深层防毒:简述计算机病毒演变
深层防毒:恶意软件及其特征
深层防毒:非恶意软件及如何检测
深层防毒:恶意软件的威胁与防护
当恶意软件到达主机时,防护系统必须集中于保护主机系统及其数据,并停止感染的传播。这些防护与环境中的物理防护和网络防护一样重要。您应该根据以下假定来设计主机防护:恶意软件已经找到了通过前面的所有防护层的方法。此方法是达到最高保护级别的非常好的方法。
客户端的病毒防护步骤
您可以使用许多方法和技术配置客户端病毒防护。以下各节详细说明 Microsoft 建议的注意事项。
步骤 1:减小攻击面
应用程序层上的第一道防护是减小计算机的攻击面。应该在计算机上删除或禁用所有不需要的应用程序或服务,以最大限度地减少攻击者可以利用系统的方法数。
在 Microsoft.com 上 Windows XP Professional 产品文档的"Default settings for services"(默认服务设置)页上,可以找到 Windows XP Professional 服务的默认设置,该页的网址为:http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sys_srv_default_settings.mspx(英文)。
在已经将攻击面减至最小,且不影响系统的所需功能后,要此层上使用的主要防护是防病毒扫描程序。扫描程序的主要作用是检测和阻止攻击,然后通知组织中的用户,还可能通知组织中的系统管理员。
步骤 2:应用安全更新
可能连接到组织网络的客户端计算机数量很大,而且种类很多,仅这一点就可以导致很难提供快速而可靠的安全更新管理服务。Microsoft 和其他软件公司已经开发了许多可用来帮助解决此问题的工具。下列修补程序管理和安全更新工具当前可以从 Microsoft 获得:
• Windows Update。对于小型组织或个人,Windows Update 服务同时提供了手动过程和自动过程来检测和下载 Windows 平台的最新安全和功能修改。在某些组织中使用此方法时出现的问题包括:在从此服务部署更新之前缺少对测试的支持、同时下载同一程序包时客户端可能占用组织中一定量的网络带宽。有关使用此服务的信息可从 Windows Update 主页获得,其网址为:www.windowsupdate.com(英文)。
• Software Update Service。此服务旨在为企业中的 Windows 客户端提供安全更新解决方案。通过既允许内部测试也允许分布式安全更新管理,此服务为更大组织克服了 Windows Update 的这两项不足。有关使用此服务为您的组织开发解决方案的信息可从 Microsoft.com 上的 Software Update Service 主页获得,其网址为:http://www.microsoft.com/windowsserversystem/sus/(英文)。
• Systems Management Server 2003。Microsoft Systems Management Server 2003 是一个完整的企业管理解决方案,它能够提供综合的安全更新服务以及更多功能。有关此解决方案的详细信息,请参阅 Microsoft.com 上的 Systems Management Server 主页,其网址为:http://www.microsoft.com/smserver/default.asp(英文)。
其中的每种 Microsoft 安全更新工具都有特定的优点和用途。非常好的方法很可能是使用其中的一种或多种工具。为帮助评估组织的安全更新解决方案,请参阅 Microsoft.com 上"Choosing a Security Update Management Solution"(选择安全更新管理解决方案)页提供的功能比较,其网址为:http://www.microsoft.com/windowsserversystem/sus/suschoosing.mspx(英文)。
步骤 3:启用基于主机的防火墙
基于主机的防火墙或个人防火墙代表您应该启用的重要客户端防护层,尤其是在用户可能带到组织通常的物理和网络防护之外的便携式计算机上。这些防火墙会筛选试图进入或离开特定主机的所有数据。 步骤 4:安装防病毒软件
许多公司推出防病毒应用程序,其中每个应用程序都试图保护主机,同时对最终用户产生最少的不便和交互。其中的大多数应用程序在提供此保护方面都是很有效的,但是它们都要求经常更新以应对新的恶意软件。任何防病毒解决方案都应该提供快速的无缝机制,来确保尽快提供对处理新恶意软件或变种所需的签名文件的更新。签名文件包含防病毒程序在扫描过程中用来检测恶意软件的信息。根据设计,签名文件由防病毒应用程序供应商定期更新,需要下载到客户端计算机。
注意:这样的更新会带来自身的安全风险,因为签名文件是从防病毒程序的支持站点发送到主机应用程序(通常通过 Internet)。例如,如果传输机制使用文件传输协议 (FTP) 获得文件,则组织的外围防火墙必须允许对 Internet 上所需 FTP 服务器进行此类型的访问。请确保在防病毒风险评估过程中审查组织的更新机制,而且此过程的安全性足以满足组织的安全要求。
由于恶意软件的模式和技术快速变化,一些组织采用了以下方法:建议要求某些"高风险"用户在同一计算机上运行多个防病毒程序包,以帮助将未能检测到恶意软件的风险减到最小。下列用户类型通常属于此类别:
• Web 管理员或管理 Internet 或 Intranet 上内容的任何用户。
• 发布实验室工作人员或制作电子媒体(如 CD-ROM)的任何用户。
• 创建或编译压缩文件或其他产品软件的开发小组成员。
应该注意,在同一计算机上运行许多不同应用程序供应商推出的防病毒应用程序,可能会因防病毒应用程序之间的互操作性问题而产生问题。在您的环境中同时运行多个防病毒应用程序可能导致的系统问题包括:
• 内存开销。许多防病毒应用程序使用驻留在内存中的活动代理程序,因而减少了可用的系统内存量。
• 系统崩溃或停止错误。这样的崩溃和错误可能是由于多个防病毒应用程序试图同时扫描同一文件导致的。
• 性能损失。当防病毒应用程序在文件中扫描恶意代码时,系统性能可能会下降。使用多个应用程序时,会重复执行扫描,这可能会将系统性能降低到不可接受的水平。
• 无法访问系统。试图同时运行的多个防病毒应用程序可能导致系统在启动过程中停止运行。在更早版本的 Windows(如 Microsoft Windows? NT 和 Windows 9x)上,此问题更为常见。
由于这些原因,不建议在同一计算机上使用多个防病毒应用程序,应该尽可能避免。
要考虑的另一种方法是为组织中的客户端、服务器和网络防护使用来自不同供应商的防病毒软件。此方法使用不同的扫描引擎提供对基础结构的这些不同区域的一致扫描,这应该有助于在单个供应商的产品未能检测到攻击时减少对总体病毒防护的风险。
步骤 5:测试漏洞扫描程序
在配置系统之后,应该定期检查它以确保没有留下安全漏洞。为了帮助您完成此过程,许多应用程序可用作扫描程序来查找恶意软件和黑客可能试图利用的漏洞。其中的大多数工具更新自己的扫描例程,以保护您的系统免受最新漏洞的攻击。
Microsoft 基准安全分析器 (MBSA) 是能够检查常见安全配置问题的漏洞扫描程序的一个示例。此扫描程序还进行检查,以确保您的主机配置了最新的安全更新。
有关此免费配置工具的详细信息,请参阅 TechNet 上的"Microsoft Baseline Security Analyzer V1.2"(Microsoft 基准安全分析器 V1.2)页,其网址为:http://www.microsoft.com/technet/security/tools/mbsahome.mspx(英文)。
步骤 6:使用最少特权策略
在客户端防护中不应忽视的另一区域是在正常操作下分配给用户的特权。Microsoft 建议采用这样的策略:它提供可能的最少特权以帮助将在执行时依赖利用用户特权的恶意软件的影响减到最小。对于通常具有本地管理特权的用户,这样的策略尤其重要。请考虑对日常操作删除这样的特权,并在必要时改用 RunAs 命令启动所需的管理工具。
例如,需要安装要求管理员特权的应用程序的用户可能在命令提示符下运行以下安装命令,以适当的特权启动安装程序:runas /user:mydomain\admin "setup.exe"您也可以直接从 Microsoft Windows 资源管理器访问此功能,方法是执行以下步骤:以管理特权运行程序
1. 在 Windows 资源管理器中,选择要打开的程序或工具(如 Microsoft 管理控制台 (MMC) 管理单元或控制面板)。
2. 右键单击该程序或工具,然后选择"运行方式"。
注意:如果"运行方式"没有作为选项出现,请按住 Shift 键右键单击该工具。
3. 在"运行方式"对话框中,选择"下列用户:"选项。
4. 在"用户名"和"密码"框中,键入要使用的管理员帐户的用户名和密码。
步骤 7:限制未授权的应用程序
如果应用程序为网络提供一种服务,如 Microsoft Instant Messenger 或 Web 服务,则在理论上它可能成为恶意软件攻击的目标。作为防病毒解决方案的一部分,您可能希望考虑为组织编写已授权应用程序的列表。将未授权应用程序安装在您的任一客户端计算机上的尝试,可能会使所有这些计算机及其包含的数据面临受到恶意软件攻击的更大风险。
如果您的组织希望限制未授权的应用程序,则您可以使用 Windows 组策略限制用户运行未授权软件的能力。如何使用组策略已经得到广泛的讨论,有关它的详细信息可以在 Microsoft.com 上的 Windows Server 2003 Group Policy Technology Center(英文)(Windows Server 2003 组策略技术中心)找到,其网址为:
www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/。
处理此功能的组策略的特定方面称为"软件限制策略",可以通过标准组策略 MMC 管理单元访问它。
要直接从 Windows XP 客户端访问此管理单元,请完成以下步骤:
1. 单击"开始"、"运行"。
2. 键入 secpol.msc,然后单击"确定"。
对所有可能的设置进行详细说明,超出了本指南的范围。但是,TechNet 上的文章"Using Software Restriction Policies to Protect Against Unauthorized Software"(使用软件限制策略防止未授权软件),其网址为:http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx(英文),将为您提供有关使用 Windows XP Professional 操作系统的这一强大功能的分步指导。
警告:组策略是功能极其强大的技术,需要仔细配置和详尽了解才能成功实施。在确信熟悉策略设置并在非产品系统上测试了结果之前,不要尝试直接更改这些设置。
客户端应用程序的防病毒设置
以下各节提供配置恶意软件可能作为攻击目标的特定客户端应用程序的准则。
电子邮件客户端
如果恶意软件确实设法通过了网络和电子邮件服务器级别上的病毒防护,则可能存在一些设置,您可以进行配置以便为电子邮件客户端提供额外保护。
通常,如果用户能够直接从电子邮件打开电子邮件附件,则为恶意软件在客户端上传播提供了主要方式之一。如有可能,请考虑在组织的电子邮件系统中限制此能力。如果这是不可能的,一些电子邮件客户端允许您配置另外的步骤,用户将必须执行这些步骤才能打开附件。例如,在 Microsoft Outlook? 和 Outlook Express 中,您能够:
• 使用 Internet Explorer 安全区域禁用 HTML 电子邮件中的活动内容。
• 启用一项设置以便用户只能以纯文本格式查看电子邮件。
• 阻止程序在未经特定用户确认的情况下发送电子邮件。
• 阻止不安全的电子邮件附件。
有关如何配置这些功能的信息,请参阅 Microsoft 知识库文章"291387 - OLEXP:在 Outlook Express 6 中使用病毒防护功能",其网址为:
http://support.microsoft.com/?kbid=291387。
Microsoft Outlook 2003 包括防止恶意软件和垃圾邮件的附加功能。有关配置这些功能的信息,请参阅 Microsoft.com 上的 Customizing Outlook 2003 to Help Prevent Viruses(英文)(自定义 Outlook 2003 以帮助防护病毒)页,其网址为:
www.microsoft.com/office/ork/2003/three/ch12/。
桌面应用程序
随着桌面办公应用程序的日益强大,它们也成为恶意软件的攻击目标。宏病毒使用字处理器、电子表格或其他支持宏的应用程序创建的文件复制自身。
您应该尽可能采取措施,以确保在环境中处理这些文件的所有应用程序上启用最合适的安全设置。有关保护 Microsoft Office 2003 应用程序的信息,请参阅 Microsoft.com 上的"Best practices for protection from viruses"(病毒防护的非常好的做法)页,其网址为:
http://go.microsoft.com/fwlink/?LinkId=28509(英文)。
即时消息应用程序
非凡的即时消息技术帮助改进了全世界用户的通信。不幸的是,它还提供了有可能允许恶意软件进入系统的另一应用程序。虽然文本消息不会构成直接的恶意软件威胁,但是大多数即时 Messenger 客户端提供另外的文件传输功能以提高用户的通信能力。允许文件传输提供了进入组织网络的直接路由,有可能受到恶意软件的攻击。
网络防火墙只需筛选用于此通信的端口,即可阻止这些文件传输。例如,Microsoft Windows 和 MSN? Messenger 客户端使用介于 6891 和 6900 之间的 TCP 端口传输文件,因此,如果外围防火墙阻止这些端口,则通过 Instant Messenger 的文件传输就不会发生。但是,移动客户端计算机仅当在组织网络上时才受到保护。因此,您可能希望配置客户端上的基于主机的防火墙阻止这些端口,并且在组织中的移动客户端处于网络防护之外时为它们提供保护。
如果因为其他必需的应用程序使用这些端口或者需要文件传输,您的组织无法阻止这些端口,则应该确保在传输所有文件之前对其扫描以确定是否存在恶意软件。如果客户端工作站使用的不是实时防病毒扫描程序,则应该将即时消息应用程序配置为:一收到文件,就自动将传输的文件传递到防病毒应用程序进行扫描。例如,您可以将 MSN Messenger 配置为自动扫描传输的文件。以下步骤说明如何启用此安全功能:
注意:Windows XP 附带的 Windows Messenger 应用程序不支持此功能。对于此应用程序,应该使用实时防病毒扫描程序。
扫描 MSN Messenger 传输的文件
1. 在 MSN Messenger 主窗口中,单击"工具"菜单,然后单击"选项"。
2. 单击"消息"选项卡。
3. 在"文件传输"下,选中"使用下列程序进行病毒扫描"(扫描病毒时使用)复选框。
4. 单击"浏览",选择要使用的防病毒扫描软件,然后单击"确定"。
注意:在此处查找要使用的正确可执行文件和要包括的命令参数,可能需要防病毒扫描软件供应商的另外输入。
完成这些步骤之后,您的防病毒软件将在客户端上自动扫描通过 MSN Messenger 接收的所有文件。
注意:您的防病毒扫描工具可能需要另外的设置步骤。有关详细信息,请查看防病毒扫描软件的说明。
Web 浏览器
从 Internet 下载或执行代码之前,您希望确保知道它来自已知的、可靠的来源。您的用户不应该仅依赖于站点外观或站点地址,因为网页和网址都可以是伪造的。
已经开发了许多不同的方法和技术,来帮助用户的 Web 浏览器应用程序确定用户所浏览网站的可靠性。例如,Microsoft Internet Explorer 使用 Microsoft Authenticode? 技术验证已下载代码的身份。Authenticode 技术验证代码是否具有有效的证书、软件发布者的身份是否与证书匹配以及证书是否仍然有效。如果通过了所有这些测试,将会降低攻击者将恶意代码传输到系统的可能性。
大多数主要的 Web 浏览器应用程序支持限制可用于从 Web 服务器执行的代码的自动访问级别的功能。Internet Explorer 使用安全区域帮助阻止 Web 内容在客户端上执行有可能产生破坏的操作。安全区域基于 Web 内容的位置(区域)。
例如,如果确信在组织的 Intranet 中下载的任何内容都是安全的,则您可能将本地 Intranet 区域的客户端安全设置配置为低级,以便允许用户从 Intranet 下载内容时限制很少或没有限制。但是,如果下载源位于 Internet 区域或"受限制的站点"区域,则您可能希望将客户端的安全设置配置为中级或高级。这些设置将导致客户端浏览器在用户下载内容之前提示他们输入有关内容证书的信息,或者完全阻止他们进行下载。
有关 Internet Explorer 安全相关问题的详细信息,请参阅 Microsoft.com 上的 Internet Explorer Security Center(英文)(Internet Explorer 安全中心)页,其网址为:
www.microsoft.com/technet/security/prodtech/ie/。
对等应用程序
Internet 范围的对等 (P2P) 应用程序的出现,使得查找文件和与他人交换文件比以前任何时候都更为容易。不幸的是,此情况已经引发了许多恶意软件攻击,它们试图使用这些应用程序将文件复制到其他用户的计算机。蠕虫(如 W32.HLLW.Sanker)已经将 P2P 应用程序(如 Kazaa)作为攻击目标以达到复制目的。还有许多试图使用其他对等应用程序(如 Morpheus 和 Grokster)的恶意软件示例。
围绕 P2P 应用程序的安全问题与客户端程序本身几乎没有关系。这些问题与这些应用程序的以下功能有很大关系:提供从一台计算机到另一台计算机的直接路由。通过此功能,不经过适当的安全检查即可传输内容。
如果可能,Microsoft 建议限制组织中使用这些应用程序的客户端数量。您可以使用本章前面所述的 Windows 软件限制策略,帮助阻止用户运行对等应用程序。如果在您的环境中这是不可能的,请确保在制定防病毒策略时,将环境中客户端因这些应用程序而面临的更大风险考虑在内。