จัดทำโดย 1.นางสาวอุบลวรรณ แก้วขวาน้อย เลขที่ 2
2.นางสาวชฎาพร ไพรเขียว เลขที่ 36

แผนที่

ดู ระบบป้องกันภัยคอมพิวเตอร์ ในแผนที่ขนาดใหญ่กว่า

การเพิ่มความปลอดภัยให้กับคอมพิวเตอร์ส่วนตัว

TIP การเพิ่มความปลอดภัยให้กับคอมพิวเตอร์ส่วนตัว

1		เลือกใช้ระบบ ไฟล์ NTFS ระบบไฟล์ NTFS ช่วยให้ข้อมูลที่อยู่บนเครื่องของเรามีการพิสูจน์สิทธิก่อนการเข้าถึงควรตรวจสอบระบบการจัดเก็บบน Harddisk ให้เป็นแบบ NTFS
2		ปิดการใช้งาน Autorun (Disable Autorun) Autorun เป็นปัญหาหลักที่ช่วยให้ไวรัสแพร่กระจายได้อย่างรวดเร็ว เพราะทุกครั้งที่เราทำการ double click USB Drive ที่เรานำมาใช้งาน ไวรัสหรือไฟล์ที่ execute ต่าง ๆ ก็สามารถทำงานได้ทันที วิธีการปิด Autorun คือ Start  > Run > ใช่คำสั่ง GPEDIT.MSC > จากนั้นไปที่  Computer Configuration > Administrative Templates > System >  หาคำว่า Turn autoplay off ให้เลือกเป็น Enable
3		เลือกใช้งานรหัสผ่านสำหรับ Screen Saver (Password Protect for Screen Saver) หลังจากที่เราเพิ่มการป้องกันเครื่องคอมพิวเตอร์ของเราด้วยการตั้งรหัสผ่านเรียบร้อยแล้ว การเพิ่มความปลอดภัยโดยการตั้งให้ Screen Saver ทำงานพร้อมกับมีการถามรหัสผ่านสำหรับการกลับเข้าสู่ระบบเสมอ วิธีการปรับแต่งคือคลิกขวาที่ Desktop แล้วเลือก Properties จากนั้นไปที่ TAB Screen Saver เลือกเช็ค Box ให้ On Resume, display Welcome screen
4		ปิดการใช้งานรีโมท (Disable Remote Desktop) Remote Desktop เป็น Service ที่ทำให้คอมพิวเตอร์ของเราเปิด Port ไว้มากขึ้นเป็นการเพิ่ม Attack Surface ให้กับระบบ หากไม่มีความจำเป็นต้องใช้งานควรปิดการใช้งานฟังก์ชันนี้ วิธีการปิดคือ
5		เลือกใช้งาน Internet Explorer เวอร์ชัน ล่าสุดเสมอ Internet Explorer Version 8.0 ที่ออกมาสามารถรองรับการทำงานบน Windows XP ได้อย่างไม่มีปัญหา การปรับปรุงความปลอดภัยที่เพิ่มขึ้นเป็นสิ่งที่น่าพิจารณารีบดาวน์โหลดมาใช้งานกันนะครับ
6		อย่าลืม Windows Update และ Windows XP Service Pack 2 (SP2) Microsoft จะหยุดให้บริการอัพเดท Security Patch อย่างเป็นทางการตั้งแต่วันที่ 13 กรกฏาคม 2553 นี้แล้ว ทั้งนี้ Microsoft ได้แนะนำผู้ที่ยังใช้ Windows XP Service Pack 2 (SP2) และ ยังไม่พร้อมที่จะใช้หรือ อัพเกรดเป็น Windows 7  ให้ทำการอัพเดทเป็น Windows XP Service Pack 3 (SP3)  พี่น้อง KCS สามารถ Download Service Pack 3 และตรวจสอบการประกาศจาก Official Site ได้จาก Link ด้านล่างนี้ครับ http://windows.microsoft.com/en-us/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=other
7		ตั้งรหัสผ่านเสมอสำหรับทุก Users ที่มีอยู่บนเครื่องคอมพิวเตอร์ เนื่องจาก Windows XP ยอมให้มีการใช้งานโดย Users ไม่จำเป็นต้องตั้งรหัสผ่านได ๆ ดังนั้นมันจึงเป็นช่องโหว่ที่สำคัญของการใช้งานระบบ โดยเฉพาะความเสี่ยงที่ หลายคนเก็บข้อมูลส่วนบุคคล และข้อมูลทางการเงินบนคอมพิวเตอร์ส่วนตัว การตั้งรหัสผ่านควรตั้งให้ยากต่อการคาดเดาด้วยนะครับ
8		ลบ หรือ Disable Users ที่ไม่จำเป็นใช้งานออกจากระบบ อาจมี User ที่เราเผลอสร้างขึ้นมาหลังจากทดลองใช้งาน หรือติดมากับ Application ต่าง ๆ หากแน่ใจว่าไม่มีความจำเป็นต้องใช้งานควรลบ Users นั้น ๆ ออกจากระบบ หรือเลือก Disable ชั่วคราวหากยังไม่แน่ใจ โดยเฉพาะ User Guest ควรจะ Disable ก่อนเป็นอันดับแรก
9		ระมัดระวังการแชร์ไฟล์ผ่านระบบเครือข่าย ตรวจสอบอยู่เสมอถึงการแชร์ไฟล์บนเครื่องของเราว่ามีการกรองการเข้าถึงที่ดีหรือยัง (Access Control + Assign Permission) โดยเฉพาะข้อมูลสำคัญของบริษัท ข้อมูลส่วนบุคคล และข้อมูลทางการเงินที่เก็บไว้บนคอมพิวเตอร์ส่วนตัว

ฮาร์ดเดนนิง (Hardening)

ฮาร์ดเดนนิง (Hardening)

การฮาร์ดเดนนิงระบบปฏิบัติการ (Operating System Hardening) เป็นกระบวนการของการกำหนดค่า (Parameter) บนระบบปฏิบัติการเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต ป้องกันผู้บุกรุก แฮกเกอร์ และช่องโหว่ด้านความปลอดภัยอื่น ๆ OS Hardening ทำให้ระบบคอมพิวเตอร์เชื่อถือได้มากขึ้น มีความปลอดภัย และช่วยเพิ่มประสิทธิภาพการทำงานเนื่องจากใช้หลักการ "ลดสิ่งที่ไม่ได้ใช้ออกไปจากระบบ"

ดังนั้น วัตถุประสงค์หลักของการ Hardening คือการ ลดความเสี่ยงที่จะเกิดด้านความปลอดภัยให้ได้มากที่สุด

 ซึ่งผมขอย้ำอีกครั้งกับผู้อ่านว่าการทำ Hardening นั้นเป็นการเพิ่มความปลอดภัยให้ระบบปฏิบัติการที่เราใช้อยู่โดยมีต้นทุนค่าใช้จ่ายต่ำมาก ไม่ต้องซื้อ Hardware / Software ราคาแพงเราก็สามารถเพิ่มความปลอดภัยให้กับคอมพิวเตอร์ของเราได้เป็นอย่างดี เพียงแค่เราใส่ใจที่จะนำเอา Security Best Practice ของระบบปฏิบัติการที่เราใช้อยู่นำมาลงมือทำ (ซึ่งโดยส่วนใหญ่มักจะมีแจกจ่ายฟรีให้ผู้ใช้งานโดยบรรดาผู้ผลิตอยู่แล้ว)

            หากจะมองในมุมมองขององค์กรด้วยแล้ว กระบวนการทำ Hardening เป็นหนึ่งในส่วนสำคัญในการสร้างมาตรฐานของการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ

องค์กรสามารถหาหนทางที่เหมาะสมในการจัดทำเรื่อง Hardening โดยเลือกจาก Security Baselines ที่มีอยู่แล้ว (อาจต้องนำมาตีความเป็นค่า Technical เพิ่มเติม-ผู้เขียน) ได้เช่น COBIT Framework, COSO,ITIL, lSO/IEC 27001, 17799:2005, FIPS PUB 200, ISO/IEC 13335, lSO/IEC 15408-2005/Common Criteria /ITSEC, PRINCE2, PMBOK, TickIT, TOGAF8.1, lT Baseline Protection Manual และ NIST 800-14 เป็นต้น

การป้องกันระบบเครือข่าย Internet, ระบบ LAN

               ปัจจุบันมีการเผยแพร่ข้อมูลข่าวสารบนเครือข่ายอินเตอร์เน็ตเป็นที่นิยมและใช้กันอย่างกว้างขวางกันมาก ซึ่งสามารถช่วยการประชาสัมพันธ์ การให้บริการต่างๆ การให้ความรู้ และอื่นๆ ได้ทั่วถึงกันทั้งโลก โดยแต่ละแห่งก็อาจมีข้อมูลทั้งแบบใช้ภายในหน่วยงานเองและบางส่วนก็เพื่อการบริการสู่สาธารณะชน ข้อมูลทุกรูปแบบที่บริษัทหรือองค์กรทุกแห่งที่มีอยู่ทั้งหมดนั้น ก็ถือเป็นทรัพย์สินอันมีค่าอย่างหนึ่งเช่นกัน ข้อมูลต่างๆ ถูกบรรจุอยู่ในเครื่องคอมพิวเตอร์ซึ่งเป็นเครื่องมือชนิดหนึ่งที่ช่วยในการเผยแพร่ข้อมูลผ่านไปบนเครือข่ายอินเตอร์เน็ต ที่ซึ่งบุคคลภายนอกทั่วโลกสามารถเข้ามาใช้บริการและดูข่าวสารข้อมูลต่างๆ ได้อย่างสบายบนWeb Page รวมถึงการส่งข้อความถึงกันด้วยเช่น การส่ง E-MailการChat ในรูปแบบต่างๆ เหล่านี้เป็นต้น ถ้าผู้ใช้ไม่มีวัตถุประสงค์อื่นใดในการใช้ประโยชน์จากอินเตอร์เน็ตเท่าที่ กำ หนดให้ใช้กัน ก็จะไม่เกิดปัญหาอะไรแต่มีผู้ใช้อีกกลุ่มหนึ่งที่คอยจะเข้าไปก่อกวน ทำ ลาย หรือขโมยข้อมูลต่างๆ ที่บริษัทหรือองค์กรต่างๆ ได้จัดทำขึ้นไว้ หรือที่เรียกว่า เฮคเคอร์(Hacker) คอยเข้ามาในระบบเครือข่ายและเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (Server หรือHost)ที่มีการป้องกันไม่ดีนัก แต่การป้องกันก็มีอยู่หลายระดับชั้นด้วยกัน และอีกทางเลือกหนึ่งสำ หรับการป้องกันระบบ เครือข่ายที่สามารถกระทำ ได้โดยเทคโนโลยีในปัจจุบันก็คือ การมีระบบป้องกันครือข่ายที่เรียกว่า ไฟร์วอล(Firewall) ซึ่ง เป็นระบบที่อยู่ในเครื่องคอมพิวเตอร์หรือเป็นอุปกรณ์แยกต่างหากก็ได้

Firewall คือ ฮาร์ดแวร์และซอฟต์แวร์ที่องค์กรต่างๆมีไว้เพื่อป้องกันเครือข่ายคอมพิวเตอร์ภายในของตนจากอันตรายที่มาจากเครือข่ายคอมพิวเตอร์ภายนอก เช่น ผู้บุกรุก หรือ Hacker Firewall จะอนุญาตให้เฉพาะข้อมูลที่มีคุณลักษณะตรงกับเงื่อนไขที่กำหนดไว้ผ่านเข้าออกระบบเครือข่ายภายในเท่านั้น อย่างไรก็ดี Firewall นั้นไม่สามารถป้องกันอันตรายที่มาจากอินเทอร์เน็ตได้ทุกรูปแบบ ไวรัสก็เป็นหนึ่งในนั้น ดังนั้นจึงไม่สามารถรับรองได้ว่าความปลอดภัยหรือความลับของข้อมูลจะมีอยู่ร้อยเปอร์เซนต์ถึงแม้ว่าจะมีการใช้ Firewall แล้วก็ตาม

เครื่องบริการรักษาความปลอดภัยของข้อมูล มีหลายที่หลายด้าน เช่น กรองแพ็กเกจ เฝ้าตรวจ ตรวจสอบการใช้ bandwidth หรือเก็บข้อมูลที่ local host ใช้งานบ่อย ไว้ให้ local host อื่น ๆ เรียกใช้ด้วยความเร็ว ซึ่งหลักการของ firewall ที่สำคัญมีดังนี้

1. ให้บริการเฉพาะที่ต้องการเปิด

2. ให้บริการใครบ้าง

3. ให้สมาชิกในแต่ละกลุ่ม สามารถใช้ได้เฉพาะที่เหมาะสม

4. กำหนดความปลอดภัยอย่างไร ให้แต่ละบริการ

โดยมีวิธีที่รู้จักกันทั่วไป2 วิธีด้วยกันดังนี้คือ

วิธีที่

1 Firewall อยู่ที่ Router

โดยการใช้อุปกรณ์Router ที่มีระบบไฟร์วอล อยู่ในตัว ต่อเชื่อมระหว่างระบบเครือข่าย LAN ในองค์กรกับ เครือข่ายอินเตอร์เน็ต ทำ หน้าที่ควบคุมและกรองข้อมูลประเภทต่างๆ จากแหล่งข้อมูลต่างๆ ที่เข้าออกระหว่างเครือข่ายแต่การใช้วิธีนี้อาจมีผลกระทบในบางกรณีเช่น ไม่มีการตรวจสอบรหัสผ่านหรือที่เรียกว่าการlogging in เข้าใช้ระบบ หรือไม่มีระบบเตือนต่างๆ แต่ระบบนี้ก็เป็นระบบการป้องกันพื้นฐานที่ดีระบบหนึ่ง



วิธีที่ 2 Firewall แยกจาก Router
เป็นวิธีที่แพร่หลายอีกวิธีหนึ่งในการป้องกัน มีอุปกรณ์เพิ่มมากขึ้น หรือเป็นระบบไฟร์วอลที่อยู่ในเครื่องคอมพิวเตอร์แม่ข่ายที่เรียกว่า Proxy Server ที่ช่วยกลั่นกรองและตรวจสอบการเข้าออกของผู้ใช้ข้อมูล และยังกำหนดความเข้มงวดของผู้ใช้ในการเข้าออกระหว่างระบบเครือข่าย LAN กับเครือข่ายอินเตอร์เน็ตได้ด้วย วิธีนี้จะแบ่งกลุ่มเครือข่ายเป็น 2 กลุ่มคือ กลุ่ม Protected Node เป็นเครือข่าย LAN ภายใน ซึ่งจะเป็นกลุ่มที่ใช้ข้อมูลเฉพาะภายในองค์กรที่มีความเข้มงวดสูงในการสื่อสารระหว่างกันและกัน และอีกกลุ่มเป็นกลุ่ม Unprotected Node ที่อยู่ภายนอกระบบเครือข่าย LAN ส่วนใหญ่แล้วเป็นกลุ่มที่เตรียมไว้สำ หรับเครื่องคอมพิวเตอร์แม่ข่ายเช่น WWW Server , E-Mail Server ที่ผู้ใช้ส่วนมากอยู่บนระบบอินเตอร์เน็ตให้เข้ามาใช้หาข้อมูลและติดต่อสื่อสารข้อความได้นั้นเอง และเป็นส่วนที่ต้องเผยแพร่สู่สาธารณะชน การเชื่อมต่อจะเป็นเครือข่ายอีกหนึ่งชุดติดตั้งไว้ระหว่างระบบเครือข่าย LAN กับ Router เพื่อออกสู่อินเตอร์เน็ตต่อไปFirewall - ระบบรักษาความปลอดภัยในวันนี้?ถ้าแปลเป็นภาษาไทย จะหมายถึง กำแพงไฟ ซึ่งน่าจะหมายถึงการป้องกันการบุกรุก โดยการสร้างกำแพง อย่างไรก็ตาม ความหมายของ Firewall สามารถอธิบายได้ดังนี้ คือ Firewall เป็นเครื่องมือที่ใช้สำหรับป้องกันระบบ Network (เครือข่าย) จากการสื่อสารทั่วไปที่ถูกบุกรุก จากผู้ที่ไม่ได้รับอนุญาต เป็นเรื่องเกี่ยวกับการรักษาความปลอดภัยในระบบ Network หรือระบบเครือข่าย การป้องกันโดยใช้ระบบ Firewall นี้จะเป็นการกำหนดกฏเกณฑ์ในการควบคุมการเข้า-ออก หรือการควบคุมการรับ-ส่งข้อมูล ในระบบเครือข่าย นั่นเอง

การป้องกันการเข้าถึงระบบ สามารถแบ่งออกได้เป็น 2 ประเภท

1.             Logical Access หมายถึง การเข้าถึงผ่านระบบ Network เช่น ผ่านระบบ เครือข่ายอินเทอร์เน็ต เป็นต้น

2.             Physical Access หมายถึง การเข้าถึงในลักษณะถึงตัวเครื่องจริงๆ พูดง่ายๆ คือ การเข้าถึงในลักษณะเดินเข้ามาใช้งาน หรือลักลอบเข้ามาใช้งานถึงตัวเครื่องคอมฯ ในระบบ Network นั้นๆ

คุณสมบัติของ Firewall

·         Protect
Firewall เป็นเครื่องมือที่ใช้ในการป้องกัน โดยข้อมูลที่มีการรับหรือส่งผ่านระบบเครือข่าย โดยจะถูกกำหนดเป็นกฏเกณฑ์ หรือ Rule เพื่อใช้บังคับในการสื่อสารภายในเครือข่าย (ข้อมูลที่มีการรับส่งภายใน หรือภายนอกระบบเครือข่าย เราเรียกว่า Package)

·         Rule Baseข้อกำหนดในการควบคุมการรับ-ส่งข้อมูลภายในระบบเครือข่าย ดังนั้น การติดตั้ง Firewall จะต้องมีการกำหนดกฏเกณฑ์ ในการควบคุมการทำงานในระบบเครือข่าย

·         Access Control
หมายถึง การควบคุมระดับการเข้าถึง การรับ-ส่งข้อมูล

ทำไมต้องติดตั้ง Firewall

เดิมการใช้งานคอมพิวเตอร์ส่วนใหญ่ จะเป็นการใช้งานส่วนบุคคล ดังนั้น ปัญหาต่างๆ ที่เกิดขึ้นในระหว่างการใช้งานจึงมีไม่มากนัก ต่อมาเมื่อระบบเครือข่ายอินเตอร์เน็ตเป็นที่แพร่หลายมาก ทุกองค์กร ทุกธุรกิจมีการใช้งานอินเตอร์เน็ต อย่างน้อยก็ใช้งาน อีเมล์ในการรับส่งจดหมายอิเล็คทรอนิกส์ ดังนั้น ผลพวงที่ตามมาคือ เกิดผู้ไม่ประสงค์ดี หาวิธีการในการลักลอบเข้าดูในเครื่องคอมพิวเตอร์ของคุณ เพื่อค้นหาข้อมูล หรือต้องการทดสอบความสามารถของตนเอง ตลอดจน ไวรัสคอมพิวเตอร์ ก็ได้อาศัยช่องทางของเครือข่ายอินเตอร์เน็ต เป็นช่องทางในการแพร่กระจายไวรัส