาจมีความปลอดภัยน้อยกว่าการไม่กำหนดรหัสผ่าน หากต้องการกำหนดรหัสผ่านให้กับยูสเซอร์ควรกำหนดอย่างน้อย 9 อักขระ และควรมีอักขระพิเศษอย่างน้อย 1 ตัว ใน 7 อักระแรกของรหัสผ่าน

ข้อควรระวัง
สำหรับเครื่องคอมพิวเตอร์ที่มีความปลอดภัยทางการภาพน้อย ควรทำการกำหนดรหัสผ่านให้กับทุกยูสเซอร์ และรหัสผ่านที่กำหนดต้องมีความแข็งแกร่ง โดยเฉพาะยูสเซอร์ที่เป็นสมาชิกของกลุ่มผู้ดูแลระบบ

ดิสเอเบิลเซอร์วิสต่างๆ ที่ไม่จำเป็น
หลังจากทำการติดตั้ง Windos XP เสร็จแล้ว ควรทำการปิดเซอร์วิสต่างๆ ที่ไม่มีความจำเป็นในการใช้งาน

ดิสเอเบิลหรือลบแอคเคาท์ที่ไม่จำเป็น
ให้ทำการตรวจสอบระบบโดยใช้ Computer Management snap-in และทำการปิดการใช้งานหรือลบแอคเคาท์ต่างๆ ที่ไม่จำเป็นออกเพื่อความปลอดภัย

ทำการดิสเอเบิล Guest Account
สำหรับเครื่อง Windpws XP ที่เป็นสมาชิกของโดเมน ซึ่งใช้รูปแบบการแชร์ไฟล์โดยดีฟอลท์จะเป็นแบบ "Classic security model" นั้น สามารถทำการปิดการใช้งาน Guest Account ได้ เพื่อให้ระบบมีความปลอดภัยมากขึ้น แต่สำหรับเครื่อง Windpws XP ที่ไม่ได้เป็นสมาชิกของโดเมน และใช้รูปแบบการแชร์ไฟล์แบบ "Simple File Sharing" นั้น มีความจำเป็นต้องใช้งาน Guest Account ในการแอคเซสการแชร์ไฟล์

กำหนดนโยบายการใช้รหัสผ่านที่มีความแข็งแกร่ง
การกำหนดนโยบายการใช้รหัสผ่านที่มีความแข็งแกร่งนั้น จะเป็นการกำหนดกรอบการกำหนดรหัสผ่านที่ยูสเซอร์ต้องปฏิบัติตามในการกำหนดรหัสผ่าน วิธีการกำหนดนโยบายการใช้รหัสผ่านนั้น ทำได้โดยใช้ local security policy ทำการกำหนด Password Policy ซึ่งนโยบายที่ควรทำการกำหนดมี 5 ข้อ คือ

1. Enforce password history
กำหนดจำนวนครั้งของการเปลี่ยนรหัสผ่าน ก่อนที่จะนำรหัสเก่ามาใช้อย่างน้อย 6 ครั้ง (ค่าเริ่มต้นจะไม่ยังคับใช้)
2.Maximum password age
กำหนดอายุสูงสุดของรหัสผ่านที่ใช้งานได้ก่อนที่จะต้องทำการเปลี่ยนรหัสใหม่ไม่ควรเกิน 42 วัน (ค่าเริ่มต้นเป็น 42 วัน)
3.Minimum password age
กำหนดอายุต่ำสุดของรหัสผ่านก่อนที่จะอนุญาตให้เปลี่ยนอยู่ระหว่าง 1-7 วัน (ค่าเริ่มต้นจะไม่ยังคับใช้)
4.Minimum password length
กำหนดความยาวต่ำสุดของรหัสผ่าน 8 (ค่าเริ่มต้นจะไม่บังคับใช้)
5.Password must meet complexity requirement
กำหนดให้รหัสผ่านต้องประกอบด้วย อักษรตัวเล็ก (a , b, c, …y, z) อักษรตัวใหญ่ (A, B, C, …Y, Z) อักษรพิเศษ (!, @, # , $, %, ^, &, *, (, ), _,+ และ ตัวเลข (1, 2, 3, ..9, 0) (ค่าเริ่มต้นจะไม่บังคับใช้)

กำหนดการใช้นโยบาย Account Lockout
นโยบาย Account Lockout ใน Windows XP นั้น จะทำหน้าที่ในการปิดการใช้งานแอคเคาท์ชั่วคราวเมื่อมีการป้อนรหัผ่านผิดตามจำนวนครั้งที่กำหนด ซึ่งจะช่วยในการป้องกันการล็อกออนโดยการเดารหัสผ่าน โดยวิธีการกำหนดนโยบายการใช้รหัสผ่านนั้น ทำได้โดยใช้ local security policy ทำการกำหนด Account Lockout Policy ซึ่งนโยบายที่ควรทำการกำหนดมี 3 ข้อ คือ

1.Account lockout duration
ระยะเวลาเป็นนาทีที่ทำการปิดใช้งานยูสเซอร์ชั่วคราว ควรกำหนดอย่างน้อย 30 นาที
2.Account lockout threshold
จำนวนครั้งที่ทำการล็อกออนไม่ถูกต้องก่อนทำการปิดใช้งานยูสเซอร์ชั่วคราว ควรกำหนดอย่างน้อย 3 ครั้ง
3.Reset account lockout counter after
ระยะเวลาเป็นนาทีที่ทำการยกเลิกการปิดใช้งานยูสเซอร์ชั่วคราว ควรกำหนดอย่างน้อย 30 นาที

ติดตั้งโปรแกรมป้องกันไวรัสและทำการอัพเดทอย่างสม่ำเสมอ
ให้ตรวจสอบให้แน่ใจว่า ได้ทำการติดตั้งโปรแกรมป้องกันไวรัส และได้ทำการอัพเดทไวรัสซิกเนเจอร์อย่างสม่ำเสมอ โดยวิธีการอัพเดทของโปรแกรมป้องกันไวรัสแต่ละตัวนั้นอาจแตกต่างกันไป โดยสามารถอ่านได้จาก Help ของโปรแกรม

ทำการอัพเดทซีเคียวริตี้อัพเดทอย่างสมำเสมอ
Windows XP นั้น จะมีฟีเจอร์ Autoupdate ซึ่งจะช่วยในการตรวจสอบและดาวน์โหลดซีเคียวริตี้ล่าสุดจากไมโครซอฟท์โดยอัตโนมัติ ซึ่งการทำงานของ Automatiupdate นั้นจะทำงานในแบ็คกรานด์ และจะทำการพร็อมพ์ให้ยูสเซอร์ทำการติดตั้งเมื่อทำการดาวน์โหลดเสร็จ การคอนฟิก Autoupdate ทำได้โดย คลิก System ใน Control Panel แล้วเลือก Automatic Updates tab จากนั้นเลือก notification setting to download the updates automatically

แหล่งข้อมูลอ้างอิง
Windows XP Baseline Security Checklists ที่ url http://www.microsoft.com/technet/archive/security/chklist/xpcl.mspx?mfr=true


Keywords: Windows XP Configuration Checklist

© 2007 Thai Windows Administrator, All Rights Reserved.