客户端、服务器和网络的操作策略及过程是组织中病毒防护层的基本方面。Microsoft 建议将以下策略和过程视为组织深层病毒防护解决方案的一部分：

　　• 防病毒扫描例程。理想情况下，您的防病毒应用程序应该支持自动扫描和实时扫描。但是，如果不是这样，则您应该实施一个过程，以便提供有关组织中的用户应该在何时运行完整系统扫描的指导。

　　• 防病毒签名更新例程。大多数的现代防病毒应用程序支持下载病毒签名更新的自动方法，您应该定期实施这样的方法。但是，如果您的组织要求在部署这些更新之前先对其进行测试，则通常将无法使用这样的方法。如果是这样，请确保您的支持人员尽快识别、下载、测试和更新签名文件。

　　• 允许的应用程序和服务的相关策略。应该存在明确传达的策略，以说明在组织的计算机上允许使用哪些应用程序以及哪些可以访问组织资源。可以导致问题的应用程序的示例包括：对等网络应用程序和用户可能直接从恶意网站下载的应用程序。

　　Microsoft 建议至少对组织网络防护层中的所有设备应用以下策略和过程。

　　• 变更控制。网络设备的重要安全过程是控制影响它们的变更。理想情况下，应该以可控和记录的方式提议、测试和实施所有变更。因一时冲动对外围网络中设备进行的变更，很可能引入攻击可以利用的配置错误或缺陷。

　　• 网络监视。正确地配置网络设备以优化其安全性，并不意味着可以忽视其他防病毒过程。持续监视网络中的所有设备是尽快检测出恶意软件攻击所必需的。监视是一个复杂的过程，它要求从许多源（如、路由器和交换机）收集信息，以编辑可以用来识别异常行为的"正常"行为基准。防火墙

　　• 攻击检测过程。如果检测到可疑的恶意软件攻击，则您的组织应该具有一组可以遵循的明确定义并记录的步骤，以确保攻击得到确认、控制和清除，且对最终用户带来最小的破坏。有关此主题的详细信息，请参阅第 4 章"突发控制和恢复"。

　　• 家用计算机网络访问策略。应该建立一组最低要求，员工必须满足这些要求才能将家用计算机或网络通过 VPN 连接连接到您组织的网络。

　　• 访问者网络访问策略。应该建立一组最低要求，仅允许满足这些要求的访问者连接到您组织的网络。这些要求应该同时适用于无线连接和有线连接。

　　• 无线网络策略。连接到内部网络的所有无线设备都应该先满足最低安全配置要求，才能进行连接。此策略应该为组织指定所需的最低配置。

　　您可以实施许多其他策略和过程提高网络设备的安全性；应该将本节列出的策略和过程视为一个良好的起点。但是，由于其他策略提供常规安全设置而不是防病毒特定的设置，因此它们超出了本指南的范围。

安全更新策略

　　客户端、服务器和网络防护都应该已经具有某种形式的安全更新管理系统。这样的系统可以作为范围更广的企业修补程序管理解决方案的一部分提供。应该定期检查主机和设备的操作系统是否有供应商提供的更新。这些安全更新策略还应该为用于将安全更新应用到组织系统的过程提供操作准则。此过程应该包括以下阶段：

　　1. 检查更新。某种类型的自动通知过程应该已经存在，以通知用户可用的更新。

　　2. 下载更新。系统应该能够下载更新，且对用户和网络产生最小影响。

　　3. 测试更新。如果更新要应用于关键任务主机，则您应该确保在产品环境中部署每个更新之前，在合适的非产品系统上对其进行测试。

　　4. 部署更新。在测试和验证更新之后，应该可以使用简单的部署机制帮助分发它。

　　如果在您环境中被更新的系统不需要此列表中的测试阶段，则您的组织可能希望考虑自动为系统执行整个过程。例如，使用 Microsoft Windows Update 网站上的"Automated Updates"（自动更新）选项，可以通知并更新您的客户端计算机，而无须用户干预。使用此选项，有助于确保您的系统尽快运行最新的安全更新。但是，此方法在安装更新之前不测试它。如果这是您组织的要求，则不建议使用此选项。

　　确保使用最新的安全更新维护您组织的系统，应该成为组织系统管理的常规部分。

　　基于风险的策略

　　如果在深层病毒防护模型的外围网络层和内部网络层上连接了太多的客户端、服务器和网络设备，则创建单个有效的安全策略来管理组织中的所有要求和配置就会很困难。您可以用来组织策略的一种方法是，将组织中的主机根据其类型和风险级别归入不同类别。

　　Microsoft 建议对于组织的以客户端为中心的风险评估策略考虑以下配置类别：

　　• 标准客户端配置。此配置类别通常适用于基于办公室的台式计算机，它们物理摆放在办公室建筑物中的地点。这些台式机客户端受到现有的外部和内部网络防护的持续保护，而且在组织建筑物内是受保护的。

　　• 高风险客户端配置。此配置类别旨在满足移动计算机用户和移动设备（如 PDA 和移动电话）的需要。这些设备经常移动到组织网络防护的保护之外，因此风险级别较高。

　　• 来宾客户端配置。此配置类别设计用于您的组织并不拥有或支持的客户端计算机。管理这些计算机的配置也许是不可能的，因为您不大可能具有其配置的控制权。但是，您可以设置策略，以限制这些计算机连接到组织网络的能力。来宾客户端计算机通常是以下类型之一：

　　• 员工的家用计算机。

　　• 合作伙伴或供应商的计算机。

　　• 来宾计算机。

　　Microsoft 还建议为服务器角色建立风险类别，并建议对服务器也进行与客户端一样的风险评估。作为服务器策略的起点，您可能考虑以下配置类别：

　　• 标准服务器配置。此配置类别旨在作为您环境中多数服务器配置的共同点。它提供最低级别的安全性，但不限制常用的服务。此后，您可以将高风险和角色特定的配置类别策略修改为包括相应级别的所有策略要求。

　　• 高风险服务器配置。处于外围网络中的服务器或直接暴露于外部连接和文件的服务器应该在此配置类别中考虑。例如，此类别可能包括外围 Web 服务器、防火墙服务器和消息服务器。包含特别敏感数据的服务器（如 HR 数据库服务器）也可能需要采用此配置，而不管其网络位置。

　　• 角色特定的配置。您的组织也可能选择将特定的服务器角色组织到不同的配置中，以便更加符合服务器应用程序的要求。例如，您可能选择将角色特定的配置用于消息服务器、数据库服务器或防火墙。除了根据需要使用标准配置类别或高风险配置类别外，您还可以选择使用此方法。

　　使用基于风险的策略是组织中规划小组的最终选择，并且您可以将引用的配置分类用作进一步开发的基础。最终目标是减少管理系统必须支持的配置数。通常，标准化方法比分别配置环境中每个主机的安全性更有可能产生安全的配置。