深层病毒防护指南
第 3 章:深层病毒防护
本页内容
简介所有组织都应该开发将提供高级别保护的防病毒解决方案。但是,甚至是在安装了防病毒软件后,许多组织仍然感染了病毒。本指南提出了解决恶意软件(或 malware)问题的一种不同方法。与网络安全设计一样,Microsoft 建议设计防病毒解决方案时采用深层防护方法,以便帮助确保组织在设计时采用的安全措施将得到可能的维护。 这样的方法对于组织的计算机安全是极其重要的,因为不管计算机系统提供多少有用的功能或服务,都会有人(无论出于什么原因)将试图找到漏洞以便恶意利用它,这是一件不幸的事。 与在各种环境中实施了 Microsoft? Windows Server? 2003、Windows? XP Professional 和 Windows? 2000 的顾问和系统工程师协作,有助于建立保护运行这些操作系统的客户端和服务器免受恶意软件攻击的最新的最佳做法。本章为您提供此信息。 本章还提供指导以帮助您在为组织设计防病毒安全解决方案时使用深层防护方法。此方法的目的是确保您了解模型的每个层以及对应于每个层的特定威胁,以便您可以在实施自己的防病毒措施时使用此信息。 注意:Microsoft 建议在您组织的一般安全过程和策略中包括本指南中的某些步骤。在出现这样的情况时,本指南会指明要求组织的安全小组进一步定义。 要点:如果怀疑您的组织当前正受到攻击,请在阅读本章之前,先参考本指南中的第 4 章"突发控制和恢复"。 如果您是在遇到恶意软件的攻击并进行恢复之后阅读本指南,则提供的信息旨在帮助您防止再次发生这样的攻击以及更好地了解以前的攻击是如何发生的。 恶意软件的威胁方法恶意软件可以通过许多方法来损害组织。这些方法有时称为"威胁方法",它们代表在设计有效的防病毒解决方案时您的环境中最需要引起注意的区域。下面的列表包括典型组织中最容易受到恶意软件攻击的区域:
恶意软件防护方法在针对恶意软件尝试组织有效的防护之前,需要了解组织基础结构中存在风险的各个部分以及每个部分的风险程度。Microsoft 强烈建议您在开始设计防病毒解决方案之前,进行完整的安全风险评估。优化解决方案设计所需的信息只能通过完成完整的安全风险评估获得。 有关进行安全风险评估的信息和指导,请参阅"Microsoft Solution for Securing Windows 2000 Server"(保护 Windows 2000 Server 的 Microsoft 解决方案)指南,其网址为: 深层防护安全模型在发现并记录了组织所面临的风险后,下一步就是检查和组织您将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护,它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。如果您不熟悉深层防护安全模型,Microsoft 建议您查看 Microsoft TechNet 上的"Security Content Overview"(安全内容概述)页,其网址为: 您还可以在 TechNet 上的"MSA Reference Architecture Kit"(MSA 参考体系结构工具包) 中找到此过程的其他信息和实用设计示例,其网址为: 下图说明为深层防护安全模型定义的各层: 图中的各层提供了在为网络设计安全防护时,环境中应该考虑的每个区域的视图。 您可以根据组织的安全优先级和要求,修改每层的详细定义。为了便于在本指南中讲述,下面的简单定义对模型的各层进行了定义:
通过将模型的安全层用作深层病毒防护方法的基础,您就可以重新集中视图以便将它们优化到组织中病毒防护的分组中。在组织中进行此优化的方式完全取决于组织指定的优先级和它所使用的特定防护应用程序。重点是通过确保没有从防护中排除任何安全层,来避免不完整的和弱化的防病毒设计。下图显示更集中的深层病毒防护视图: 可以将数据层、应用程序层和主机层组合到两个防护策略中,以保护组织的客户端和服务器。虽然这些防护共享许多公共策略,但是实施客户端和服务器防护方面的差异足以保证对于每个防护都是唯一的防护方法。 内部网络层和外围层也可以组合到一个公共网络防护策略中,因为这两个层所涉及的技术是相同的。每个层中的实施细节将是不同的,具体取决于组织基础结构中的设备位置和技术。 客户端防护当恶意软件到达主机时,防护系统必须集中于保护主机系统及其数据,并停止感染的传播。这些防护与环境中的物理防护和网络防护一样重要。您应该根据以下假定来设计主机防护:恶意软件已经找到了通过前面的所有防护层的方法。此方法是达到最高保护级别的最佳方法。 客户端的病毒防护步骤您可以使用许多方法和技术配置客户端病毒防护。以下各节详细说明 Microsoft 建议的注意事项。 步骤 1:减小攻击面应用程序层上的第一道防护是减小计算机的攻击面。应该在计算机上删除或禁用所有不需要的应用程序或服务,以最大限度地减少攻击者可以利用系统的方法数。 在 Microsoft.com 上 Windows XP Professional 产品文档的"Default settings for services"(默认服务设置)页上,可以找到 Windows XP Professional 服务的默认设置,该页的网址为:http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sys_srv_default_settings.mspx(英文)。 在已经将攻击面减至最小,且不影响系统的所需功能后,要此层上使用的主要防护是防病毒扫描程序。扫描程序的主要作用是检测和阻止攻击,然后通知组织中的用户,还可能通知组织中的系统管理员。 步骤 2:应用安全更新可能连接到组织网络的客户端计算机数量很大,而且种类很多,仅这一点就可以导致很难提供快速而可靠的安全更新管理服务。Microsoft 和其他软件公司已经开发了许多可用来帮助解决此问题的工具。下列修补程序管理和安全更新工具当前可以从 Microsoft 获得:
其中的每种 Microsoft 安全更新工具都有特定的优点和用途。最佳方法很可能是使用其中的一种或多种工具。为帮助评估组织的安全更新解决方案,请参阅 Microsoft.com 上"Choosing a Security Update Management Solution"(选择安全更新管理解决方案)页提供的功能比较,其网址为: 步骤 3:启用基于主机的防火墙基于主机的防火墙或个人防火墙代表您应该启用的重要客户端防护层,尤其是在用户可能带到组织通常的物理和网络防护之外的便携式计算机上。这些防火墙会筛选试图进入或离开特定主机的所有数据。 Windows XP 包括名为"Internet 连接防火墙"(ICF) 的简单个人防火墙。ICF 在被启用后将监视通过它的通信的所有方面。ICF 还检查它处理的每个数据包的源地址和目标地址,以确保每个通信都是允许的通信。有关 ICF 的详细信息,请参阅 Windows XP 帮助系统以及 Microsoft.com 上的"Use the Internet Connection Firewall"(使用 Internet 连接防火墙)页,其网址为: Windows XP Service Pack 2 引入了对 ICF(现在称为"Windows 防火墙")的许多重要增强以及其他面向安全性的改进。Service Pack 是自产品发布以来经过测试的所有修复程序、安全更新、关键更新和为内部发现的缺陷创建的更新的累积集合。Service Pack 也可能包含少量客户请求的设计更改或功能。有关 Windows XP 的此更新的信息,请参阅 Microsoft TechNet 上的"Windows XP Service Pack 2"页,其网址为: Windows XP 之前的 Windows 版本没有附带内置防火墙。可以安装基于主机的第三方防火墙解决方案,在更早版本的 Windows 上提供防火墙服务以及增强 Windows XP 客户端上的防火墙服务。有关这些防火墙产品的信息,请参阅 Microsoft Protect Your PC(保护您的 PC)网站上的"Frequently Asked Questions About Internal Firewalls"(内部防火墙常见问题解答)页,其网址为: 步骤 4:安装防病毒软件许多公司推出防病毒应用程序,其中每个应用程序都试图保护主机,同时对最终用户产生最少的不便和交互。其中的大多数应用程序在提供此保护方面都是很有效的,但是它们都要求经常更新以应对新的恶意软件。任何防病毒解决方案都应该提供快速的无缝机制,来确保尽快提供对处理新恶意软件或变种所需的签名文件的更新。签名文件包含防病毒程序在扫描过程中用来检测恶意软件的信息。根据设计,签名文件由防病毒应用程序供应商定期更新,需要下载到客户端计算机。 注意:这样的更新会带来自身的安全风险,因为签名文件是从防病毒程序的支持站点发送到主机应用程序(通常通过 Internet)。例如,如果传输机制使用文件传输协议 (FTP) 获得文件,则组织的外围防火墙必须允许对 Internet 上所需 FTP 服务器进行此类型的访问。请确保在防病毒风险评估过程中审查组织的更新机制,而且此过程的安全性足以满足组织的安全要求。 由于恶意软件的模式和技术快速变化,一些组织采用了以下方法:建议要求某些"高风险"用户在同一计算机上运行多个防病毒程序包,以帮助将未能检测到恶意软件的风险减到最小。下列用户类型通常属于此类别:
应该注意,在同一计算机上运行许多不同应用程序供应商推出的防病毒应用程序,可能会因防病毒应用程序之间的互操作性问题而产生问题。在您的环境中同时运行多个防病毒应用程序可能导致的系统问题包括:
由于这些原因,不建议在同一计算机上使用多个防病毒应用程序,应该尽可能避免。 要考虑的另一种方法是为组织中的客户端、服务器和网络防护使用来自不同供应商的防病毒软件。此方法使用不同的扫描引擎提供对基础结构的这些不同区域的一致扫描,这应该有助于在单个供应商的产品未能检测到攻击时减少对总体病毒防护的风险。 有关防病毒供应商的详细信息,请参阅 Microsoft.com 上的"Microsoft Antivirus Partners"(Microsoft 防病毒合作伙伴),其网址为: 有关为 Windows XP 设计的防病毒软件的详细信息,请参阅 Microsoft.com 上的"Microsoft Windows Catalog Antivirus"(Microsoft Windows 目录防病毒)页,其网址为:http://go.microsoft.com/fwlink/?LinkId=28506(英文)。 步骤 5:测试漏洞扫描程序在配置系统之后,应该定期检查它以确保没有留下安全漏洞。为了帮助您完成此过程,许多应用程序可用作扫描程序来查找恶意软件和黑客可能试图利用的漏洞。其中的大多数工具更新自己的扫描例程,以保护您的系统免受最新漏洞的攻击。 Microsoft 基准安全分析器 (MBSA) 是能够检查常见安全配置问题的漏洞扫描程序的一个示例。此扫描程序还进行检查,以确保您的主机配置了最新的安全更新。 有关此免费配置工具的详细信息,请参阅 TechNet 上的"Microsoft Baseline Security Analyzer V1.2"(Microsoft 基准安全分析器 V1.2)页,其网址为:http://www.microsoft.com/technet/security/tools/mbsahome.mspx(英文)。 步骤 6:使用最少特权策略在客户端防护中不应忽视的另一区域是在正常操作下分配给用户的特权。Microsoft 建议采用这样的策略:它提供可能的最少特权以帮助将在执行时依赖利用用户特权的恶意软件的影响减到最小。对于通常具有本地管理特权的用户,这样的策略尤其重要。请考虑对日常操作删除这样的特权,并在必要时改用 RunAs 命令启动所需的管理工具。 例如,需要安装要求管理员特权的应用程序的用户可能在命令提示符下运行以下安装命令,以适当的特权启动安装程序: runas /user:mydomain\admin "setup.exe" 您也可以直接从 Microsoft Windows 资源管理器访问此功能,方法是执行以下步骤: 以管理特权运行程序
步骤 7:限制未授权的应用程序如果应用程序为网络提供一种服务,如 Microsoft Instant Messenger 或 Web 服务,则在理论上它可能成为恶意软件攻击的目标。作为防病毒解决方案的一部分,您可能希望考虑为组织编写已授权应用程序的列表。将未授权应用程序安装在您的任一客户端计算机上的尝试,可能会使所有这些计算机及其包含的数据面临受到恶意软件攻击的更大风险。 如果您的组织希望限制未授权的应用程序,则您可以使用 Windows 组策略限制用户运行未授权软件的能力。如何使用组策略已经得到广泛的讨论,有关它的详细信息可以在 Microsoft.com 上的 Windows Server 2003 Group Policy Technology Center(英文)(Windows Server 2003 组策略技术中心)找到,其网址为: 处理此功能的组策略的特定方面称为"软件限制策略",可以通过标准组策略 MMC 管理单元访问它。下图显示组策略 MMC 屏幕,其中显示可以同时为计算机和用户设置软件限制策略的路径: 要直接从 Windows XP 客户端访问此管理单元,请完成以下步骤:
对所有可能的设置进行详细说明,超出了本指南的范围。但是,TechNet 上的文章"Using Software Restriction Policies to Protect Against Unauthorized Software"(使用软件限制策略防止未授权软件),其网址为: 警告:组策略是功能极其强大的技术,需要仔细配置和详尽了解才能成功实施。在确信熟悉策略设置并在非产品系统上测试了结果之前,不要尝试直接更改这些设置。 客户端应用程序的防病毒设置以下各节提供配置恶意软件可能作为攻击目标的特定客户端应用程序的准则。 电子邮件客户端如果恶意软件确实设法通过了网络和电子邮件服务器级别上的病毒防护,则可能存在一些设置,您可以进行配置以便为电子邮件客户端提供额外保护。 通常,如果用户能够直接从电子邮件打开电子邮件附件,则为恶意软件在客户端上传播提供了主要方式之一。如有可能,请考虑在组织的电子邮件系统中限制此能力。如果这是不可能的,一些电子邮件客户端允许您配置另外的步骤,用户将必须执行这些步骤才能打开附件。例如,在 Microsoft Outlook? 和 Outlook Express 中,您能够:
有关如何配置这些功能的信息,请参阅 Microsoft 知识库文章"291387 - OLEXP:在 Outlook Express 6 中使用病毒防护功能",其网址为: Microsoft Outlook 2003 包括防止恶意软件和垃圾邮件的附加功能。有关配置这些功能的信息,请参阅 Microsoft.com 上的 Customizing Outlook 2003 to Help Prevent Viruses(英文)(自定义 Outlook 2003 以帮助防护病毒)页,其网址为: 桌面应用程序随着桌面办公应用程序的日益强大,它们也成为恶意软件的攻击目标。宏病毒使用字处理器、电子表格或其他支持宏的应用程序创建的文件复制自身。 您应该尽可能采取措施,以确保在环境中处理这些文件的所有应用程序上启用最合适的安全设置。有关保护 Microsoft Office 2003 应用程序的信息,请参阅 Microsoft.com 上的"Best practices for protection from viruses"(病毒防护的最佳做法)页,其网址为: 即时消息应用程序非凡的即时消息技术帮助改进了全世界用户的通信。不幸的是,它还提供了有可能允许恶意软件进入系统的另一应用程序。虽然文本消息不会构成直接的恶意软件威胁,但是大多数即时 Messenger 客户端提供另外的文件传输功能以提高用户的通信能力。允许文件传输提供了进入组织网络的直接路由,有可能受到恶意软件的攻击。 网络防火墙只需筛选用于此通信的端口,即可阻止这些文件传输。例如,Microsoft Windows 和 MSN? Messenger 客户端使用介于 6891 和 6900 之间的 TCP 端口传输文件,因此,如果外围防火墙阻止这些端口,则通过 Instant Messenger 的文件传输就不会发生。但是,移动客户端计算机仅当在组织网络上时才受到保护。因此,您可能希望配置客户端上的基于主机的防火墙阻止这些端口,并且在组织中的移动客户端处于网络防护之外时为它们提供保护。 如果因为其他必需的应用程序使用这些端口或者需要文件传输,您的组织无法阻止这些端口,则应该确保在传输所有文件之前对其扫描以确定是否存在恶意软件。如果客户端工作站使用的不是实时防病毒扫描程序,则应该将即时消息应用程序配置为:一收到文件,就自动将传输的文件传递到防病毒应用程序进行扫描。例如,您可以将 MSN Messenger 配置为自动扫描传输的文件。以下步骤说明如何启用此安全功能: 注意:Windows XP 附带的 Windows Messenger 应用程序不支持此功能。对于此应用程序,应该使用实时防病毒扫描程序。 扫描 MSN Messenger 传输的文件
完成这些步骤之后,您的防病毒软件将在客户端上自动扫描通过 MSN Messenger 接收的所有文件。 注意:您的防病毒扫描工具可能需要另外的设置步骤。有关详细信息,请查看防病毒扫描软件的说明。 Web 浏览器从 Internet 下载或执行代码之前,您希望确保知道它来自已知的、可靠的来源。您的用户不应该仅依赖于站点外观或站点地址,因为网页和网址都可以是伪造的。 已经开发了许多不同的方法和技术,来帮助用户的 Web 浏览器应用程序确定用户所浏览网站的可靠性。例如,Microsoft Internet Explorer 使用 Microsoft Authenticode? 技术验证已下载代码的身份。Authenticode 技术验证代码是否具有有效的证书、软件发布者的身份是否与证书匹配以及证书是否仍然有效。如果通过了所有这些测试,将会降低攻击者将恶意代码传输到系统的可能性。 大多数主要的 Web 浏览器应用程序支持限制可用于从 Web 服务器执行的代码的自动访问级别的功能。Internet Explorer 使用安全区域帮助阻止 Web 内容在客户端上执行有可能产生破坏的操作。安全区域基于 Web 内容的位置(区域)。 例如,如果确信在组织的 Intranet 中下载的任何内容都是安全的,则您可能将本地 Intranet 区域的客户端安全设置配置为低级,以便允许用户从 Intranet 下载内容时限制很少或没有限制。但是,如果下载源位于 Internet 区域或"受限制的站点"区域,则您可能希望将客户端的安全设置配置为中级或高级。这些设置将导致客户端浏览器在用户下载内容之前提示他们输入有关内容证书的信息,或者完全阻止他们进行下载。 有关 Internet Explorer 安全相关问题的详细信息,请参阅 Microsoft.com 上的 Internet Explorer Security Center(英文)(Internet Explorer 安全中心)页,其网址为: 对等应用程序Internet 范围的对等 (P2P) 应用程序的出现,使得查找文件和与他人交换文件比以前任何时候都更为容易。不幸的是,此情况已经引发了许多恶意软件攻击,它们试图使用这些应用程序将文件复制到其他用户的计算机。蠕虫(如 W32.HLLW.Sanker)已经将 P2P 应用程序(如 Kazaa)作为攻击目标以达到复制目的。还有许多试图使用其他对等应用程序(如 Morpheus 和 Grokster)的恶意软件示例。 围绕 P2P 应用程序的安全问题与客户端程序本身几乎没有关系。这些问题与这些应用程序的以下功能有很大关系:提供从一台计算机到另一台计算机的直接路由。通过此功能,不经过适当的安全检查即可传输内容。 如果可能,Microsoft 建议限制组织中使用这些应用程序的客户端数量。您可以使用本章前面所述的 Windows 软件限制策略,帮助阻止用户运行对等应用程序。如果在您的环境中这是不可能的,请确保在制定防病毒策略时,将环境中客户端因这些应用程序而面临的更大风险考虑在内。 服务器防护环境中的服务器防护与客户端防护有许多共同之处;二者都试图保护同一基本个人计算机环境。两者的主要差异在于,服务器防护在可靠性和性能方面的预期级别通常高得多。此外,许多服务器在组织基础结构中起到的专门作用通常需要制定专门的防护解决方案。以下各节中的信息集中说明服务器防护和前面讨论的客户端防护之间的主要差异。 服务器的病毒防护步骤服务器的防病毒配置有很大差异,具体取决于特定服务器的角色以及根据设计它所提供的服务。将攻击面减到最小的过程通常称为"强化"。您可以获取有关强化组织中用于各种典型角色的 Windows Server 2003 的最佳指南。有关本主题的详细信息,请参阅 Microsoft.com 上的"Server Security Index"(服务器安全性索引)页,其网址为: 在组织中防护服务器的四个基本防病毒步骤与防护客户端的步骤相同。
除了这些常用的防病毒步骤之外,请考虑将以下服务器特定的软件用作总体服务器病毒防护的一部分。 一般的服务器防病毒软件为客户端环境(如 Windows XP)设计的防病毒应用程序和为服务器环境(如 Windows Server 2003)设计的防病毒应用程序之间的主要差异在于,基于服务器的扫描程序和任何基于服务器的服务(如消息服务或数据库服务)之间的集成级别。许多基于服务器的防病毒应用程序还提供了远程管理功能,以最大限度地减少物理访问服务器控制台的需要。 在为服务器环境评估防病毒软件时应该考虑的其他重要问题包括:
有关已经过认证可以在 Windows Server 2003 上使用的防病毒应用程序的列表,请单击 Windows Server Catalog(Windows Server 目录)的"Business Solutions, Security"(业务解决方案,安全性)页,其网址为 http://go.microsoft.com/fwlink/?linkid=28510(英文)。 角色特定的防病毒配置和软件现在,有许多可用于企业中特定服务器角色的专用防病毒配置、工具和应用程序。可以从此类型专用防病毒防护中获益的服务器角色的示例有:
应用程序特定的防病毒解决方案通常提供更佳的保护和性能,因为它们设计用于与特定服务集成在一起,而不是试图在文件系统级服务的下面起作用。本节讨论的所有服务器角色均负责有关在文件系统级运行的防病毒扫描程序无法访问的信息。还提供了有关其中每个服务器角色的信息,以及 Microsoft 建议如何将特定防病毒配置、工具和应用程序与它们一起使用。 Web 服务器在一段时间内,所有类型的组织中的 Web 服务器都曾经是安全攻击的目标。不管攻击来自恶意软件(如 CodeRed)还是来自试图破坏组织网站的黑客,充分配置 Web 服务器上的安全设置以最大限度地防御这些攻击都是很重要的。Microsoft 在 Microsoft.com 上"Windows Server 2003 Security Guide"(Windows Server 2003 安全指南)的"Chapter 8 - Hardening IIS Servers"(第 8 章 - 强化 IIS 服务器)中专门为负责保护网络上运行 IIS 的服务器的系统管理员提供了指导,网址为: 除了此指导外,您还可以下载某些免费工具,它们将在 IIS 上自动执行许多安全配置。例如,可以从 Microsoft.com 上下载 IIS Lockdown Tool,网址为: 此工具用于调整 Web 服务器,以便仅提供其角色所需的那些服务,因此减小了任何恶意软件对服务器的攻击面。 UrlScan 是限制 IIS 要处理的 HTTP 请求类型的另一种安全工具。通过阻止特定的 HTTP 请求,UrlScan 可以帮助阻止可能有害的请求到达服务器。现在,您可以在运行 IIS 4.0 或更高版本的服务器上干干净净地安装 UrlScan 2.5。有关 UrlScan 的详细信息,请参阅 Microsoft.com 上的"UrlScan Security Tool"(UrlScan 安全工具)页,其网址为: 消息服务器为组织中的电子邮件服务器设计有效的防病毒解决方案时,要牢记两个目标。第一个目标是防止服务器本身受到恶意软件的攻击。第二个目标是阻止任何恶意软件通过电子邮件系统进入组织中用户的邮箱。务必确保在电子邮件服务器上安装的防病毒解决方案能够实现这两个目标。 一般来说,标准文件扫描防病毒解决方案无法阻止电子邮件服务器将恶意软件作为附件传递到客户端。所有电子邮件服务(最简单的除外)都将电子邮件存储于某种类型的数据库(有时称为"邮件文件夹")。典型的文件扫描防病毒解决方案无法访问此类数据库的内容。事实上,如果允许文件扫描防病毒解决方案通过驱动器映射(如 Exchange Server 5.5 和 Exchange Server 2000 上的 M: 驱动器)尝试扫描,则它可能会损坏邮件文件夹。 使防病毒解决方案与正使用的电子邮件解决方案匹配是很重要的。许多防病毒供应商现在为特定电子邮件服务器提供其软件的专用版本,这些版本设计用于扫描经过电子邮件系统的电子邮件以确定是否包含恶意软件。以下两种基本类型的电子邮件防病毒解决方案通常是可用的:
Microsoft Exchange 提供了名为"病毒 API"(VAPI)(也称为防病毒 API (AVAPI) 或病毒扫描 API (VSAPI))的特定防病毒应用程序编程接口 (API)。此 API 由专门的 Exchange Server 防病毒应用程序使用,以帮助在 Exchange 电子邮件服务器上以安全而可靠的方式提供完全的消息传递保护。有关此 API 的详细信息,请参阅 Microsoft.com 上的 Microsoft 知识库文章"328841 - XADM:Exchange 与防病毒软件",其网址为: 数据库服务器在考虑数据库服务器的病毒防护时,需要保护以下四个主要元素:
由于数据存储区内的数据不能直接执行,因此通常认为数据存储区本身不需要扫描。目前,没有专为数据存储区编写的主要防病毒应用程序。但是,在进行防病毒配置时,应该仔细考虑数据库服务器的主机、数据库服务和数据通信这些元素。 应该专门为恶意软件威胁检查主机的位置和配置。一般说来,Microsoft 建议不要将数据库服务器置于组织基础结构的外围网络中(尤其当服务器存储敏感数据时)。但是,如果必须在外围网络中放置这样的数据库服务器,请确保对它进行配置将感染恶意软件的风险减到最小。 如果您的组织使用 SQL Server,请参阅以下指导以获得有关特定恶意软件攻击配置准则的详细信息:
最近的"Slammer"蠕虫直接将 SQL Server 作为攻击目标。此攻击表明无论 SQL Server 数据库计算机是位于外围网络还是内部网络中,保护它们都是非常重要的。 有关可帮助确保您的 SQL Server 系统免受 Slammer 蠕虫攻击的信息和软件,请参阅 Microsoft.com 上的"Finding and Fixing Slammer Vulnerabilities"(查找和修复 Slammer 漏洞)页,其网址为: 协作服务器协作服务器本身的特点使它们易受恶意软件的攻击。当用户将文件复制到服务器和从服务器复制文件时,他们可能使网络上的服务器和其他用户受到恶意软件的攻击。Microsoft 建议使用可以扫描复制到协作存储区和从协作存储区复制的所有文件的防病毒应用程序,保护环境中的协作服务器(如运行 SharePoint Services 和 SharePoint Portal Server 2003 的服务器)。有关保护这些服务的详细分步信息,请参阅 Microsoft.com 上"Administrators Guide for Windows SharePoint Services"(Windows SharePoint Services 管理员指南)的"Configuring Antivirus Protection"(配置病毒保护)页,其网址为: 有关为与 Windows SharePoint Services 和 SharePoint Portal Server 2003 集成而专门编写的防病毒软件的信息,请参阅 Microsoft Office Online 上的"Solutions Directory "(解决方案目录)页,其网址为: 网络防护层在已记录的恶意软件事件中,通过网络发动的攻击是最多的。通常,发动恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织 IT 基础结构中的主机设备。这些设备可以是客户端、服务器、路由器,或者甚至是防火墙。在此层上进行病毒防护所面临的最困难问题之一是,平衡 IT 系统用户的功能要求与创建有效防护所需的限制。例如,与许多最近的攻击类似,MyDoom 蠕虫使用电子邮件附件复制自己。从 IT 基础结构的角度来看,阻止所有传入附件是最简单、最安全的选项。但是,组织中电子邮件用户的需求可能不允许这样做。必须进行折衷,在组织的需求和它可以接受的风险级别之间达到平衡。 许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。Microsoft 建议使用此方法,因为它正好符合深层防护安全模型。 注意:存在一种日益增长的趋势:将内部网络分解为多个安全区域,以便为每个安全区域建立外围。Microsoft 也建议使用此方法,因为它可帮助降低试图访问内部网络的恶意软件攻击的总体风险。但是,本指南仅对单个网络防护进行说明。如果您计划使用一个外围网络和多个内部网络,则可以将此指导直接应用于每个网络。 组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过外部攻击进入组织。如本章前面所述,典型的恶意软件攻击集中于将文件复制到目标计算机。因此,您的病毒防护应该使用组织的常规安全措施,以确保只有经过适当授权的人员才能以安全方式(如通过加密的虚拟专用网络 (VPN) 连接)访问组织的数据。有关创建安全的外围网络设计的详细信息,请参阅 TechNet 上的 Microsoft Systems Architecture 2.0 指导,其网址为: 注意:您也应该将任何无线局域网 (LAN) 和 VPN 视为外围网络。如果您的组织已经采用这些技术,则对其进行保护是很重要的。如果无法提供此安全性,则可能允许攻击者直接访问您的内部网络(避开标准的外围防护)以发动攻击。 有关保护 WLAN 的详细信息,请参阅 TechNet 上的以下文章:
有关保护 VPN 网络的指导,请参阅 Microsoft.com 上的以下文章:
在本指南中,假定网络安全设计为组织提供了所需的标识、授权、加密和保护级别,以防止未经授权的攻击者直接侵入。但是,此时病毒防护是不完整的。下一步是将网络层防护配置为检测和筛选使用允许的网络通信(如电子邮件、Web 浏览和即时消息)的恶意软件攻击。 网络防病毒配置有许多专门设计用于为组织提供网络安全的配置和技术。虽然这些是组织安全设计的重要部分,但是本节仅集中说明与病毒防护有直接关系的区域。您的网络安全和设计小组应该确定在组织中如何使用以下每种方法。 网络入侵检测系统因为外围网络是网络中风险很大的部分,因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测 (NID) 系统的作用仅仅是提供:外部攻击的快速检测和报告。虽然 NID 系统是总体系统安全设计的一部分,而且不是特定的防病毒工具,但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如,一些恶意软件使用 IP 扫描来查找可进行感染的系统。由于此原因,应该将 NID 系统配置为与组织的网络管理系统一起工作,将任何不寻常的网络行为的警告直接传递给组织的安全人员。 要了解的一个关键问题是:对于任何 NID 实现,其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护,而且防护应该得到连续不断的实时监视。只有在此时,才能认为该过程是防护策略的一部分。否则,NID 系统实际上更像一个在攻击发生之后提供审核记录的工具。 有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备,也可以是集成到其他网络服务(如组织的防火墙服务)中的其他系统。例如,Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 产品包含 NID 系统功能以及防火墙和代理服务。 有关为 ISA Server 提供其他 NID 服务的 Microsoft ISA Server 合作伙伴的列表,请参阅 Microsoft.com 上的"Intrusion Detection"(入侵检测)页,其网址为: 应用程序层筛选组织意识到使用 Internet 筛选技术监视和屏蔽网络通信中的非法内容(如病毒)不仅是有用的,而且是必需的。在过去,曾经使用防火墙服务提供的数据包层筛选执行了此筛选,仅允许根据源或目标 IP 地址或者特定的 TCP 或 UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) 在 OSI 网络模型的应用程序层上工作,因此它允许根据数据的内容检查和筛选数据。如果除了使用标准数据包层筛选外还使用 ALF,则可以实现的安全性要高得多。例如,使用数据包筛选可能允许您筛选通过组织防火墙的端口 80 网络流量,以便它只能传递到 Web 服务器。但是,此方法可能不提供足够的安全性。通过将 ALF 添加到解决方案中,您可以检查端口 80 上传递到 Web 服务器的所有数据,以确保它是有效的且不包含任何可疑代码。 ISA Server 可以在数据包通过组织防火墙时提供对它们的 ALF。可以扫描 Web 浏览和电子邮件,以确保特定于每个 Web 浏览和电子邮件的内容不包含可疑数据,如垃圾邮件或恶意软件。ISA Server 中的 ALF 功能启用深层内容分析,包括使用任何端口和协议检测、检查和验证流量的功能。有关提供筛选器以提高不同协议和 Web 通信的安全性和互操作性的供应商的列表,请参阅 Microsoft.com 上的"Partner Application Filters"(合作伙伴应用程序筛选器)页,其网址为: 有关 ALF 如何在 ISA Server 2000 中工作的详细说明,请参阅"Introducing the ISA Server 2000 Application Layer Filtering Kit"(ISA Server 2000 应用程序层筛选工具包简介)页,其网址为: 内容扫描内容扫描在更高级防火墙解决方案中作为一项功能提供,或者作为单独服务(如电子邮件)的组件提供。内容扫描询问允许通过有效数据通道进入或离开组织网络的数据。如果内容扫描是在电子邮件上执行的,则它通常与电子邮件服务器协同工作以检查电子邮件的特性(如附件)。此方法可以在数据通过服务时实时扫描和识别恶意软件内容。有许多与 Microsoft 协作为 Microsoft Exchange Server 和 ISA Server 提供增强安全功能(如实时防病毒内容扫描)的合作伙伴。 有关可用于 Microsoft Exchange Server 2003 的合作伙伴防病毒产品的更多详细信息,请参阅 Microsoft.com 上的 Microsoft 知识库文章"823166 - 与 Exchange Server 2003 配合使用的防病毒软件概述",其网址为: 有关已经开发了用于 ISA Server 的内容扫描产品的 Microsoft 合作伙伴的列表,请参阅 Microsoft.com 上的"Partners"(合作伙伴)页,其网址为: URL 筛选对于网络管理员可能可用的另一个选项是 URL 筛选,您可以使用它阻止有问题的网站。例如,您可能使用 URL 筛选阻止已知的黑客网站、下载服务器和个人 HTTP 电子邮件服务。 注意:主要的 HTTP 电子邮件服务站点(如 Hotmail 和 Yahoo)提供防病毒扫描服务,但是有许多较小站点根本不提供防病毒扫描服务。对组织防护来说,这是严重的问题,因为这样的服务会提供直接从 Internet 到客户端的路由。 网络管理员可以使用两种基本的 URL 筛选方法:
第一种方法依赖于识别可能存在问题的网站并将它们添加到列表中的主动过程。由于 Internet 的大小和可变特性,此方法需要自动化解决方案或很大的管理开销,通常仅对阻止数目较小的已知有问题网站是有用的,无法提供综合性保护解决方案。第二种方法提供了更好的保护,因为它的限制特性允许控制可供系统用户访问的站点。但是,除非进行了正确调查以识别用户所需的所有站点,否则此方法可能对许多组织来说限制性太强。 Microsoft ISA Server 支持使用其"站点和内容规则"手动创建这两个列表。但是,直接用于 ISA Server 的增强型自动化解决方案可从 Microsoft 合作伙伴处获得,以确保可以根据需要阻止或允许 URL,同时将管理开销减到最小。这些解决方案的列表可以从 Microsoft.com 上的"Microsoft Internet Security and Acceleration (ISA) Server Partners URL Filtering"(Microsoft Internet Security and Acceleration (ISA) Server 合作伙伴 URL 筛选)页获得,其网址为: 仅当客户端处于组织防护内时,这两种方法才会提供保护。移动客户端在办公室外直接连接到 Internet 时,将不提供此保护,这意味着您的网络可能会受到攻击。如果组织中的移动客户端需要 URL 筛选解决方案,则您应该考虑使用基于客户端的防护系统。但是,此方法可能会带来很大的管理开销,尤其是在具有大量移动客户端的环境中。 隔离网络为保护网络可以使用的另一种方法是:为不满足组织最低安全要求的计算机建立隔离网络。 注意:不应该将此方法与某些防病毒应用程序中提供的隔离功能相混淆,后者将感染文件移动到计算机上的安全区域中,直到可以将其清除。 隔离网络应该限制(或者甚至阻止)对组织资源的内部访问,但是提供一种连接级别(包括 Internet)允许临时访问者的计算机高效工作,而不会给内部网络的安全带来风险。如果访问者的便携式计算机感染了恶意软件并连接到网络,则隔离网络可以限制其感染内部网络上其他计算机的能力。 与此类似的方法成功应用于 VPN 类型的远程连接,已经有一段时间了。在执行系统测试的同时,将 VPN 客户端转移到临时隔离网络。如果客户端通过了测试(例如由于具有所需的安全更新和防病毒签名文件),则将授予它们访问组织内部网络的权限。如果客户端不满足这些要求,则将断开它们的连接或允许它们访问隔离网络,这可以用来获得通过测试所必需的更新。现在,网络设计人员正研究此技术以帮助改进内部网络的安全性。 有关此方法的详细信息,请参阅 Microsoft.com 上"Microsoft Windows Server 2003 Deployment Kit"(Microsoft Windows Server 2003 部署工具包)的"Planning for Network Access Quarantine Control"(规划网络访问的隔离控制)页,其网址为: ISA Server Feature Pack如果您的组织使用 ISA Server 2000,则 Microsoft 还建议您使用在 ISA Server Feature Pack 1 中提供的其他功能。此免费附件提供其他安全功能,您可以使用这些功能提高网络防护中跨防火墙的通信(包括电子邮件)的安全性。您可以用来改进防病毒网络防护的功能包括:
要获得此 Feature Pack,请参阅 Microsoft.com 上的"How to Obtain Feature Pack 1"(如何获得 Feature Pack 1)页,其网址为: 有关使用这些功能保护外围 ISA Server 防火墙的详细信息,请参阅 Microsoft.com 上的"ISA Server Feature Pack 1"页,其网址为: 物理安全性与其说物理安全性是特定的恶意软件问题,不如说它是一般的安全问题,但是如果没有用于组织基础结构中所有客户端、服务器和网络设备的有效物理防护计划,则无法避免恶意软件的攻击。在有效的物理防护计划中有许多关键元素,其中包括:
在组织的安全风险评估中,应该评估其中的每个元素。如果攻击者损害其中的任一元素,则风险级别增加,恶意软件可以绕过外部和内部网络防护边界感染网络上的主机。 保护对您的工具和计算系统的访问应该是组织总体安全策略的基本元素。这些注意事项的详细说明已经超出了此解决方案的范围。但是,有关可靠的物理安全性计划的基本元素的信息可从 Microsoft TechNet 上的"5-Minute Security Advisor - Basic Physical Security"(5 分钟安全顾问 - 基本物理安全性)文章中获得,网址为: 策略、过程和意识客户端、服务器和网络的操作策略及过程是组织中病毒防护层的基本方面。Microsoft 建议将以下策略和过程视为组织深层病毒防护解决方案的一部分:
Microsoft 建议至少对组织网络防护层中的所有设备应用以下策略和过程。
您可以实施许多其他策略和过程提高网络设备的安全性;应该将本节列出的策略和过程视为一个良好的起点。但是,由于其他策略提供常规安全设置而不是防病毒特定的设置,因此它们超出了本指南的范围。 安全更新策略客户端、服务器和网络防护都应该已经具有某种形式的安全更新管理系统。这样的系统可以作为范围更广的企业修补程序管理解决方案的一部分提供。应该定期检查主机和设备的操作系统是否有供应商提供的更新。这些安全更新策略还应该为用于将安全更新应用到组织系统的过程提供操作准则。此过程应该包括以下阶段:
如果在您环境中被更新的系统不需要此列表中的测试阶段,则您的组织可能希望考虑自动为系统执行整个过程。例如,使用 Microsoft Windows Update 网站上的"Automated Updates"(自动更新)选项,可以通知并更新您的客户端计算机,而无须用户干预。使用此选项,有助于确保您的系统尽快运行最新的安全更新。但是,此方法在安装更新之前不测试它。如果这是您组织的要求,则不建议使用此选项。 确保使用最新的安全更新维护您组织的系统,应该成为组织系统管理的常规部分。 基于风险的策略如果在深层病毒防护模型的外围网络层和内部网络层上连接了太多的客户端、服务器和网络设备,则创建单个有效的安全策略来管理组织中的所有要求和配置就会很困难。您可以用来组织策略的一种方法是,将组织中的主机根据其类型和风险级别归入不同类别。 为帮助确定分配给主机或设备的风险级别,请考虑对每个主机或设备进行风险评估。有关执行这样的风险评估的一组详细指导,请参阅 TechNet 上"Microsoft Solution for Securing Windows 2000 Server"(保护 Windows 2000 Server 的 Microsoft 解决方案)的"Chapter 3 - Understanding the Security Risk Management Discipline"(第 3 章 - 了解安全风险管理规则),其网址为: Microsoft 建议对于组织的以客户端为中心的风险评估策略考虑以下配置类别:
Microsoft 还建议为服务器角色建立风险类别,并建议对服务器也进行与客户端一样的风险评估。作为服务器策略的起点,您可能考虑以下配置类别:
使用基于风险的策略是组织中规划小组的最终选择,并且您可以将引用的配置分类用作进一步开发的基础。最终目标是减少管理系统必须支持的配置数。通常,标准化方法比分别配置环境中每个主机的安全性更有可能产生安全的配置。 自动监视和报告策略如果您的组织使用可以向中心位置报告可疑恶意软件感染的自动监视系统或防病毒应用程序,则有可能自动执行此过程以便任何警报都自动通知组织 IT 基础结构中的所有用户。自动警报系统将最大限度地减少初始警报和知道恶意软件威胁的用户之间的延迟,但是此方法存在的问题是它可以生成许多"假阳性"警报。如果没有人筛选警报和检查不寻常的活动报告检查表,则警报很可能警告不存在的恶意软件。此情况可能导致对威胁估计不足,因为太频繁地生成警报,用户将会很快对警报不那么敏感了。 Microsoft 建议指定网络管理小组的成员负责接收来自所有系统监视软件或您组织使用的防病毒程序包的所有自动恶意软件警报。之后,小组先从自动系统中筛选出假阳性警报,再向用户发出警报。为了使此方法得以成功,小组需要每周 7 天、每天 24 小时地监视警报,以确保检查所有的警报,如果需要则向网络用户发布。 用户和支持小组的意识小组意识和培训应该针对组织中的管理和支持小组。重要 IT 专业人员的培训是 IT 所有领域的基本要求,但是对于病毒防护它尤其重要,因为恶意软件攻击和防护的特点可能会定期变化。一个新的恶意软件攻击可以在几乎一夜之间损害有效的防护系统,而您组织的防护可能处于危险之中。如果这些防护的支持人员在如何识别和响应新的恶意软件威胁方面没有进行过培训,则迟早会在病毒防护系统中发生严重的安全违反。 用户意识用户培训通常是组织在设计其病毒防护时最后考虑的事情之一。帮助用户了解与恶意软件攻击有关的一些风险是缓解此类风险的重要部分,因为组织中使用 IT 资源的任何人都在网络安全性方面起着一定作用。由于这一原因,有必要使用户了解他们可以缓解的更常见风险,例如:
当恶意软件所用方法改变时,必须更新病毒防护。不管防病毒程序的签名文件或程序本身是否需要更新,创建和部署更新都需要时间。创建更新所需的时间在最近几年得到了大幅度的减少,这些更新通常在数小时内即可用。但是,在更少见的情况下,从新的恶意软件攻击的发动时间到可以提供有效的病毒防护,仍然可能需要数天的时间。 在此时间内,您组织具有的最好防护可能是意识到恶意软件及其风险的用户。为用户提供基本的防病毒准则和培训,可以帮助阻止经过 IT 防护的新型恶意软件在整个环境中传播。 培训用户不必是一个复杂的过程。基本的防病毒准则主要基于常识性原则,但是确保明确强制和传达这样的准则可能是一个难题。Windows XP 基准安全检查表 - 可以从 Microsoft TechNet 上的以下网址下载: 负责移动设备的用户很可能需要进行其他培训,以帮助他们了解与将设备带到组织的物理防护和网络防护之外关联的风险。很可能将需要专用于保护这些移动设备的其他防护。由于这一原因,您可能需要为管理这些设备的用户指定其他配置和培训。 注意:在 Microsoft.com 上的 Protect your PC(英文)(保护您的 PC)指南中提供了一些有用的最终用户配置信息,网址为: 支持小组意识负责组织的服务器、客户端和网络设备的配置和支持的 IT 专业人员将需要进行防病毒培训,帮助他们确保最佳地配置和维护其系统,以阻止恶意软件的攻击。其中任何计算机或设备的配置错误都可以打开恶意软件攻击的路由。例如,如果缺乏培训的防火墙管理员在外围防火墙设备上默认打开了所有网络端口,则将带来严重的安全风险和恶意软件风险。负责连接到组织外围网络的设备的管理员应该接受特定的安全培训,以帮助他们了解可以影响网络设备攻击的范围。 有关安全主题的许多事件、动手实验和 Web 广播可以直接从 Microsoft 获得。有关这些主题的详细信息,请参阅 Microsoft.com 上的"Your Security Program Guide"(您的安全程序指南),其网址为: 安全培训和书籍也可以从 Microsoft Learning 获得。有关这些出版物的详细信息,请参阅 Microsoft.com 上的"Microsoft Learning Security Resources"(Microsoft Learning 安全资源)页,其网址为: 获得用户反馈如果为意识到恶意软件的用户提供了报告所用系统上不寻常行为的简单而有效的机制,则他们可以提供极佳的预警系统。这样的机制可以采用电话热线号码、电子邮件别名或从组织支持人员的快速升级过程的形式。 主动内部通信如有可能,IT 部门的成员应该建立主动防病毒响应小组,该小组负责监视外部的恶意软件警报站点以预警恶意软件的攻击。这种站点的良好示例包括:
定期检查类似这些站点的参考站点,应该使支持人员可以在最新的恶意软件威胁渗透到组织网络之前,将这些威胁通知系统管理员和用户。确定进行这些检查的时间是至关重要的。确保系统用户在检查早上的电子邮件之前收到主动的警告,他们可能只需要删除几封可疑的电子邮件,而不会导致恶意软件的爆发。如果多数系统用户在上午 9 点登录,则建立一种在此时间之前报告新的恶意软件威胁的方法可以视为最佳做法。 内部的恶意软件警报以及时和全面的方式找出通知所有用户可能发生的恶意软件攻击的最有效机制,是至关重要的。可用的通信系统差异很大,具体取决于组织的基础结构;提供适合于所有组织的恶意软件警报系统是不可能的。但是,本节提供组织为了达到此目的可能希望考虑的机制的以下示例:
小结病毒防护不再仅仅是安装应用程序。最近的恶意软件攻击已经证明需要更全面的防护方法。本章集中说明如何应用深层防护安全模型形成深层防护方法的基础,为组织创建有效的防病毒解决方案。请务必了解恶意软件编写者持续不断地更新攻击组织可能在使用的新 IT 技术的方法,而且防病毒技术不断发展以缓解这些新威胁。 深层病毒防护方法应该有助于确保您的 IT 基础结构能够应对所有可能的恶意软件攻击方法。使用此分层方法,就可以更轻松地识别整个系统中的任何薄弱点,从外围网络到整个环境中使用计算机的个人。如果未能处理深层病毒防护方法中所述的任一层,都有可能使您的系统受到攻击。 您应该经常复查防病毒解决方案,以便每当需要时都可以更新它。病毒防护的所有方面都是重要的,从简单的病毒签名自动下载到操作策略的完全更改。 同样,因为本指南中提供的信息也会更新,请务必经常访问 Microsoft.com 上的 Microsoft Security Antivirus Information(Microsoft 安全防病毒信息)网站(其网址为:http://www.microsoft.com/security/antivirus/(英文)),以接收最新的防病毒信息和指导。 Microsoft 认识到恶意软件可以产生巨大的破坏和惊人的损失,因此投入了大量精力以便使创建和分发恶意软件的人更难得逞。Microsoft 还在努力使网络设计人员、IT 专业人员和最终用户可以更轻松地配置系统,使其满足安全要求且对业务操作产生很小影响。 尽管彻底根除恶意代码也许是不可能的,但是持续关注此深层病毒防护方法中重点说明的方面将有助于将恶意软件攻击可以对组织的业务操作产生的影响减到最小。
|
本文内容
|
