所有组织都应该开发将提供高级别保护的防病毒解决方案。但是,甚至是在安装了防病毒软件后,许多组织仍然感染了病毒。本指南提出了解决恶意软件(或 malware)问题的一种不同方法。与网络安全设计一样,Microsoft 建议设计防病毒解决方案时采用深层防护方法,以便帮助确保组织在设计时采用的安全措施将得到可能的维护。
这样的方法对于组织的计算机安全是极其重要的,因为不管计算机系统提供多少有用的功能或服务,都会有人(无论出于什么原因)将试图找到漏洞以便恶意利用它,这是一件不幸的事。
与在各种环境中实施了 Microsoft? Windows Server? 2003、Windows? XP Professional 和 Windows? 2000 的顾问和系统工程师协作,有助于建立保护运行这些操作系统的客户端和服务器免受恶意软件攻击的最新的最佳做法。本章为您提供此信息。
本章还提供指导以帮助您在为组织设计防病毒安全解决方案时使用深层防护方法。此方法的目的是确保您了解模型的每个层以及对应于每个层的特定威胁,以便您可以在实施自己的防病毒措施时使用此信息。
注意:Microsoft 建议在您组织的一般安全过程和策略中包括本指南中的某些步骤。在出现这样的情况时,本指南会指明要求组织的安全小组进一步定义。
如果您是在遇到恶意软件的攻击并进行恢复之后阅读本指南,则提供的信息旨在帮助您防止再次发生这样的攻击以及更好地了解以前的攻击是如何发生的。
恶意软件的威胁方法
恶意软件可以通过许多方法来损害组织。这些方法有时称为"威胁方法",它们代表在设计有效的防病毒解决方案时您的环境中最需要引起注意的区域。下面的列表包括典型组织中最容易受到恶意软件攻击的区域:
• 外部网络。没有在组织直接控制之下的任何网络都应该认为是恶意软件的潜在源。但是,Internet 是最大的恶意软件威胁。Internet 提供的匿名和连接允许心怀恶意的个人获得对许多目标的快速而有效访问,以使用恶意代码发动攻击。
• 来宾客户端。随着便携式计算机和移动设备在企业中的使用越来越广泛,设备经常移入和移出其他组织的基础结构。如果来宾客户端未采取有效的病毒防护措施,则它们就是组织的恶意软件威胁。
• 可执行文件。具有执行能力的任何代码都可以用作恶意软件。这不仅包括程序,而且还包括脚本、批处理文件和活动对象(如 Microsoft ActiveX? 控件)。
• 文档。随着文字处理器和电子表格应用程序的日益强大,它们已成为恶意软件编写者的目标。许多应用程序内支持的宏语言使得它们成为潜在的恶意软件目标。
• 电子邮件。恶意软件编写者可以同时利用电子邮件附件和电子邮件内活动的超文本标记语言 (HTML) 代码作为攻击方法。
• 可移动媒体。通过某种形式的可移动媒体进行的文件传输是组织需要作为其病毒防护的一部分解决的一个问题。其中一些更常用的可移动媒体包括:
• CD-ROM 或 DVD-ROM 光盘。廉价的 CD 和 DVD 刻录设备的出现使得所有计算机用户(包括编写恶意软件的用户)都可以容易地访问这些媒体。
• 软盘驱动器和 Zip 驱动器。这些媒体不再像以前那样流行了,原因是其容量和速度有限,但是如果恶意软件可以物理访问它们,则它们仍然会带来风险。
• USB 驱动器。这些设备具有多种形式,从经典的钥匙圈大小的设备到手表。如果可以将所有这些设备插入主机的通用串行总线 (USB) 端口,则这些设备都可以用于引入恶意软件。
• 内存卡。数字照相机和移动设备(如 PDA 和移动电话)已经帮助建立了数字内存卡。卡阅读器正日益成为计算机上的标准设备,使用户可以更轻松地传输内存卡上的数据。由于此数据是基于文件的,因此这些卡也可以将恶意软件传输到主机系统上。
恶意软件防护方法
在针对恶意软件尝试组织有效的防护之前,需要了解组织基础结构中存在风险的各个部分以及每个部分的风险程度。Microsoft 强烈建议您在开始设计防病毒解决方案之前,进行完整的安全风险评估。优化解决方案设计所需的信息只能通过完成完整的安全风险评估获得。
有关进行安全风险评估的信息和指导,请参阅"Microsoft Solution for Securing Windows 2000 Server"(保护 Windows 2000 Server 的 Microsoft 解决方案)指南。此指南介绍了安全风险管理规则 (SRMD),您可以使用它了解您的组织所面临风险的特性。
深层防护安全模型
在发现并记录了组织所面临的风险后,下一步就是检查和组织您将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护,它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。如果您不熟悉深层防护安全模型,Microsoft 建议您查看 Microsoft TechNet 上的"Security Content Overview"(安全内容概述)页。
您还可以在 TechNet 上的"MSA Reference Architecture Kit"(MSA 参考体系结构工具包) 中找到此过程的其他信息和实用设计示例。
下图说明为深层防护安全模型定义的各层:
图 3.1 深层防护安全模型的各层
图中的各层提供了在为网络设计安全防护时,环境中应该考虑的每个区域的视图。
您可以根据组织的安全优先级和要求,修改每层的详细定义。为了便于在本指南中讲述,下面的简单定义对模型的各层进行了定义:
• 数据层。数据层上的风险源自这样的漏洞:攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。例如,敏感数据(如机密的业务数据、用户数据和私有客户信息存储)都应该视为此层的一部分。在模型的此层上,组织主要关注的是可能源自数据丢失或被盗的业务和法律问题,以及漏洞在主机层或应用程序层上暴露的操作问题。
• 应用程序层。应用程序层上的风险源自这样的漏洞:攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。在此层上组织主要关注的是:对组成应用程序的二进制文件的访问;通过应用程序侦听服务中的漏洞对主机的访问;不适当地收集系统中特定数据,以传递给可以使用该数据达到自己目的的某个人。
• 主机层。提供 Service Pack 和修复程序以处理恶意软件威胁的供应商通常将此层作为目标。此层上的风险源自利用主机或服务所提供服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。缓冲区溢出(它是因添加到缓冲区的信息量比缓冲区的设计容量更大而产生的情况)就是一个良好的示例。在此层上组织主要关注的是阻止对组成操作系统的二进制文件的访问,以及阻止通过操作系统侦听服务中的漏洞对主机的访问。
• 内部网络层。组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要求也具有许多与其关联的风险。
• 外围网络层。与外围网络层(也称为 DMZ、网络隔离区域或屏幕子网)关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口。
• 物理安全层。物理层上的风险源自可以物理访问物理资产的攻击者。此层包括前面的所有层,因为对资产的物理访问又可以允许访问深层防护模型中的所有其他层。使用防病毒系统的组织在模型的此层上主要关注的是阻止感染文件避开外围网络和内部网络的防护。攻击者可能只是通过某个物理可移动媒体(如 USB 磁盘设备)将感染文件直接复制到主机,试图做到这一点。
• 策略、过程和意识层。围绕安全模型所有层的是,您的组织为满足和支持每个级别的要求需要制定的策略和过程。最后,提高组织中对所有相关方的意识是很重要的。在许多情况下,忽视风险可以导致安全违反。由于此原因,培训也应该是任何安全模型的不可缺少的部分。
通过将模型的安全层用作深层病毒防护方法的基础,您就可以重新集中视图以便将它们优化到组织中病毒防护的分组中。在组织中进行此优化的方式完全取决于组织指定的优先级和它所使用的特定防护应用程序。重点是通过确保没有从防护中排除任何安全层,来避免不完整的和弱化的防病毒设计。下图显示更集中的深层病毒防护视图:
图 3.2 集中的深层病毒防护视图
可以将数据层、应用程序层和主机层组合到两个防护策略中,以保护组织的客户端和服务器。虽然这些防护共享许多公共策略,但是实施客户端和服务器防护方面的差异足以保证对于每个防护都是唯一的防护方法。
内部网络层和外围层也可以组合到一个公共网络防护策略中,因为这两个层所涉及的技术是相同的。每个层中的实施细节将是不同的,具体取决于组织基础结构中的设备位置和技术。
