【iT自救術─Windows 7的網路保全相關事項?】

tan2818

【iT自救術─Windows 7的網路保全相關事項?】

 

如果你的電腦使用Windows而且要上網，不可免俗要安裝防毒軟體和防火牆軟體。

 

目前Windows已經內建極簡防火牆功能，但是電腦病毒呢？

 

其他問題呢？

 

難道不做任何事情你也可以高枕無憂？

 

雖然感覺像是昨天，但是距離個人電腦病毒的發明也已經過了十幾年了。

 

以前電腦病毒被稱為virus，是因為這東西需要一個宿主（電腦囉），會傳染、擴散至其他電腦（主要是利用磁片當媒介物），而且通常會造成一些傷害（從無傷大雅的放出你不一定愛聽的音樂，到把你電腦裡面的檔案殺得乾乾淨淨都有）。

 

現在呢？

 

現在我記憶中想得到、對電腦有害的「壞東西」，名詞就有非常多的種類，從早期一點的virus、WORM、Trojan horse（特洛伊木馬），到比較現代的adware、malware、SPAM、crimeware……，看來這東西也用摩爾定律進步著，「逝者如斯夫，不捨晝夜」。

 

隨著Internet的無孔不入和隨身碟的風行，各類型的「壞東西」就只是越來越多了。

 

 

名詞解釋

名稱不太相同的各式「壞東西」，其實各有其各自的「行為特徵」。以virus來說，通常是寄生在檔案或開機磁區，然後藉由使用者執行檔案的行為設法散播出去（和真實的病毒確有幾分神似）。

 

這類病毒本來已經快要消失在這時代了，但因為隨身碟的流行卻反而逐漸死灰復燃。

 

至於Internet時代隨著所謂的「網路」而流行的壞東西，有殭屍、malware……。

 

這類東西通常沒什麼幽默感，不只造成麻煩還想要偷錢──它們會試著偷取你的資料，竊取你的帳號、密碼，盜用你的資源，竊佔你的頻寬，讓你電腦變成一個罪惡的溫床或是跳板，讓你用起電腦用得生不如死、慢得誇張。

 

一般而言，當電腦跑起來「怪怪的」，尤其是變得很慢很慢，非常慢，大多是中了這類網路惡質軟體。

 

當然，我也可以和各位討論virus、WORM、Trojan horse、adware、malware、SPAM、crimeware……這些程式的行為特徵與細微的不同之處，不過這對「讓你電腦更安全」未必有什麼幫助。

 

對一般使用者來說，「反正我希望我的電腦不要有這些東西就對了」，管他什麼名詞不名詞的！

 

我只是要說，當我的文字內容提到「電腦病毒」時，就是泛指這一切的壞東西，不單指virus或是其他哪一項惡質軟體。

 

而我們上網之時，總之就是要防堵這一切的壞東西影響我們電腦正常運作。

 

Windows 7需不需要防毒？

那要怎樣讓裝了Windows 7的電腦能夠不中毒？

 

一般而言，醫學上常有「預防勝於治療」、「用防堵的方法還不如提高自身的免疫力」的說法，那「電腦醫學」是不是也有相同的道理呢？

 

會不會，Microsoft推出Windows 7就給你一個「非常強壯，不用裝防毒軟體也可以很健康的Windows呢？」

 

我會跟各位說：說的比唱的好聽，想得美。

 

如果要給你一個「clear and present」的answer，我會說「沒有」。

 

Windows 7做了一些努力，但使用者仍得要裝防毒軟體才會比較安全。

 

不過，Windows賣給你的時候，確實是已經內建了很簡單的防毒能力，Windows至少擁有很簡易的「防火牆」功能，和一套Windows Defender軟體，只是沒有內建所謂的防毒軟體。

 

不過，Microsoft最近倒是補足了這塊，只要你是Microsoft Windows的合法使用者，且經過了所謂的「正版驗證（Windows Genuine Advantage；WGA）」，就可以免費下載這套所謂的「Microsoft Security Essential」防毒軟體。

 

不過，臺灣使用者還沒開放下載，中文版也尚未公開。

 

 

防毒軟體的功能理解

既然Windows 7也需要防毒軟體，那我們該裝哪一套呢？

 

我的看法是，各位得先大致瞭解防毒軟體的「三大功能區塊」。

 

● 防火牆

防火牆的英文名字是「firewall」，指「內部電腦」得經過防火牆的保護層再連到外部的網路世界（通常是Internet）。

 

這防火牆一般有分「伺服器級」和一般的「個人電腦級」，也有「專屬硬體」和「軟體防火牆」的分別，但是基礎概念大多是相同的。

 

防火牆產品經過多年的進化，功能也逐漸複雜。

 

不過這篇文章不是什麼資安專論，我也不是什麼資安專家，我只想說的是：

 

Windows，尤其是Windows 7，已經有一個簡易的防火牆功能，可以限制電腦自身Internet上線出／入的基礎防護。

Firewall功能對電腦來說非常重要，內部電腦得經過防火牆的保護層再連到外部的網路世界（通常是Internet）。（取自Wiki網站的防火牆示意圖）

 

 

● 防堵惡意軟體

在Windows 7 / Vista裡面內建了一個防堵惡意程式的軟體，稱為Windows Defender，而Windows XP / Server 2003則可以透過下載的方式取得（Windows Update）。

 

這程式的詳細資料，各位可以上網搜尋一下，我要提出說明的是：

 

有這軟體是不是就不用裝防毒軟體了？

 

不是的。

 

這只是個惡意程式防堵軟體，所謂的anti-spyware。

 

所以，你還是得另外裝防毒軟體。

 

 

● 防毒

一般所謂的「防毒軟體」提供的就是防毒功能，也就是所謂的anti-virus。

 

這類軟體因為市場很大，幾乎每臺電腦都需要一套，因此有非常多非常多非常多非常多的公司在賣這類產品，多到這類公司還分一線二線三線四線。

 

不是開玩笑的，我是說真的。

 

不過，重點不是產品數量多，重點是「你得知道每家公司的產品防護能力不同」。

 

Anti-virus類型的軟體，大多會有一定的virus或是malware（有害程式）的防堵能力，但不是每個叫「antivirus」的軟體功能都相同哩！

 

事實上，同一家公司的產品，其防堵的能力就不一定相同，底下會再更進一步說明。

 

防毒軟體的種類多，得慎選

如果你看完了上面的文字且還沒有昏，那我這裡整理一下：

 

Windows內建了簡單的Firewall和Windows Defender，但沒有防毒軟體。

 

所以如果閣下想要自己的電腦比較安全，那至少得安裝一套防毒軟體，至少。

 

但是所謂的「防毒／資安廠商」不會這麼簡單放過這個市場，他們大多會提供二、三種（或是多種）防毒產品，以補全Windows在資安防護上的不足。

 

筆者在此以Avira的產品為例，說明這類軟體的分別（請參考附圖）。

這是Avira公司對其個人電腦防毒/防護軟體的DM內容，請各位看一下上面是各種電腦威脅/有害程式的種類（真是多樣化啊），而這家公司提供的3種產品則有各種不同的防護能力。

 

Avira提供的Personal版防毒軟體，免費（非商業使用），提供的是基礎的防毒功能；

 

Premium版防毒，須付費購買，提供的是進階防毒＆初階防火牆功能；至於最高階的Security Suite，則提供防毒＋防火牆完整的防護功能。

 

在此強調：所以下次你看到「AntiVirus」字樣，大多是提供「防毒＋基礎網路防護」這樣的軟體；

 

如果是「Internet Security」字樣的產品，則提供的是「防毒＋完整網路防護」的軟體。

 

一般而言，使用Internet Security產品可提供更強悍的防護，但這類軟體會接管Windows內建的防護，所以你還得把Windows內建的防火牆關閉（免得和Internet Security軟體相衝）。

 

不過，既然Microsoft一直沒有提供防毒軟體，某種程度也是一種「不與民爭利」的好事，但Windows的用戶可不會這麼想，他們會覺得「我們值得一個更安全的Windows才對吧！」

 

是這樣吧？！

 

Microsoft Security Essential

所以，讓我們重新檢視一下Windows裡面，對於防毒三大塊功能的結論吧！

 

Windows內建的防火牆中，XP的防火牆確實相當陽春，陽春到它「有或沒有都沒有太大影響」（如果它真的有用，那就不會一天到晚大家都在那邊中毒了）。

 

Windows 7針對此點有稍微改良，你開始可以設定軟體在不同網路設定時（公用網路、家用網路……）的不同行為（允許/不允許對外連結……）。

 

聊勝於無啦！聊勝於無。

 

Windows Defender則可以提供即時和掃描等兩種防護，由於Windows 7已經內建，並且會定期提醒你要掃描並更新，也會幫你攔阻一些討厭的惡意程式（像是adware），聊勝於無啦！

 

聊勝於無。

 

Microsoft Security Essential──老實說，我還沒開始試用這套產品，因為Microsoft尚未把這軟體開放給臺灣地區使用者下載，但「據說」已經準備好中文版的產品了。

 

這東西就是要用來補足Windows一直缺乏的防毒功能，所以甫推出就受到很多人的重視（因為免費又是「官方」提供的）。

 

不過，這種東西的推出必然受到競爭者的質疑：

 

這豈不就是與民爭利嗎？

 

不過各位注意了：

 

人家Microsoft都寫了，這是Security──「Essential」哩！Essential就是基礎、基本的意思嘛！

 

那不是聊勝於無嗎？不過網路上對此產品評價是還可以，至少也真的提供了基本的防毒能力。

 

也就是說，等到Microsoft正式開放這軟體給臺灣使用者下載後，Windows在基礎防護的部份算是齊全了。

 

本期結論： UAC不再那麼惱人了

Windows 7裡面，仍保留了從Vista時代就提供的UAC，User Access Control。

 

不過Windows 7的UAC變得親和多了，不再像以往那麼的容易跳出來吵人，所以你不再需要像Vista時代一樣「非關掉UAC不可」了，這算是令人開心的事情吧！

 

 

但是，到底UAC是什麼？

 

我自己的看法是：UAC是Microsoft設計用來讓使用者知道「下面這件事情是有風險的」的一個功能，這樣講懂嗎？

 

還是不懂？

 

好，那我舉些例子。

 

如果你執行的動作旁邊有個盾牌圖樣，或是安裝程式上面有個盾牌圖樣，那就是Microsoft希望你知道，「這東西要注意啦！是有風險的。」

 

比方說，如果你開啟「裝置管理員」，最早在Vista時代，UAC就會跳出來跟你說：「請授權此項動作」。

 

何故？

 

因為你用裝置管理員，用得不好，亂砍亂殺，是可以把Windows毀掉的（no kidding）。

 

所以Windows跳出警告是有它用意的。

 

就算是Mac OS使用者，在執行某些功能設定時，一樣會有視窗跳出，請使用者輸入帳號密碼，這也是一種UAC（當然，他們不叫UAC這名字）。

 

再以本人曾試用過的，Comodo Internet Security軟體而言，每次你安裝軟體，安裝時的各種動作都會被視為是「有危險性」的，那這套軟體就會一直警告你，讓你知道這軟體做了哪些事。

 

這麼做的好處是真的比較安全，缺點就是蠻煩的。

 

無論如此，到了Windows 7時代，你可以簡單的設定UAC層級了，讓它不再那麼惱人了。

 

 

引用：http://tw.myblog.yahoo.com/jw!e61s0tyXGh5VV562ITtYuls-/article?mid=4568