惡意軟件的深度防護

惡意軟件的深度防護第一頁，共四十頁，編輯于2023年，星期六

本章重點如下：什么是惡意軟件？它們的主要特征及運行機制是什么？端口的檢測與木馬的清除方法蠕蟲的檢測與清除方法惡意代碼和網絡蠕蟲的防護

Windows系統(tǒng)TCP/IP堆棧強化措施惡意軟件的深層防護方法第二頁，共四十頁，編輯于2023年，星期六2.1認識惡意軟件

2.1.1什么是惡意軟件？

“惡意軟件”通俗地講是指代凡是自身可執(zhí)行惡意任務，會給目標系統(tǒng)帶來破壞性的軟件。從大的方面來劃分的話就包括計算機病毒程序和黑客程序兩類，細分的話可以分為計算病毒（Virus）、蠕蟲（Worm）、木馬程序（TrojanHorse）、后門程序（Backdoor）、邏輯炸彈（LogicBomb）等）幾類。

1.特洛伊木馬

特洛伊木馬屬于黑客程序的一種，它的作用是潛入目標計算機系統(tǒng)收集有關信息，然后再把這些信息通過一定的方式反饋給在遠程監(jiān)控的黑客。

2.網絡蠕蟲

網絡蠕蟲可以通過網絡連接自動將其自身從一臺計算復制機分發(fā)到另一臺計算機上，這與計算機病毒非常類似，所以有人把它劃分為計算機病毒類型。第三頁，共四十頁，編輯于2023年，星期六3.計算機病毒

計算機病毒是我們最常見的一種惡意軟件，其代碼的明確意圖就是自行通過感染其它文件進行復制，然后破壞其它正常文件。病毒嘗試將其自身附加到宿主程序，以便在計算機之間進行傳播。宿主程序執(zhí)行時，病毒代碼也隨之運行，并會感染新的宿主，有時還會傳遞額外負載。它可能會損害硬件、軟件或數據。

區(qū)分是病毒，還是蠕蟲、木馬的方法很簡單。如果惡意代碼將其自身的副本添加到文件、文檔或磁盤驅動器的啟動扇區(qū)來進行復制，則認為它是計算機病毒，否則如果能自身復制，則是網絡蠕蟲，不能復制的則是特洛伊木馬。計算機病毒復制的副本可以是原始病毒的直接副本，也可以是原始病毒的修改版本。

計算機病毒通常會將其包含的負載（例如特洛伊木馬）放置在一個本地計算機上，然后執(zhí)行一個或多個惡意操作（例如刪除用戶數據）。但是，僅進行復制且不具有負載的計算機病毒仍是惡意軟件問題，因為該病毒自身在其復制時可能會損壞數據、消耗系統(tǒng)資源并占用網絡帶寬。

本節(jié)詳細內容參見書本P42~P43頁。第四頁，共四十頁，編輯于2023年，星期六2.1.2什么是非惡意軟件

以前我們通常是這樣理解惡意軟件，那就是對我們可能造成威脅的都應算是惡意軟件，其實現在通常不這么認為。有許多存在的威脅并不被認為是惡意軟件，因為它們不是具有惡意的計算機程序。常見類型的非惡意軟件如下：玩笑軟件惡作劇欺詐軟件垃圾郵件間諜軟件彈出廣告軟件

InternetCookie

本節(jié)詳細內容參見書本P44~P45頁。第五頁，共四十頁，編輯于2023年，星期六2.1.3惡意軟件的主要特征

每類惡意軟件可以表現出來的各種特征通常非常類似。例如，病毒和蠕蟲可能都會使用網絡作為傳輸機制。然而，病毒會尋找文件以進行感染，而蠕蟲僅嘗試復制其自身。以下分別從攻擊環(huán)境組件、攜帶者對象、傳播方式、入侵或攻擊方式、觸發(fā)機制和防護機制等幾個方面說明惡意軟件的一些典型特征。

1.攻擊環(huán)境組件

通常情況下，惡意軟件在攻擊宿主系統(tǒng)時所需的組件包括：宿主系統(tǒng)、運行平臺和攻擊目標三個。

2.攜帶者對象

如果惡意軟件是病毒，它會試圖將攜帶者對象作為攻擊對象（也稱為宿主）?？墒褂玫哪繕藬y帶者對象數量和類型因惡意軟件的不同而不同，最常用的惡意軟件目標攜帶者包括：可執(zhí)行文件、腳本和控件、宏、啟動扇區(qū)和內存等。第六頁，共四十頁，編輯于2023年，星期六3.傳播方式

在惡意軟件傳播中主要存在：可移動媒體、網絡共享、網絡掃描、對等（P2P）網絡、電子郵件和安全漏洞幾種途經。

4.入侵或攻擊方式

一旦惡意軟件通過傳輸到達了宿主計算機，它通常會執(zhí)行相應的入侵或攻擊，在專業(yè)上稱之為“負載”操作。入侵和攻擊方式可以有許多類型，常見的包括：后門非法訪問、破壞或刪除數據、信息竊取、拒絕服務（DoS）和分布式拒絕服務（DDoS）等。

5.觸發(fā)機制

觸發(fā)機制是惡意軟件的一個特征，惡意軟件使用此機制啟動復制或負載傳遞。典型的觸發(fā)機制包括：手動執(zhí)行、社會工程、半自動執(zhí)、自動執(zhí)行、定時炸彈和條件執(zhí)行等幾種。

6.防護機制

惡意軟件要實現他們的目的，當然首要要做的就是先保護好自己不被用戶發(fā)現，所采取了許多防護措施包括：裝甲、竊取、加密、寡態(tài)和多態(tài)這幾種方式。

本節(jié)詳細內容參見書本P46~P50頁。第七頁，共四十頁，編輯于2023年，星期六2.2木馬的檢測、清除與防范

木馬程序不同于病毒程序那樣感染文件，而是作為一種駐留程序隱藏在系統(tǒng)內部。木馬一般是以尋找后門、竊取密碼和重要文件為主，還可以對電腦進行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強的隱蔽性、突發(fā)性和攻擊性。由于木馬具有很強的隱蔽性，用戶往往是在自己的密碼被盜、機密文件丟失的情況下才知道自己中了木馬。本節(jié)要向大家介紹如何檢測自己的計算機是否中了木馬，以及中了木馬如何清除，平常應做的防范措施又有哪些等方面的內容。第八頁，共四十頁，編輯于2023年，星期六2.2.1木馬的手工檢測、清除與防范方法

手工檢測木馬的方法有多種，但常用的可以采用以下幾種主要方式：查看開放端口

通常使用一些專門的工具軟件進行，如Windows系統(tǒng)自帶的netstat命令，它的語法格式為：netstat[-a][-e][-n][-o][-pProtocol][-r][-s][Interval]。通過運行這個命令即可查看當前系統(tǒng)中哪些端口正在使用，再與當前系統(tǒng)中打開的軟件系統(tǒng)相比較就可以比較容易地分析出哪些端口是正在被木馬軟件利用。還有一款Fport軟件，與netstat工具類似，但功能更加強大，是一款非常流行的端口檢測軟件。圖形化界面工具ActivePorts則一款可以在圖形界面中操作的端口檢測軟件。它們都可以查看當前打開了哪些端口，然后與當前系統(tǒng)中正常軟件系統(tǒng)使用的端口和本書后面提供的木馬軟件使用的端口表對照即可發(fā)現自己的系統(tǒng)是否中了木馬。第九頁，共四十頁，編輯于2023年，星期六

查看win.ini和system.ini系統(tǒng)配置文件

因為木馬程序會經常修改win.ini和system.ini這兩個文件，以達到隱藏，并且隨系統(tǒng)啟動而自動啟動的目的，所以在一定程度上我們通過查看這兩個文件是否有被修改可以判別是否中了木馬。當然并不是所有木馬程序都會修改這兩個文件，而且要想從這兩個文件中發(fā)現是否被修改也是有相當難度的，至少要知道相應木馬修改這兩個文件的一般特征，才有針對性地去查看。

有的木馬是通過修改win.ini文件中windows節(jié)中的“l(fā)oad=”和“run=”項語句實現自動加載的。在system.ini文件中通常是修改boot節(jié)中的語句。所以我們著重要查看這兩個文件中的這兩節(jié)中的語句，看它們所加載的程序是否屬于正常程序。一些常見木馬的清除方法也將在本書附錄列舉。查看啟動程序

要查看系統(tǒng)啟動文件，可以通過系統(tǒng)配置程序進行，在“運行”窗口輸入msconfig命令，在打開的對話框中選擇“啟動”選項卡，如圖2-1所示。第十頁，共四十頁，編輯于2023年，星期六

查看系統(tǒng)進程

通常可以通過查看系統(tǒng)進程來推斷木馬是否存在，只是由于我們不是對所有正常進程的名稱和用途完全了解，所以難以區(qū)分哪個進程是木馬程序進程而已。系統(tǒng)進程的查看可以在WindowsNT/XP系統(tǒng)中，按下〖CTRL〗+〖ALT〗+〖DEL〗組合鍵來打開進程對話框進行。

本節(jié)詳細內容參見書本P51~P55頁。圖2-1：“系統(tǒng)配置實用程序”窗口“啟動”選項卡第十一頁，共四十頁，編輯于2023年，星期六2.2.2木馬的軟件自動清除和端口關閉方法

對于已發(fā)現的木馬程序我們可以用上節(jié)介紹的方法加以清除。對于未發(fā)現的木馬，則需要通過專門的木馬清除工具軟件來進行了，如主要的殺毒軟件、木馬專殺工具等。目前主要的殺毒軟件品牌有金山、瑞星、江民、諾頓、趨勢等的最新版本都提供了木馬查殺功能。專門的木馬查殺工具主要有TheCleaner、木馬克星、木馬殺客、木馬終結者、反間諜專家等。相對來說，集成于病毒防護軟件中的木馬查殺功能相對較弱，而專門的木馬查殺工具，雖然基本上都是小型的共享軟件，但針對木馬的查殺能力卻要遠比集成于病毒防護軟件中的木馬查殺工具強許多。

另外，為了使那些已知使用特定端口的木馬，我們可以采取關閉所使用的端口，這樣可以達到預防木馬入侵的目的。關閉端口的常用方法包括：利用“本地安全策略”關閉端口和2.利用“本地連接”屬性關閉端口兩種。

以上具體配置方法參見書本P55~P62頁。第十二頁，共四十頁，編輯于2023年，星期六2.3拒絕惡意代碼

本節(jié)主要介紹了以下兩方面的配置方法：

1.IE瀏覽器Internet安全選項設置

一般惡意網頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼通常是一些VBScript、JavaScript腳本和ActiveX控件之類的小程序，只要打開含有這類代碼的網頁就會被運行。為了避免攻擊，我們別無選擇，只能想辦法來禁止包含這些惡意代碼的網頁打開了，這個辦法就是在瀏覽器中進行相應的安全設置。

2.IE瀏覽器本地Intranet安全選項設置

除了設定本地Intranet、受信任的站點、受限制的站點的安全級別外，每臺主機本身的安全性也是非常重要的，可微軟的IE中并沒有提供“我的電腦”安全性設定。其實是有的，只不過微軟通常情況下是把它隱藏了，可以通過修改注冊表把該選項打開。

以上具體配置方法參見書本P62~P64頁。第十三頁，共四十頁，編輯于2023年，星期六2.4網絡蠕蟲的濃度防護

近年來，蠕蟲所引發(fā)的安全事件此起彼伏，且有愈演愈烈之勢。從2001年后爆發(fā)的CodeRed蠕蟲、Nimda蠕蟲，SQL殺手病毒（SQLSLAMMER蠕蟲），到2003年肆掠的“沖擊波”、2004年“震蕩波”、“沖擊波”等無不都是“蠕蟲”在作怪，而且開始與病毒相結合了。蠕蟲通常會感染目前主流的Windows2000/XP/Server2003系統(tǒng)，如果不及時預防，它們就可能會在幾天內快速傳播、大規(guī)模感染網絡。

2.4.1網絡蠕蟲的定義和危害性

蠕蟲這個生物學名詞在1982年由XeroxPARC的JohnF.Shoch等人最早引入計算機領域，并給出了蠕蟲的兩個最基本特征，那就是可以從一臺計算機移動到另一臺計算機，并且可以自我復制。1988年Morris蠕蟲爆發(fā)后，EugeneH.Spafford為了區(qū)分蠕蟲和病毒，從技術角度給蠕蟲的定義為：“計算機蠕蟲可以獨立運行，并能把自身的一個包含所有功能的版本傳播到另外的計算機上?！?。第十四頁，共四十頁，編輯于2023年，星期六

由于網絡蠕蟲和計算機病毒都具有傳染性和復制功能，導致二者之間是非常難區(qū)分的。尤其是近年來，越來越多的病毒采取了部分蠕蟲的技術。另一方面具有破壞性的蠕蟲也采取了部分病毒的技術，更加劇了這種情況。目前現在對蠕蟲給出了新的定義，那就是：蠕蟲是無須計算機使用者干預即可運行的獨立程序，它通過不停的獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播?！薄拇诵露x上來分析的話，一些以前我認為是蠕蟲的則只是病毒，盡管它們的名稱上都有“蠕蟲”二字。如Happy99蠕蟲病毒、Mellisa網絡蠕蟲宏病毒、LoverLetter網絡蠕蟲病毒、SirCam蠕蟲病毒、NAVIDAD網絡蠕蟲、Blebla.B網絡蠕蟲、VBS_KAKWORM.A蠕蟲等。

網絡蠕蟲是目前危害最大的惡意軟件，幾乎每次蠕蟲發(fā)作都會因其造成的巨大經濟損失，自1998年至今，幾年每年都有給全球計算機用戶帶來巨大損失的典型蠕蟲出現。它是目前計算機病毒領域中，危害性最大、難以根治，出現越來越頻繁的種類之一。第十五頁，共四十頁，編輯于2023年，星期六2.4.2預防蠕蟲的基本措施

我們在平常的計算機應用中注意以下所列的一些安全事項，可以在相當大程度上預防蠕蟲的感染：選擇可靠的防毒軟件把郵件存放在其他分區(qū)：不要存放于系統(tǒng)分區(qū)。認真分析郵件：打開郵件前認真分析郵件特征，如發(fā)信人地址，拒收陌生人的郵件，特別是國外的。慎用郵件預覽功能：現在一些危害性極高的蠕蟲，往往都是在進行郵件預覽時就會感染系統(tǒng)，而根本不用我們以前慣性認為的需要打開郵件。當心可執(zhí)行文件：包括.com、.exe、.bat和帶宏的.doc文件定期升級病毒庫及時升級系統(tǒng)或應用程序安全補丁

本節(jié)詳細內容參見書本P65~P67頁。第十六頁，共四十頁，編輯于2023年，星期六2.5如何強化TCP/IP堆棧安全

本節(jié)主要向大家介紹如何強化Windows2000Server/Server2003服務器家族系統(tǒng)的TCP/IP堆棧的方法。其實非常簡單，通過對Windows注冊表的TCP/IP參數配置，就可以實現保護服務器免遭網絡級別的拒絕服務攻擊，包括SYS洪水攻擊、ICMP攻擊和SNMP攻擊。

通過本節(jié)的學習，我們可以了解或掌握到以下幾方面的知識和技能：強化服務器的TCP/IP堆棧安全保護服務器免遭“拒絕服務”和其他基于網絡的攻擊在檢測到攻擊時啟用SYN洪水攻擊保護設置用于確認是什么構成攻擊的閾值第十七頁，共四十頁，編輯于2023年，星期六2.5.1抵御SYN攻擊SYN攻擊利用了TCP/IP連接建立機制中的安全漏洞。要實施SYN洪水攻擊，攻擊者會使用程序發(fā)送大量TCPSYN請求來填滿服務器上的掛起連接隊列。這會禁止其他用戶建立網絡連接。要保護網絡抵御SYN攻擊，只需按以下這些通用方法配置即可。

1.啟用SYN攻擊保護

設置SynAttackProtect雙字節(jié)鍵值項，該鍵值項位于注冊表編輯器的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services主鍵項中（如果沒有則新建，下同，不再另行說明），并將其設為2（有效值為0~2）。

以上設置的功能就可使TCP調整SYN-ACK的重傳。配置此值后，在遇到SYN攻擊時，對連接超時的響應將更快速。在超過TcpMaxHalfOpen或TcpMaxHalfOpenRetried的值后，將觸發(fā)SYN攻擊保護。第十八頁，共四十頁，編輯于2023年，星期六2.設置SYN保護閾值

（1）設置TcpMaxPortsExhausted雙字節(jié)鍵值項。在注冊表編輯器中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services主鍵項，并查看名為TcpMaxPortsExhausted的雙字節(jié)鍵值項，將其值設為5（有效值為0~65535）。這項設置是指定觸發(fā)SYN洪水攻擊保護所必須超過的TCP連接請求數的閾值。

（2）然后同樣在上述Services主鍵項中設置TcpMaxHalfOpenRetried鍵值項的值勤為400（有效值為80~65535）。該項設置可以使在啟用SynAttackProtect鍵值項后，指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數的閾值。超過SynAttackProtect值后，將觸發(fā)SYN洪水攻擊保護。

3.設置其他保護

這一部分中的所有注冊表項和值都位于注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services主鍵項下面。

（1）將名為TcpMaxConnectResponseRetransmissions的雙字節(jié)鍵項值設為2（有效值為0~255）。第十九頁，共四十頁，編輯于2023年，星期六

該項設置用于控制在響應一次SYN請求之后，在取消重傳嘗試之前SYN-ACK響應的重傳次數。

（2）將名為TcpMaxDataRetransmissions的雙字節(jié)值項的值設為2（有效值為0~65535）。該項設置指定在終止連接之前TCP重傳一個數據段（不是連接請求段）的次數。

（3）將名為EnablePMTUDiscovery的鍵值項的值設為0（有效值為0、1）。將該項值設置為1（默認值）可強制TCP查找在通向遠程主機的路徑上的最大傳輸單元或最大數據包大小。攻擊者可能將數據包強制分段，這會使堆棧不堪重負，所以設為0。對于不是來自本地子網的主機的連接，將該值指定為0可將最大傳輸單元強制設為576字節(jié)。

（4）將名為KeepAliveTime的鍵值項值設為300000（5分鐘，有效值為80~4294967295）。該項設置可以指定TCP嘗試通過發(fā)送持續(xù)存活的數據包來驗證空閑連接是否仍然未被觸動的頻率。

（5）將名為NoNameReleaseOnDemand的鍵值項值設為1（有效為0、1）。該項設置可以指定計算機在收到名稱發(fā)布請求時是否發(fā)布其NetBIOS名稱，設為1表示發(fā)布。

本節(jié)具體內容參見書本P68~P69頁。第二十頁，共四十頁，編輯于2023年，星期六2.5.2抵御ICMP攻擊

這一部分的命名值都位于注冊表HKLM\System\CurrentControlSet\Services\AFD\Parameters的主鍵項下面。只需將名為EnableICMPRedirect的雙字節(jié)鍵項值設為0即可（有效值為0（禁用）、1（啟用））。通過將此注冊表鍵值項修改為0，能夠在收到ICMP重定向數據包時禁止創(chuàng)建高成本的主機路由。

2.5.3抵御SNMP攻擊

這一部分的命名值位于注冊表HKLM\System\CurrentControlSet\Services\Tcpip\Parameters主鍵項的下面。只需將名為EnableDeadGWDetect的鍵值項值設為0即可（有效值為0（禁用）、1（啟用））。通過此項設置，可禁止攻擊者強制切換到備用網關。第二十一頁，共四十頁，編輯于2023年，星期六2.5.4AFD.SYS保護

本節(jié)配置的的注冊表項是用來指定內核模式驅動程序Afd.sys參數的。Afd.sys用于支持WindowsSockets應用程序。這一部分的所有注冊表項和值都位于注冊表HKLM\System\CurrentControlSet\Services\AFD\Parameters主鍵項的下面，具體如下：

EnableDynamicBacklog

將名為EnableDynamicBacklog的鍵值項值設為1（有效值為0（禁用）、1（啟用））。該項設置用來指定是否啟用AFD.SYS功能，以有效處理大量的SYN_RCVD連接。

MinimumDynamicBacklog

將名為MinimumDynamicBacklog的鍵值項值設為20（有效值為0~4294967295）。該項設置用于指定在偵聽的終結點上所允許的最小空閑連接數。如果空閑連接的數目低于該值，線程將被排隊，以創(chuàng)建更多的空閑連接。第二十二頁，共四十頁，編輯于2023年，星期六MaximumDynamicBacklog

將名為MaximumDynamicBacklog的鍵值項值設為20000（有效值為0~4294967295）。該項值的設置用于指定空閑連接以及處于SYN_RCVD狀態(tài)的連接的最大總數。

DynamicBacklogGrowthDelta

將名為DynamicBacklogGrowthDelta的鍵值項值設為10（有效值為0~4294967295）。該項值的設置用于指定在需要增加連接時將要創(chuàng)建的空閑連接數。

本節(jié)具體內容參見書本P70頁。第二十三頁，共四十頁，編輯于2023年，星期六2.5.5其他保護

以下所有注冊表項和值都位于注冊表HKLM\System\CurrentControlSet\Services\Tcpip\Parameters主鍵項的下面。保護屏蔽的網絡細節(jié)

需修改的鍵值項為DisableIPSourceRouting。將名為DisableIPSourceRoutin的鍵值項值設為1（有效值為0（轉發(fā)所有數據包）、1（不轉發(fā)源路由數據包），2（丟棄所有傳入的源路由數據包））。該項設置可以用來禁用IP源路由。避免接受數據包片段

需修改的鍵值項為EnableFragmentChecking。將名為EnableFragmentChecking的鍵值項值設為1（有效值為0（禁用）、1（啟用））。該項設置可以用來禁止IP堆棧接受數據包片段。第二十四頁，共四十頁，編輯于2023年，星期六切勿轉發(fā)去往多臺主機的數據包

需修改的鍵值項為EnableMulticastForwarding。

將名為EnableMulticastForwarding的鍵值項值設為0（有效值為0（false）、1（true））。該項設置可以用來指定路由服務使用此參數來控制是否轉發(fā)IP多播。此參數由路由和遠程訪問服務創(chuàng)建。只有防火墻可以在網絡間轉發(fā)數據包

需將名為IPEnableRouter的鍵值項值設為0（有效值為0（false）、1（true））。將此參數設置為1（true）會使系統(tǒng)在它所連接的網絡之間路由IP數據包，選擇0則不路由。屏蔽網絡拓撲結構細節(jié)

需修改的鍵值項為EnableAddrMaskReply。

將名為EnableAddrMaskReply的鍵值項值設為0（有效值為0（false）、1（true））。此參數控制計算機是否響應ICMP地址屏蔽請求，選擇0則表示不響應ICMP地址屏蔽請求。

本節(jié)具體內容參見書本P70~P71頁。第二十五頁，共四十頁，編輯于2023年，星期六2.6惡意軟件的深度防護方法

在針對惡意軟件嘗試企業(yè)有效的防護之前，需要了解企業(yè)基礎結構中存在風險的各個部分，以及每個部分的風險程度。強烈建議您在開始設計惡意軟件防護方案之前，進行完整的安全風險評估，但優(yōu)化解決方案設計所需的信息只能通過完成完整的安全風險評估獲得。

病毒防護不再僅僅是安裝病毒防護程序。深層病毒防護方法應該有助于確保您的IT基礎結構能夠應對所有可能的惡意軟件攻擊方法。使用此分層方法，可以更輕松地識別整個系統(tǒng)中的任何薄弱點。如果未能處理深層病毒防護方法中所述的任一層，都有可能使您的系統(tǒng)受到攻擊。我們應該經常復查防病毒解決方案，以便每當需要時都可以更新它。病毒防護的所有方面都是重要的，從簡單的病毒簽名自動下載到操作策略的完全更改。盡管徹底根除惡意代碼也許是不可能的，但是持續(xù)關注深層病毒防護方法，將有助于將惡意軟件攻擊對企業(yè)產生的影響減到最小。第二十六頁，共四十頁，編輯于2023年，星期六2.6.1深層防護安全模型

在發(fā)現并記錄了企業(yè)所面臨的風險后，下一步就是檢查和企業(yè)您將用來提供防病毒解決方案的防護措施。深層防護安全模型是此過程的極好起點。此模型識別出七級安全防護，它們旨在確保損害企業(yè)安全的嘗試將遇到一組強大的防護措施。每組防護措施都能夠阻擋多種不同級別的攻擊。下頁圖2-2說明了為深層防護安全模型定義的各個層次。圖中的各層提供了在為網絡設計安全防護時，環(huán)境中應該考慮的每個區(qū)域的視圖。您可以根據企業(yè)的安全優(yōu)先級和要求，修改每層的詳細定義。

在部署深層安全防護策略時，我們又需對整個網絡中的不同關鍵部分作出相應的防護重點，這就是細化后的安全模型，如下頁的圖2-3所示。

本節(jié)具體內容參見書本P72~P73頁。第二十七頁，共四十頁，編輯于2023年，星期六。圖2-2：深層防護安全模型圖2-3：部署深層安全防護策略后的安全模型

第二十八頁，共四十頁，編輯于2023年，星期六2.6.2客戶端防護

當惡意軟件到達主機時，防護系統(tǒng)必須集中于保護主機系統(tǒng)及其數據，并停止感染的傳播。這些防護與環(huán)境中的物理防護和網絡防護一樣重要。一個典型的客戶端病毒防護步驟如下：

（1）減小攻擊面

應用程序層上的第一道防護是減小計算機的攻擊面。應該在計算機上刪除或禁用所有不需要的應用程序或服務，以最大限度地減少攻擊者可以利用系統(tǒng)的方法數。

（2）應用安全更新

微軟和其他軟件公司已經開發(fā)了許多可用來幫助解決此問題的工具。像WindowsUpdate、SoftwareUpdateService和SystemsManagementServer2003等修補程序管理和安全更新工具當前可以從微軟官方網站上獲得。第二十九頁，共四十頁，編輯于2023年，星期六

（3）啟用基于主機的防火墻

基于主機的防火墻或個人防火墻代表您應該啟用的重要客戶端防護層，尤其是在用戶可能使用到企業(yè)通常的物理和網絡防護之外的便攜式計算機上。這些防火墻會篩選試圖進入或離開特定主機的所有數據。WindowsXP系統(tǒng)包括名為“Internet連接防火墻”（ICF）的簡單個人防火墻。WindowsXPServicePack2引入了對ICF（現在稱為“Windows防火墻”）的許多重要增強以及其他面向安全性的改進。（4）安裝防病毒軟件

許多公司推出防病毒應用程序，其中每個應用程序都試圖保護主機，同時對最終用戶產生最少的不便和交互。其中的大多數應用程序在提供此保護方面都是很有效的，但是它們都要求經常更新以應對新的惡意軟件。（5）測試漏洞掃描程序

許多應用程序可用作掃描程序來查找惡意軟件和黑客可能試圖利用的漏洞。微軟公司的基準安全分析器（MBSA）是能夠檢查常見安全配置問題的漏洞掃描程序的一個示例。此掃描程序還可自動進行檢查，以確保您的主機配置了最新的安全更新。第三十頁，共四十頁，編輯于2023年，星期六

（6）使用最少特權策略

在客戶端防護中不應忽視的另一區(qū)域是在正常操作下分配給用戶的特權。建議采用這樣的策略：管理員要為每位用戶根據其工作實際需要配置提供可能的最少特權，以使用戶自身或者惡意軟件開發(fā)者在獲取該用戶權限時而對系統(tǒng)的安全威脅最小。

根據以上原則，請考慮對日常刪除操作這樣的特權，并在必要時改用RunAs命令啟動所需的管理工具。命令格式為：runas/user:mydomain\admin“setup.exe”

（7）限制未授權的應用程序

將未授權應用程序安裝在您的任一客戶端計算機上的嘗試，可能會使所有這些計算機及其包含的數據面臨受到惡意軟件攻擊的更大風險。如果您的企業(yè)希望限制未授權的應用程序，則您可以使用Windows組策略限制用戶運行未授權軟件的能力。組策略的打開方式為在“運行”窗口中輸入“gpedit.msc”命令，處理此功能的組策略的特定方面稱為“軟件限制策略”，可以通過標準組策略MMC管理單元訪問它。

本節(jié)具體內容參見書本P73~P77頁。第三十一頁，共四十頁，編輯于2023年，星期六2.6.3客戶端應用程序的防病毒設置

客戶端應用程序的病毒防護通常主要考慮以下幾個方面：

1.電子郵件客戶端

通常，如果用戶能夠直接從電子郵件打開電子郵件附件，則為惡意軟件在客戶端上傳播提供了主要方式之一。如有可能，請考慮在企業(yè)的電子郵件系統(tǒng)中限制此能力。如果這是不可能的，一些電子郵件客戶端允許您配置另外的步驟，用戶將必須執(zhí)行這些步驟才能打開附件。例如，在Outlook和OutlookExpress中，您能夠執(zhí)行以下配置：使用IE瀏覽器安全區(qū)域禁用HTML電子郵件中的活動內容啟用一項設置以便用戶只能以純文本格式查看電子郵件阻止程序在未經特定用戶確認的情況下發(fā)送電子郵件阻止不安全的電子郵件附件

2.桌面應用程序

桌面辦公應用程序也成為惡意軟件的攻擊目標。第三十二頁，共四十頁，編輯于2023年，星期六

您應該盡可能采取措施，以確保在環(huán)境中處理這些文件的所有應用程序上啟用最合適的安全設置。最好禁止宏的運行。

3.即時消息應用程序

即時消息技術在改進全世界用戶通信方便性的同時，也帶來一定的安全隱患，因為它提供了有可能允許惡意軟件進入系統(tǒng)的途經，那就是它的文件傳輸功能。通過該功能，就為惡意軟件提供了進入企業(yè)網絡的直接路由，用戶有可能受到惡意軟件的攻擊。

4.Web瀏覽器

大多數主要的Web瀏覽器應用程序支持限制可用于從Web服務器執(zhí)行的代碼的自動訪問級別的功能。IE使用安全區(qū)域幫助阻止Web內容在客戶端上執(zhí)行有可能產生破壞的操作。

5.對等應用程序

Internet范圍的對等（P2P）應用程序的出現引發(fā)了許多惡意軟件攻擊，所以如果可能，建議限制企業(yè)中使用這些應用程序的客戶端數量。可使用組策略中的軟件限制策略，幫助阻止用戶運行對等應用程序。

本節(jié)具體內容參見書本P77~P80頁。第三十三頁，共四十頁，編輯于2023年，星期六2.6.4服務器端病毒防護

服務器的病毒防護與客戶端防護有許多共同之處，二者都試圖保護同一基本個人計算機環(huán)境。兩者的主要差異在于，服務器防護在可靠性和性能方面的預期級別通常高得多。此外，許多服務器在組織基礎結構中起到的專門作用通常需要制定專門的防護解決方案。

1.服務器的病毒防護步驟

服務器的四個基本防病毒步驟與客戶端的相同：

（1）減小攻擊面：從服務器中刪除不需要的服務和應用程序，將其攻擊面減到最小。

（2）應用安全更新：如有可能，請確保所有服務器計算機運行的都是最新的安全更新。根據需要執(zhí)行其他測試，以確保新的更新不會對關鍵任務服務器產生負面影響。

（3）啟用基于主機的防火墻：WindowsServer2003包括一個基于主機的防火墻，您可以使用它減小服務器的攻擊面以及刪除不需要的服務和應用程序。第三十四頁，共四十頁，編輯于2023年，星期六

（4）使用漏洞掃描程序進行測試：使用WindowsServer2003上的MBSA工具幫助識別服務器配置中可能存在的漏洞。

除了這些常用的防病毒步驟之外，請考慮將以下服務器特定的軟件用作總體服務器病毒防護的一部分：一般的服務器防病毒軟件角色特定的防病毒配置和軟件

2.Web服務器

在一段時間內，所有類型的組織中的Web服務器都曾經是安全攻擊的目標。您可從微軟官方網站上下載IISLockdownTool工具軟件，在IIS上自動執(zhí)行安全配置，網址為：Http:///technet/security/tools/locktool.mspx。

3.消息服務器

“SMTP網關掃描程序”和“集成的服務器掃描程序”這兩種基本類型的電子郵件防病毒解決方案是經常用到的。

4.數據庫服務器

在考慮數據庫服務器的病毒防護時，需要保護以下四個主要元素：第三十五頁，共四十頁，編輯于2023年，星期六主機：運行數據庫的一個或多個服務器。數據庫服務：在主機上運行的為網絡提供數據庫服務的各種應用程序。數據存儲區(qū)：儲在數據庫中的數據。數據通信：網絡上數據庫主機和其他主機之間使用的連接和協(xié)議。5.協(xié)作服務器協(xié)作服務器本身的特點使它們易受惡意軟件的攻擊。當用戶將文件復制到服務器和從服務器復制文件時，他們可能使網絡上的服務器和其他用戶受到惡意軟件的攻擊。建議使用可以掃描復制到協(xié)作存儲區(qū)和從協(xié)作存儲區(qū)復制的所有文件的防病毒應用程序，保護環(huán)境中的協(xié)作服務器（如運行SharePointServices和SharePointPortalServer2003的服務器）。

本