近年來隨著資訊科技、網際網路技術的發展，組織內部亦運用網路、電腦將各種業務電子化以減少紙本作業造成的浪費、節省人力成本以及完成各種自動化的需求，但在提升工作績效的同時，也帶來許多資訊安全的問題。政府機關單位及企業為了有效管理內部網路及強化資訊安全，經費足夠的大型組織通常會建置各式資安管控系統，但是導入各項單獨功能非常強大的系統後，由於這些系統通常只會針對本身納管的設備進行管制，缺乏相關機制來找出未受管控的電腦，常常出現各系統的資料不一致的情形，反而增加了管理者的負擔。本研究提出的簡易型資安稽核系統功能雖然不及各項特定領域的系統強大，但是卻能夠提供整合性資訊，輔助管理者了解內部哪些電腦不受到這些系統管控進而加以修正，提升各專業系統的效益。另外針對無充裕經費在資安防護，僅具備基本的微軟作業環境、網域管理伺服器及使用免費防毒軟體的小型組織，我們已實作此系統雛形，證明我們設計與建構之稽核系統能夠滿足管理者的基本管理需求，包括內網端點設備的清查、防毒軟體是否安裝及正常運作、是否定期執行微軟更新及政府組態基準設定抽檢等，且軟硬體建置的成本也非常的低，僅需在現有微軟環境下建置SQL Server搭配現有網域伺服器及免費軟體Nmap、Power BI Desktop即可完成系統建置。
關鍵字：資安稽核、微軟作業環境、資訊整合、低成本建置

With the development of technology, the organization uses computers to replace paper operations and complete the needs of automation, but it also brings a lot of information security problems. In order to manage the internal network and strengthen information security, organizations with sufficient funds usually build various types of information security systems. These systems only control the equipment they manage, there is no relevant mechanism to find out the unmanaged computers, and data is not integrated between systems which increases the burden of managers. Although the function of the simple security audit system proposed in this study is not as powerful as the system in each specific field, it can provide integrated information to help managers understand which computers are not controlled by these systems. Managers can correct these unmanaged computers to improve the effectiveness of information security systems. The research system can help organizations which do not have sufficient funds for security protection, only have a basic Microsoft operating environment, active directory server, we have implemented system to prove our design. The research system can provide the information to meet audit needs, including the inventory of endpoint devices, antivirus software operation status, Microsoft updates status and Government Configuration Baseline setting check, etc. The cost of the research system construction is very low, only need existing Microsoft environment and free software to build.
Keywords：Information security audit, Microsoft environment, information integration, low-cost implementation

【中文文獻】
[1] Learn Windows PowerShell in a Month of Lunches中文版，Don Jones, Jeffery Hicks著;林班侯編譯，博碩，2019。
[2] 政府組態基準Windows設定對照表(V1.3)，行政院國家資通安全會報技術服務中心，2018。
[3] Microsoft Windows 10說明文件(V1.0)，行政院國家資通安全會報技術服務中心，2018。
[4] 資安專家的nmap與NSE網路診斷與掃描技巧大公開，陳明照，碁峰，2018。
[5] 非常駐型端點資安檢測系統之研究，國立中央大學資訊管理學系碩士論文，林柏宇，2017。
[6] 導入ISO27001資訊安全管理之可行性研究-以國軍某軍事院校為例，國防大學管理學院資訊管理學系碩士論文，呂明逸，2017。
[7] Windows Server 2016 Active Directory建置實務，戴有煒著，碁峰，2017。
[8] 空軍通資專長人員資訊倫理、對國軍資安政策認知與資訊安全執行成效之研究，國防大學管理學院資訊管理學系碩士論文，孫志忠，2012。
[9] 深入Windows核心 : Windows Internals-第五版，Mark E. Russinovich,
David A. Solomon, Alex Ionescu著；鄧瑋敦編譯，博碩，2010。
[10] VBScript 500個活用範例 : Windows自動化技術大全for Vista/XP/2000井
川伯約著；博碩文化編譯，博碩，2010。
[11] Windows 7登錄檔嚴選密技，施威銘研究室著，旗標，2010。
[12] 駭客來了—攻防入門與提高，陳芳、秦連清、肖霞著，佳魁資訊，2009。

【網路文獻】
[1] 行政院國家資通安全會報技術服務中心 Available from：https://www.nccst.nat.gov.tw/
[2] Microsoft .NET Framework API 參考 Available from：https://docs.microsoft.com/zh-tw/dotnet/api/?view=netframework-4.8
[3] Microsoft Power BI文件Availble from： https://docs.microsoft.com/zh-tw/power-bi/
[4] 國家標準（CNS）網路服務系統 Available from：https://www.cnsonline.com.tw/
[5] Windows Security Log Events Available from：https://www.ultimatewindowssecurity.com
[6] Windows 命令 Available from：https://docs.microsoft.com/zh-tw/windows-server/administration/windows-commands/windows-commands
[7] Nmap Available from：https://nmap.org/