深层病毒防护指南

引言
 
 
虽然许多组织已经开发了防病毒软件,但恶意软件(例如,计算机病毒、蠕虫和特洛伊木马)仍在继续感染着世界各地的计算机系统。关于这个显而易见的矛盾产生的根源,不是几句话就可以解释清楚的;但目前情况却表明,在环境中的每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。
《深层病毒防护指南》针对不同类型的恶意软件提供了简明易懂的概述,包括与恶意软件所带来的风险、恶意软件特征、复制方法和负载有关的信息。本指南详细说明了为组织规划和实现全面的病毒防护时应该注意的事项,并提供了关于深层病毒防护规划和可用于降低感染风险的相关工具的信息。本指南在最后一章中提供了一种综合方法,可帮助您快速而有效地应对恶意软件爆发或事件,并从中恢复。
 
指南各章摘要
《深层病毒防护指南》包括四章:
1 章:简介
本章提供了本指南的简介、每章的概述以及本指南的目标读者。
2 章:恶意软件威胁
本章定义了主要的恶意软件类型,并指定了此类别中所包含的程序类型(以及排除的类型)。本章还提供了有关恶意软件特征、攻击方法、传播方法和负载的信息。
3 章:深层病毒防护
本章详细说明了为客户端、服务器和网络基础结构建立全面的病毒防护时应该注意的事项。本章还讨论了 Microsoft 建议的、应在构建整体安全规划时考虑的用户策略和常规安全措施。
4 章:突发控制和恢复
本章提供了一种循序渐进的方法,用来基于行业最佳做法和 Microsoft 内部运作来解决恶意攻击并从中恢复。
 
 
1 章:简介
 
 
虽然许多组织已经部署了防病毒软件,但是新的病毒、蠕虫和其他形式的恶意软件仍在继续快速地感染大量的计算机系统。关于这个显而易见的矛盾产生的根源,不是几句话就可以解释清楚的;但是根据 Microsoft 从系统已被感染的公司内的 IT 专业人员和安全人员的反馈来看,基本趋势非常明显,这些反馈信息中包括如下评论:
"用户执行其电子邮件的附件,尽管我们一再告诉他们不应该……"
"防病毒软件本应可以捕获此病毒,但是此病毒的签名尚未安装。"
"本来根本不会攻破防火墙,我们甚至都没有意识到这些端口会被攻击。"
"我们不知道我们的服务器需要安装修补程序。"
最近攻击的成功表明,在组织的每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。最近病毒爆发的传播速度令人担忧,软件行业检测、识别和传送可保护系统免受攻击的防病毒工具的速度无法跟上病毒的传播速度。最新形式的恶意软件所表现的技术也更加先进,使得最近的病毒爆发可以躲避检测而进行传播。这些技术包括:
社会工程。许多攻击试图看上去好像来自系统管理员或官方服务,这样就增加了最终用户执行它们从而感染系统的可能性。
后门创建。最近大部分的病毒爆发都试图对已感染系统打开某种形式的未经授权访问,这样黑客可以反复访问这些系统。反复访问用于在协调的拒绝服务攻击中将系统用作"僵尸进程",然后使用新的恶意软件感染这些系统,或者用于运行黑客希望运行的任何代码。
电子邮件窃取。恶意软件程序使用从受感染系统中获取的电子邮件地址,将其自身转发到其他受害者,并且恶意软件编写者也可能会收集这些地址。然后,恶意软件编写者可以使用这些地址发送新的恶意软件变形体,通过它们与其他恶意软件编写者交换工具或病毒源代码,或者将它们发送给希望使用这些地址制造垃圾邮件的其他人。
嵌入的电子邮件引擎。电子邮件是恶意软件传播的主要方式。现在,许多形式的恶意软件都嵌入电子邮件引擎,以使恶意代码能更快地传播,并减少创建容易被检测出的异常活动的可能性。非法的大量邮件程序现在利用感染系统的后门,以便利用这些机会来使用此类电子邮件引擎。由此可以相信,去年制造的大部分垃圾邮件都是通过这种受感染系统发送的。
利用产品漏洞。恶意软件更经常利用产品漏洞进行传播,这可使恶意代码传播得更快。
利用新的 Internet 技术。当新的 Internet 工具面世之后,恶意软件编写者会快速检查这些工具,以确定如何利用它们。目前,即时消息传递和对等 (P2P) 网络在这种作用力下已经成为攻击媒介。
上述恶意软件术语和技术将在本指南的下面章节中进行详细讨论。
Microsoft 仍致力于确保其提供的应用程序的安全,同时致力于与公司的合作伙伴一起来应对恶意软件的威胁。目前,Microsoft 正努力降低这些威胁产生的影响,其中包含:
与防病毒供应商紧密合作,一起构建病毒信息联盟 (VIA)。联盟成员交换新发现的恶意软件的技术信息,这样可以快速地将目标、影响和补救信息传递给客户。有关 VIA 的详细信息,请参阅 Microsoft? TechNet 上的"Virus Information Alliance (VIA)"页,其网址为:http://www.microsoft.com/technet/security/topics/virus/via.mspx(英文)。
研究新的安全技术(例如,活动保护技术和动态系统保护),来确保 Microsoft Windows? 平台的安全。有关这些措施的详细信息,请参阅 Microsoft.com 上的"Bill Gates' Remarks at the RSA Conference 2004",其网址为:
http://www.microsoft.com/billgates/speeches/2004/02-24rsa.asp
(英文)。
支持法规来消除垃圾邮件,和法律执行官员和 Internet 服务提供商 (ISP) 一起来起诉垃圾邮件。有关致力于此方面的联盟的信息,请参见 America OnlineMicrosoft YahooMicrosoft.com "Join Forces Against Spam",其网址为:http://www.microsoft.com/presspass/press/2003/apr03/04-28JoinForcesAntispamPR.asp(英文)。
宣布防病毒奖励计划,并与法律执行机构紧密合作,以减少来自恶意软件编写者的威胁。有关防病毒奖励计划的详细信息,请参阅 Microsoft.com 上的"Microsoft Announces Antivirus Reward Program"页,其网址为:http://www.microsoft.com/presspass/press/2003/nov03/11-05AntiVirusRewardsPR.asp(英文)。
Microsoft 提供了此安全指南,以便帮助您识别基础结构中所有应考虑实现病毒防护的地方。此外,还提供了有关如何在感染(如果您的环境中发生了感染)后进行补救和恢复的信息。
 
 
2 章:恶意软件威胁
 
 
简介
《深层病毒防护指南》在本章中简要介绍了计算机病毒的演变,从最初相对简单的病毒到如今存在的各种各样的恶意软件。本章定义了已知恶意软件类型和技术的分类,同时提供了与恶意软件传播及其给各种规模的组织所带来的风险有关的信息。
由这个主题不断发展的本质所决定,本指南并不旨在记录和解释所有恶意软件元素及其可能的变体。然而,本指南的确在尝试了解包含恶意软件的各种元素的本质方面迈出了意义重大的第一步。本指南还讨论并定义了恶意软件之外的其他内容,如间谍软件(在没有获取用户相应许可的情况下就在计算机上执行某些活动的程序)、垃圾邮件(未经请求的电子邮件)和广告软件(集成到软件中的广告)。
 
计算机病毒的演变
20 世纪 80 年代早期出现了第一批计算机病毒。这些早期的尝试大部分是试验性的,并且是相对简单的自行复制的文件,它们仅在执行时显示简单的恶作剧而已。
注意:值得注意的是,提供病毒演变的明确历史几乎是不可能的。恶意软件的非法本质意味着,作恶者关注的是如何隐藏恶意代码的来源。本指南介绍病毒研究人员和防病毒行业普遍认可的恶意软件历史。
1986 年,报道了攻击 Microsoft? MS-DOS? 个人计算机的第一批病毒;人们普遍认为 Brain 病毒是这些计算机病毒中的第一种病毒。然而,1986 年出现的其他首批病毒还包括 Virdem(第一个文件病毒)和 PC-Write(第一个特洛伊木马病毒,此程序看上去有用或无害,但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。)在 PC-Write 中,特洛伊木马程序伪装成一个同名的流行共享软件:字处理器应用程序。
随着更多的人开始研究病毒技术,病毒的数量、被攻击的平台数以及病毒的复杂性和多样性都开始显著提高。病毒在某一时期曾经着眼于感染启动扇区,然后又开始感染可执行文件。1988 年出现了第一个 Internet 蠕虫病毒(一种使用自行传播恶意代码的恶意软件,它可以通过网络连接,自动将其自身从一台计算机分发到另一台计算机)。Morris Worm 导致 Internet 的通信速度大大地降低。为了应对这种情况以及病毒爆发次数的不断增长,出现了 CERT Coordination Center(网址:http://www.cert.org/),通过协调对病毒爆发和事件的响应来确保 Internet 的稳定性。
1990 年,网上出现了病毒交流布告栏,成为病毒编写者合作和共享知识的平台。此外,还出版了第一本关于病毒编写的书籍,并且开发出了第一个多态病毒(通常称为 Chameleon Casper)。多态病毒是一种恶意软件,它使用不限数量的加密例程以防止被检测出来。多态病毒具有在每次复制时都可以更改其自身的能力,这使得用于"识别"病毒的基于签名的防病毒软件程序很难检测出这种病毒。此后不久,即出现了 Tequila 病毒,这是出现的第一个比较严重的多态病毒攻击。接着在 1992 年,出现了第一个多态病毒引擎和病毒编写工具包。
自那时起,病毒就变得越来越复杂:病毒开始访问电子邮件通讯簿,并将其自身发送到联系人;宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件;此外还出现了专门利用操作系统和应用程序漏洞的病毒。电子邮件、对等 (P2P) 文件共享网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。在已感染系统上创建的后门(由恶意软件引入的秘密或隐藏的网络入口点)使得病毒编写者(或黑客)可以返回和运行他们所选择的任何软件。本指南上下文中的黑客是试图非法访问计算机系统或网络的程序员和计算机用户。本章的下一部分将详细讨论恶意软件。
有些病毒附带其自身的嵌入式电子邮件引擎,可以使已感染的系统直接通过电子邮件传播病毒,而绕过此用户的电子邮件客户端或服务器中的任何设置。病毒编写者还开始认真地设计病毒攻击的结构并使用社会工程,来开发具有可信外观的电子邮件。这种方法旨在获取用户的信任,使其打开附加的病毒文件,来显著地增加大规模感染的可能性。
恶意软件演变的同时,防病毒软件也处在不断的发展之中。但是,当前大多数防病毒软件几乎完全依赖于病毒签名或恶意软件的识别特性来识别潜在有害的代码。从一个病毒的初始版本到此病毒的签名文件被防病毒供应商广泛分发之间,仍然存在存活机会。因此,现在发布的许多病毒在最初的数天内感染速度极快,之后一旦分发了应对病毒的签名文件,感染速度则迅速降低。
 
什么是恶意软件?
本指南将术语"恶意软件"用作一个集合名词,来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。
那么,计算机病毒或蠕虫的确切含义是什么?它们和特洛伊木马之间有哪些不同之处?防病毒应用程序是仅对蠕虫和特洛伊木马有效,还是仅对病毒有效?
所有这些问题都起源于令人迷惑且通常被曲解的恶意代码世界。现有恶意代码的数目和种类繁多,因此很难为每个恶意代码类别提供一个准确的定义。
对于笼统的防病毒讨论,可使用以下简单的恶意软件类别定义:
特洛伊木马。该程序看上去有用或无害,但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。特洛伊木马程序通常通过没有正确说明此程序的用途和功能的电子邮件传递给用户。它也称为特洛伊代码。特洛伊木马通过在其运行时传递恶意负载或任务达到此目的。
蠕虫。蠕虫使用自行传播的恶意代码,它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。蠕虫会执行有害操作,例如,消耗网络或本地系统资源,这样可能会导致拒绝服务攻击。某些蠕虫无须用户干预即可执行和传播,而其他蠕虫则需用户直接执行蠕虫代码才能传播。除了复制,蠕虫也可能传递负载。
病毒代码的明确意图就是自行复制。病毒尝试将其自身附加到宿主程序,以便在计算机之间进行传播。它可能会损害硬件、软件或数据。宿主程序执行时,病毒代码也随之运行,并会感染新的宿主,有时还会传递额外负载。病毒
对于本指南的用途而言,负载是一个集合术语,表示恶意软件攻击在已感染计算机上执行的操作。各种恶意软件类别的上述定义使得可以通过一个简单的流程图来说明这些类别之间的不同之处。下图说明了可用来确定程序或脚本是否属于这些类别的元素:
2.1 恶意代码决策树
 
通过此图,可以区分对于本指南用途而言的每种常见恶意代码类别。但是,了解单个攻击所引入的代码可能适合一个或多个类别是非常重要的。这些类型的攻击(称作混合威胁,包含使用多种攻击方法的多个恶意软件类型)会以极快的速度传播。攻击方法是恶意软件可用于发起攻击的例程。由于这些原因,混合威胁特别难以应对。
以下部分对每种恶意软件类别进行了更为详细的解释,以帮助说明每种类别的一些主要元素。
特洛伊木马
特洛伊木马不被认为是计算机病毒或蠕虫,因为它不自行传播。但是,病毒或蠕虫可用于将特洛伊木马作为攻击负载的一部分复制到目标系统上,此过程称为"发送"。特洛伊木马的通常意图是中断用户的工作或系统的正常运行。例如,特洛伊木马可能在系统中提供后门,使黑客可以窃取数据或更改配置设置。
在提及特洛伊木马或特洛伊类型活动时,还有两个经常使用的术语,其识别方法和解释如下:
远程访问特洛伊。某些特洛伊木马程序使黑客或数据窃取者可以远程地控制系统。此类程序称为"远程访问特洛伊"(RAT) 或后门。RAT 的示例包括 Back OrificeCafeene SubSeven
有关此类特洛伊木马的详细说明,请参阅 Microsoft TechNet 网站上的文章"Danger:Remote Access Trojans",网址为 http://www.microsoft.com/technet/security/topics/virus/virusrat.mspx(英文)。
RootkitRootkit 是软件程序集,黑客可用来获取计算机的未经授权的远程访问权限,并发动其他攻击。这些程序可能使用许多不同的技术,包括监视击键、更改系统日志文件或现有的系统应用程序、在系统中创建后门,以及对网络上的其他计算机发起攻击。Rootkit 通常被组织到一组工具中,这些工具被细化为专门针对特定的操作系统。第一批 Rootkit 是在 20 世纪 90 年代被识别出来的,当时 Sun Linux 操作系统是它们的主要攻击对象。目前,Rootkit 可用于许多操作系统,其中包括 Microsoft? Windows? 平台。
注意:请注意,RAT 和某些包含 Rootkit 的工具具有合法的远程控制和监视使用。但是,这些工具引入的安全性和保密性问题给使用它们的环境带来了整体风险。

蠕虫
如果恶意代码进行复制,则它不是特洛伊木马,因此为了更精确地定义恶意软件而要涉及到的下一个问题是:"代码是否可在没有携带者的情况下进行复制?"即,它是否可以在无须感染可执行文件的情况下进行复制?如果此问题的答案为"",则此代码被认为是某种类型的蠕虫。
大多数蠕虫试图将其自身复制到宿主计算机上,然后使用此计算机的通信通道来进行复制。例如,Sasser 蠕虫依赖服务的安全漏洞最初感染一个系统,然后使用已感染系统的网络连接来试图进行复制。如果已安装最新的安全更新(来停止感染),或已在环境中启用防火墙来阻止蠕虫所用的网络端口(来停止复制),则攻击将会失败。
病毒
如果恶意代码将其自身的副本添加到文件、文档或磁盘驱动器的启动扇区来进行复制,则认为它是病毒。此副本可以是原始病毒的直接副本,也可以是原始病毒的修改版本。有关详细信息,请参阅本章后面的"防护机制"部分。正如前面所提及的,病毒通常会将其包含的负载(例如,特洛伊木马)放置在一个本地计算机上,然后执行一个或多个恶意操作(例如,删除用户数据)。但是,仅进行复制且不具有负载的病毒仍是恶意软件问题,因为该病毒自身在其复制时可能会损坏数据、消耗系统资源并占用网络带宽。
 
恶意软件的特征
每类恶意软件可以表现出来的各种特征通常非常类似。例如,病毒和蠕虫可能都会使用网络作为传输机制。然而,病毒会寻找文件以进行感染,而蠕虫仅尝试复制其自身。以下部分说明了恶意软件的典型特征。
目标环境
恶意软件试图攻击宿主系统时,可能需要许多特定的组件,攻击才能成功。下面是一个典型示例,说明恶意软件在攻击宿主系统时所需的组件:
设备。某些恶意软件将一种设备类型作为专门的攻击目标,例如,个人计算机、Apple Macintosh 计算机甚至个人数字助理 (PDA),但是请注意,PDA 恶意软件目前非常少见。
操作系统。恶意软件可能需要特殊的操作系统才会有效。例如,20 世纪 90 年代后期出现的 CIH Chernobyl 病毒仅攻击运行 Microsoft Windows? 95 Windows? 98 的计算机。
应用程序。恶意软件可能需要在目标计算机上安装特定的应用程序,才能传递负载或进行复制。例如,2002 出现的 LFM.926 病毒仅在 Shockwave Flash (.swf) 文件可在本地计算机上执行时才能进行攻击。
携带者对象
如果恶意软件是病毒,它会试图将携带者对象作为攻击对象(也称为宿主)并感染它。目标携带者对象的数量和类型随恶意软件的不同而大不相同,以下列表提供了最常用的目标携带者的示例:
可执行文件。这是通过将其自身附加到宿主程序进行复制的"典型"病毒类型的目标对象。除了使用 .exe 扩展名的典型可执行文件之外,具有以下扩展名的文件也可用作此用途:.com.sys.dll.ovl.ocx .prg
脚本。将脚本用作携带者目标文件的攻击,这些文件使用诸如 Microsoft Visual Basic? ScriptJavaScriptAppleScript Perl Script 之类的脚本语言。此类文件的扩展名包括:.vbs.js.wsh .prl
。这些携带者是支持特定应用程序(例如,字处理器、电子表格或数据库应用程序)的宏脚本语言的文件。例如,病毒可以在 Microsoft Word Lotus Ami Pro 中使用宏语言来生成许多效果,从恶作剧效果(在文档四处改变单词或更改颜色)到恶意效果(格式化计算机的硬盘驱动器)。
启动扇区。计算机磁盘(硬盘和可启动的可移动媒体)上的特定区域(例如,主启动记录 (MBR) DOS 启动记录)也可被认为是携带者,因为它们可以执行恶意代码。当某个磁盘被感染时,如果使用该磁盘来启动其他计算机系统,将会复制病毒。
注意:如果病毒同时将文件和启动扇区作为感染目标,可称其为"多部分"病毒。
传输机制
攻击可以使用一个或多个不同方法,在计算机系统之间尝试并复制。本部分提供了与恶意软件使用的几个比较常见的传输机制有关的信息。
可移动媒体。计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器(至少到当前为止)是文件传输。此机制开始于软盘,然后移动到网络,目前正在寻找新的媒体,例如,通用串行总线 (USB) 设备和火线。感染速度并不像基于网络的恶意软件那样快,但安全威胁却始终存在,而且难以完全消除,因为系统之间需要交换数据。
网络共享一旦为计算机提供了通过网络彼此直接连接的机制,就会为恶意软件编写者提供另一个传输机制,而此机制所具有的潜力可能会超出可移动媒体的能力,从而可以传播恶意代码。由于在网络共享上实现的安全性级别很低,因此会产生这样一种环境,其中恶意软件可以复制到大量与网络连接的计算机上。这在很大程度上替代了使用可移动媒体的手动方法。
网络扫描。恶意软件的编写者使用此机制来扫描网络,以查找容易入侵的计算机,或随意攻击 IP 地址。例如,此机制可以使用特定的网络端口将利用数据包发送到许多 IP 地址,以查找容易入侵的计算机进行攻击。
对等 (P2P) 网络。要实现 P2P 文件传输,用户必须先安装 P2P 应用程序的客户端组件,该应用程序将使用一个可以通过组织防火墙的网络端口,例如,端口 80。应用程序使用此端口通过防火墙,并直接将文件从一台计算机传输到另一台。这些应用程序很容易在 Internet 上获取,并且恶意软件编写者可以直接使用它们提供的传输机制,将受感染的文件传播到客户端硬盘上。
电子邮件。电子邮件已成为许多恶意软件攻击所选择的传输机制。电子邮件可以很容易地传送到几十万人,而恶意软件作恶者又无须留下自己的计算机,这使得电子邮件成为一种非常有效的传输方式。使用此方式哄骗用户打开电子邮件附件要相对容易一些(使用社会工程技术)。因而,许多最多产的恶意软件爆发已使用电子邮件作为它们的传输机制。有两种使用电子邮件作为传输机制的基本类型的恶意软件:
邮件程序。这种类型的恶意软件通过使用宿主上安装的邮件软件(例如,Microsoft Outlook? Express),或使用其自身的内置简单邮件传输协议 (SMTP) 引擎,将其自身作为邮件发送到限定数量的电子邮件地址。
大量邮件程序。这种类型的恶意软件使用宿主上安装的邮件软件或其自身的内置 SMTP 引擎,在受感染的计算机上搜索电子邮件地址,然后将其自身作为邮件大量发送到这些地址。
远程利用。恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制。此行为通常可以在蠕虫中见到;例如, Slammer 蠕虫利用 Microsoft SQL Server? 2000 中的漏洞。此蠕虫生成了一个缓冲区溢出,允许一部分系统内存被可在和 SQL Server 服务相同的安全上下文中运行的代码覆盖。缓冲区溢出这种情况的出现,是因为向缓冲区添加的信息多于其可以存储的信息量。攻击者可能会利用此漏洞来占用系统。Microsoft Slammer 发布的数月之前即识别并修复了此漏洞,但是由于有少数系统未被更新,使得此蠕虫得以传播。
负载
一旦恶意软件通过传输到达了宿主计算机,它通常会执行一个称为"负载"的操作,负载可以采用许多形式。在本部分中识别的某些常见负载类型包括:
后门。这种类型的负载允许对计算机进行未经授权的访问。它可能提供完全访问权限,但也可能仅限于某些访问权限,例如,通过计算机上的端口 21 启用文件传输协议 (FTP) 访问。如果攻击可以启用 Telnet,黑客则可以将已感染计算机用作 Telnet 攻击在其他计算机上的临时区域。正如前面所述,后门有时也称为"远程访问特洛伊"
数据损坏或删除。一种最具破坏性的负载类型应该是损坏或删除数据的恶意代码,它可以使用户计算机上的信息变得无用。此处恶意软件编写者具有两个选项:第一个选项是将负载设计为快速执行。尽管对于它所感染的计算机而言极具潜在破坏性,但是此恶意软件的设计会导致其很快被发现,从而减少了其复制操作不被发现的可能性。另一个选项是将负载在本地系统上(以特洛伊木马的形式)保留一段时间(有关其示例的信息,请参阅本章后面的"触发机制"部分),这样会使恶意软件在尝试传递负载之前进行传播,从而使用户警觉到它的存在。
信息窃取。一种特别令人担心的恶意软件负载类型是旨在窃取信息的负载。如果负载会损害宿主计算机的安全,则它可能会提供一种将信息传回恶意软件作恶者的机制。这种情况可以多种形式发生;例如,传输可以自动进行,从而使恶意软件可以很容易地获取本地文件或信息,例如,用户所按的键(以便获取用户名和密码)。另一种机制是在本地宿主上提供一种环境,使攻击者可以远程控制该宿主,或直接获取对系统上文件的访问权限。
拒绝服务 (DoS)。可以传递的一种最简单的负载类型是拒绝服务攻击。DoS 攻击是由攻击者发起的一种计算机化的袭击,它使网络服务超负荷或停止网络服务,如 Web 服务器或文件服务器。DoS 攻击的唯一目的是使特定服务在一段时间内不可用。
分布式拒绝服务 (DDoS)。这种类型的攻击一般使用已感染的客户端,而这些客户端通常完全不知道它们在此类攻击中的角色。DDoS 攻击是一种拒绝服务攻击,其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标。攻击者使用此方法对目标造成的影响很可能会大于使用单个攻击计算机造成的影响。关于攻击怎样发生的语义根据攻击的不同而不尽相同,但是它们通常都涉及将大量数据发送到特定的宿主或网站,使其停止对合法通信的响应(或者无法响应)。这样会完全占用受害站点的可用带宽,并且会有效地使此站点脱机。
这种类型的攻击极难进行防护,因为应为此类攻击负责的宿主实际上其自身已成为不知情的受害者。DDoS 攻击通常由 bots(执行重复任务的程序)执行(例如,Internet 中继聊天 (IRC) Eggdrop bots),黑客可以使用 bots 通过 RC 通道来控制"受害"计算机。一旦这些计算机处于黑客的控制之中,它们就会成为"僵尸进程",并会在接到攻击者的命令之后影响目标,而计算机的所有者对此不会有任何察觉。
DoS DDoS 方法都涉及到了许多不同的攻击技术,包括:
系统关闭。如果恶意软件可以关闭宿主系统或使其崩溃,则它可以成功地中断一项或多项服务。攻击宿主系统需要恶意软件找到应用程序的漏洞,或可以导致系统关闭的操作系统。
带宽充满。提供给 Internet 的大多数服务都通过带宽有限的网络连接进行链接,而网络又将它们连接到客户端。如果恶意软件编写者传递的负载使用虚假的网络通信填满带宽,则仅通过阻止客户端使其无法直接连接到服务即可生成 DoS
网络 DoS。这种类型的负载试图使本地宿主可用的资源超负载。诸如微处理器和内存能力的资源因 SYN洪水攻击而溢出;在此类攻击中,攻击者使用某个程序发送大量的 TCP SYN 请求,以填满服务器上挂起的连接队列,并拒绝来自宿主的合法网络通信和到宿主的合法网络通信。电子邮件炸弹攻击也通过填满存资源来创建 DoS 攻击;在这种攻击中,过分庞大的电子邮件数据会发送到电子邮件地址,并试图中断电子邮件程序或使接收者无法再收到合法的信息。
服务中断。这种类型的负载也会导致 DoS。例如,如果域名系统 (DNS) 服务器上的攻击禁用了 DNS 服务,则此 DoS 攻击技术已经实现。但是,系统上的所有其他服务可能仍保持未感染状态。
触发机制
触发机制是恶意软件的一个特征,恶意软件使用此机制启动复制或负载传递。典型的触发机制包括以下内容:
手动执行。这种类型的触发机制只是执行由受害者直接执行的恶意软件。
社会工程。恶意软件通常使用某种形式的社会工程,来欺骗受害者手动执行恶意代码。这种方法可能相对简单,例如在大量邮件蠕虫中使用的那些方法,其中社会工程元素主要在电子邮件的主题字段中选择最有可能使受害者打开邮件的文本。恶意软件编写者也可能使用电子邮件欺骗,以试图欺骗受害者并使其相信电子邮件来自可信源。欺骗是模拟网站或数据传输的行为,以使其看起来可信。例如,最早出现在 2003 年的原始 Dumaru 蠕虫修改了电子邮件的"收件人:"字段,使其错误地声称自己来自于security@microsoft.com。(有关此特征的详细信息,请参阅本章中下一部分中的"恶作剧")。
半自动执行。这种类型的触发机制最初由受害者启动,之后则自动执行。
自动执行。这种类型的触发机制根本无须手动执行。恶意软件执行攻击,而无须受害者运行目标计算机上的任何恶意代码。
定时炸弹。这种类型的触发机制在一段时间之后执行操作。这段时间可能是自第一次执行感染或某个预先规定日期或日期范围之后的一段时间延迟。例如,MyDoom.B 蠕虫将仅在 2004 2 3 日对于 Microsoft.com 网站启动其负载例程,并仅在 2004 2 1 日对 SCO Group 网站启动其负载例程。然后,此蠕虫会在 2004 3 1 日停止所有复制,尽管此定时炸弹的后门组件在此时间之后仍处于激活状态。
条件。这种类型的触发机制使用某个预先确定的条件作为触发器来传递其负载。例如,一个重命名的文件、一组击键或一个启动的应用程序。使用此类触发器的恶意软件有时称为"逻辑炸弹"
防护机制
许多恶意软件示例使用某种类型的防护机制,来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例:
装甲。这种类型的防护机制使用某种试图防止对恶意代码进行分析的技术。这种技术包括检测调试程序何时运行并试图阻止恶意代码正常工作,或添加许多无意义的代码,使人很难判断恶意代码的用途。
窃取。恶意软件使用此类技术,通过截获信息请求并返回错误数据来隐藏其自身。例如,病毒可能会存储未受感染的启动扇区的图像,并在有人尝试查看受感染的启动扇区时显示此图像。1986 年,最早被人们知道的计算机病毒(称为"Brain")便使用了这种技术。
加密。使用此防护机制的恶意软件加密其自身或负载(有时甚至加密其他系统数据),以防止检测或数据检索。加密的恶意软件包含静态的解密例程、加密密钥和加密的恶意代码(其中包含加密例程)。执行时,恶意软件使用解密例程和密钥来解密恶意代码。然后,恶意软件创建其代码的副本,并生成新的加密密钥。它使用该密钥及其加密例程来加密自身的新副本,然后使用解密例程添加新的密钥来启动新副本。与多态病毒不同,加密恶意软件总是使用相同的解密例程,因此尽管密钥值(以及加密的恶意代码签名)通常在不同的感染之间进行更改,但防病毒软件也可以搜索静态的解密例程,来检测出使用此防护机制的恶意软件。
。显示此特征的恶意软件使用加密防护机制进行自身防护,并且可以将加密例程更改为只能使用固定的次数(通常数目很小)。例如,可生成两个不同解密例程的病毒将被划分到寡态。
多态。这种类型的恶意软件使用加密防护机制更改其自身,以免被检测出来,它通常采用如下方式:使用加密例程加密恶意软件自身,然后为每个变形提供不同的解密密钥。因此,多态恶意软件使用不限数量的加密例程来防止自身被检测出来。恶意软件复制时,解密代码中的一部分将被修改。根据特定的恶意代码,所执行的负载或其他操作可能使用加密,也可能不使用加密。通常情况下有一个变形引擎,它是生成随机加密例程的加密恶意软件的自包含组件。此引擎和恶意软件都将被加密,并且新的解密密钥会同它们一起传送。
 
什么不是恶意软件?
有许多存在的威胁并不被认为是恶意软件,因为它们不是具有邪恶意图的计算机程序。但是,这些威胁对于一个组织而言仍具有安全和经济上的影响。因此,您可能希望了解您组织的 IT 基础结构和 IT 用户工作效率所面临的威胁。
玩笑软件
玩笑应用程序旨在生成一个微笑,或在最糟糕的情况下浪费某人的时间。这些应用程序自从人们开始使用计算机以来就一直存在。它们不是出于邪恶的目的而被开发的,而且很明白地标识为玩笑,因此对于本指南的用途而言,它们并不被认为是恶意软件。有许多玩笑应用程序的示例,从有趣的屏幕效果到逗人开心的动画或游戏,应有尽有。
恶作剧
通常情况下,欺骗某人为您做事要比编写软件使人在不知情的情况下做事容易。因此,在 IT 行业可以看到大量的恶作剧。
与其他形式的恶意软件一样,恶作剧也使用社会工程来试图欺骗计算机用户执行某些操作。但是,在恶作剧中并不执行任何代码;恶作剧者通常只尝试欺骗受害者。至今恶作剧已经采用了多种形式。但特别常见的一个示例为,某个电子邮件声称发现了一种新的病毒类型,并要您通过转发此邮件来通知您的朋友。这些恶作剧会浪费人们的时间,消耗电子邮件资源并占用网络带宽。
欺诈
实际上,违法者已经使用过各种通信形式(在这一次或那一次),试图欺骗人们执行会给其带来某些经济利益的操作。Internet、网站和电子邮件都不例外。一个比较常见的示例是,违法者发送电子邮件,试图欺骗收件人透露个人信息(例如,银行帐户信息),然后将这些信息用于非法用途。有一种特殊类型的欺诈称为"phishing"(发音同"fishing",也称为"品牌欺骗""carding")。
phishing 的示例包括发件人伪装知名公司(例如,eBay)试图获取用户帐户信息这种情况。Phishing 欺诈通常使用一个模仿某公司官方网站外观的网站。电子邮件用于将用户指向虚假站点,并欺骗用户输入其用户帐户信息,而这些信息将被保存并用于非法用途。这些案例类型应认真处理,并要报告给本地的法律执行机构。
垃圾邮件
垃圾邮件是未经请求的电子邮件,用于为某些服务或产品做广告。它通常被认做是讨厌的东西,但是垃圾邮件不是恶意软件。但是,所发送的垃圾邮件数量的飞速增长已经成为 Internet 基础结构的一个问题,这可导致员工工作效率的降低,因为他们每天必须费力查看并删除此类邮件。
术语"垃圾邮件"的来源尚在讨论之中,但是无论它的来源是什么,有一点是可以肯定的,那就是垃圾邮件已经成为 Internet 通信中最让人头痛的、长久存在的问题之一。许多人认为垃圾邮件问题如此严重,以至于它现在威胁到了世界各地的电子邮件通信的健康状况。但是,我们应该注意到,除了电子邮件服务器和防垃圾邮件软件所承担的负载之外,垃圾邮件实际上并不能复制或威胁某个组织 IT 系统的健康和运作。
恶意软件经常被垃圾软件的始发者(因此称为"垃圾邮件制造者")使用,以在宿主计算机上安装一个小型 SMTP 电子邮件服务器服务,然后通过该服务将垃圾邮件转发到另一个电子邮件收件人。
间谍软件
此类软件有时也称为"spybot""跟踪软件"。间谍软件使用其他形式的欺骗性软件和程序,它们在没有获取用户相应许可的情况下即在计算机上执行某些活动。这些活动可以包括收集个人信息,以及更改 Internet 浏览器配置设置。除了令人讨厌之外,间谍软件还会导致各种问题,从降低计算机的总体性能到侵犯个人隐私。
分发间谍软件的网站使用各种诡计,使用户下载并将其安装在他们的计算机上。这些诡计包括创建欺骗性的用户体验,以及隐蔽地将间谍软件和用户可能需要的其他软件(例如,免费的文件共享软件)捆绑在一起。
广告软件
广告软件通常与宿主应用程序组合在一起,只要用户同意接受广告软件即可免费提供宿主应用程序。因为广告软件应用程序通常在用户接受说明应用程序用途的许可协议之后进行安装,因而不会给用户带来任何不快。但是,弹出式广告会非常令人讨厌,并且在某些情况下会降低系统性能。此外,有些用户原来并没有完全意识到许可协议中的条款,这些应用程序收集的信息可能会导致他们担心隐私问题。
注意:尽管术语"间谍软件""广告软件"经常交替使用,但只有未经授权的广告软件才等同于间谍软件。为用户提供适当的通知、选择和控制的广告软件并不是欺骗性的,不应划分为间谍软件。还要注意到,声称执行特定功能(实际上执行其他任务)的间谍软件应用程序实际上起到了特洛伊木马的作用。
Internet Cookie
Internet Cookie 是由用户所访问的网站放置在用户计算机上的文本文件。Cookie 包含与用户相关的标识信息,并将该信息提供给网站,然后网站将这些信息(连同站点要保留的、与用户访问相关的任何其他信息)放置在用户计算机上。
Cookie 是合法工具,许多网站使用它们跟踪访问者的信息。例如,用户可能要在网上商店中购买商品,但是在将商品放置在网上购物车中后,他们可能由于某些原因要转到另一个网站。此商店可选择在用户计算机上的 Cookie 中保存关于购物车中有哪些商品的信息,这样当用户返回该站点后,商品仍在购物车中,并且已经准备好可供用户购买(如果他/她希望完成购买)。
人们认为,网站开发人员只能检索他们创建的 Cookie 中所存储的信息。此方法通过阻止这些站点的开发人员之外的其他人员访问用户计算机上的 Cookie,应该可以确保用户的隐私。
不幸的是,据悉某些网站的开发人员在用户不知情的情况下使用 Cookie 收集信息。某些人可能会欺骗用户或违反政策。例如,他们可能跨多个不同的网站跟踪 Web 冲浪习惯,而不通知用户。然后,站点开发人员可以使用此信息自定义用户在网站上看到的广告,这将被视为一种侵犯隐私的行为。这种目标广告形式以及其他形式的"Cookie 滥用"很难识别,从而使得确定是否在系统上阻止它们、什么时间以及怎样阻止它们变得非常困难。另外,可接受级别的共享信息随计算机用户的不同而不同,因此很难创建一个能满足环境中所有计算机用户的需求的" Cookie"程序。
 
防病毒软件
防病毒软件专门用于防护系统,使其免受来自恶意软件的威胁。Microsoft 强烈推荐使用防病毒软件,因为它会保护您的计算机系统,使其免受任何形式的恶意软件(而不仅仅是病毒)的侵害。
防病毒软件可以使用许多技术来检测恶意软件。本部分将讨论某些技术的工作原理,包括:
签名扫描。目前大多数防病毒软件程序都使用此技术,它通过搜索目标(宿主计算机、磁盘驱动器或文件)来查找表示恶意软件的模式。这些模式通常存储在被称为"签名文件"的文件中,签名文件由软件供应商定期更新,以确保防病毒扫描器能够尽可能多地识别已知的恶意软件攻击。此技术的主要问题是,防病毒软件必须已更新为应对恶意软件,之后扫描器才可识别它。
启发式扫描。此技术通过查找通用的恶意软件特征,来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是,它并不依赖于签名文件来识别和应对恶意软件。但是,启发式扫描具有许多特定问题,包括:
错误警报。此技术使用通用的特征,因此如果合法软件和恶意软件的特征类似,则容易将合法软件报告为恶意软件。
慢速扫描。查找特征的过程对于软件而言要比查找已知的恶意软件模式更难。因此,启发式扫描所用的时间要比签名扫描的时间长。
新特征可能被遗漏。如果新的恶意软件攻击所显示的特征以前尚未被识别出,则启发式扫描器可能会遗漏它,直至扫描器被更新。
行为阻止。此技术着重于恶意软件攻击的行为,而不是代码本身。例如,如果应用程序尝试打开一个网络端口,则行为阻止防病毒程序会将其检测为典型的恶意软件行为,然后将此行为标记为可能的恶意软件攻击。
现在,许多防病毒供应商在他们的解决方案中混合使用这些技术,以尝试提高客户计算机系统的整体保护级别。
可从多个 Microsoft 合作伙伴那里获取防病毒软件。关于完整的最新列表,请参阅 Microsoft.com 中的"Microsoft Antivirus Partners"页,网址为:http://www.microsoft.com/security/partners/antivirus.asp(英文)。
 
"处于放任状态"恶意软件的典型时间线
已经出现了一种模式,用来定义可作用于公共网络的新恶意软件攻击的生存期,或者定义恶意软件进入放任状态的时间。学习此模式有助于您了解新的恶意软件攻击发布后所带来的风险。
新的时间线从恶意软件最初开发时开始,到它的所有痕迹已从被监视网络中删除为止。时间线阶段定义如下:
1.     构思。恶意软件开发通常从新的攻击或利用方法被提出并且在黑客间共享开始。这些方法将被讨论或研究,直至发现一个方法可以开发为攻击。
2.     开发。在过去,要创建恶意软件必须了解计算机汇编语言以及要攻击的系统的复杂工作原理。但工具包和 Internet 聊天室的出现使几乎每个心怀歹意的人都可以创建恶意软件。
3.     复制。新的恶意软件开发并发布为放任状态之后,它通常必须复制到可能的宿主设备一段时间,然后才能
执行主要功能或传递负载。
注意:尽管有成千上万个已知的恶意软件程序,但仅有极小一部分目前处于放任状态。极大多数的恶意软件程序从未发布给大众,它们通常被称为"动物园病毒"
4.     传送负载。恶意软件成功地感染了一个宿主之后,它可能会传递负载。如果代码具有用于负载的条件触发器,则此阶段是满足传递机制条件的时候。例如,某些恶意软件负载会在用户执行特定操作或在宿主计算机上的时钟到达特定日期时被触发。如果恶意软件有一个直接操作触发器,则它仅会在感染完成后开始传递负载。例如,在数据记录负载的情况下,恶意软件程序将仅开始记录所需的数据。
5.     识别。在时间线的这一点上,恶意软件被防病毒团体识别出来。在极大多数情况下,此步骤将会在阶段 4 或甚至阶段 3 之前发生,但情况并非总是如此。
6.     检测。威胁被识别出来之后,防病毒软件开发人员需要分析代码来确定可靠的检测方法。一旦他们确定了方法,则会更新防病毒签名文件,以使现有的防病毒应用程序可以检测出新的恶意软件。此过程所用的时间对于控制病毒爆发至关重要。
7.     删除。在发布更新之后,防病毒应用程序的用户有责任及时应用更新,以保护其计算机免受攻击(或者清理已感染的系统)。
注意:如果没有及时更新本地签名文件,则会导致出现以下极其危险的情况:用户会认为已处于防病毒产品的保护之下,但实际上并没有。
 
随着越来越多的用户更新防病毒软件,恶意软件的威胁性将会慢慢地变小。此过程基本不会删除处于放任状态的恶意软件的所有实例,因为某些连接到 Internet 的计算机只有极少或根本没有防病毒保护,而恶意软件会驻留在这些计算机中。但总体而言,来自攻击的威胁已经减弱。
尽管此时间线对于每个新开发的恶意软件攻击都会重复一遍,但是它并不代表所有的攻击。许多攻击仅是恶意代码原始部分的修改版本。这样,基础代码和方法是相同的,但是进行了很小的更改,以免攻击在检测到之后被删除。通常,成功的恶意代码攻击会随着星期和月份的推移而产生多个版本。这种情况将导致一种"军备竞赛",恶意软件编写者为了自身利益(可能是为了经济利益,也可能是为了扬名,或仅仅出于好奇)将努力避免程序被检测出来。而病毒防护将根据需要再次被更新、修补或更改,以减轻恶意软件更新后带来的威胁。
 
小结
恶意软件是计算机技术中一个复杂并且不断发展的领域。在 IT 业面临的所有问题中,几乎没有比恶意软件攻击更具普遍性,也几乎没有比处理恶意软件的相关费用更昂贵的了。了解恶意软件的工作原理、随时间推移的演变方式以及它们所使用的攻击方法,将有助于您以主动的方式处理此问题。反过来,如果恶意软件的确影响了您或您的组织,这将为您提供一种更为有效且效率更高的应对过程。
由于恶意软件使用如此之多的技术进行创建、分发和利用计算机系统,因此很难知道如何保护系统才足以抵挡这样的攻击。但是,一旦了解了风险和漏洞,则可以通过使成功攻击基本不可能发生这种方式来管理系统。
下一步是分析 IT 基础结构中各个点的风险,然后设计合适的防护措施,这是下一章的主题。设计有效的恢复计划是本指南最后一章的主题。
 
 
3 章:深层病毒防护
 
 
简介
所有组织都应该开发将提供高级别保护的防病毒解决方案。但是,甚至是在安装了防病毒软件后,许多组织仍然感染了病毒。本指南提出了解决恶意软件(或 malware)问题的一种不同方法。与网络安全设计一样,Microsoft 建议设计防病毒解决方案时采用深层防护方法,以便帮助确保组织在设计时采用的安全措施将得到可能的维护。
这样的方法对于组织的计算机安全是极其重要的,因为不管计算机系统提供多少有用的功能或服务,都会有人(无论出于什么原因)将试图找到漏洞以便恶意利用它,这是一件不幸的事。
与在各种环境中实施了 Microsoft? Windows Server? 2003Windows? XP Professional Windows? 2000 的顾问和系统工程师协作,有助于建立保护运行这些操作系统的客户端和服务器免受恶意软件攻击的最新的最佳做法。本章为您提供此信息。
本章还提供指导以帮助您在为组织设计防病毒安全解决方案时使用深层防护方法。此方法的目的是确保您了解模型的每个层以及对应于每个层的特定威胁,以便您可以在实施自己的防病毒措施时使用此信息。
注意Microsoft 建议在您组织的一般安全过程和策略中包括本指南中的某些步骤。在出现这样的情况时,本指南会指明要求组织的安全小组进一步定义。
要点:如果怀疑您的组织当前正受到攻击,请在阅读本章之前,先参考本指南中的第 4 "突发控制和恢复"
如果您是在遇到恶意软件的攻击并进行恢复之后阅读本指南,则提供的信息旨在帮助您防止再次发生这样的攻击以及更好地了解以前的攻击是如何发生的。
 
恶意软件的威胁方法
恶意软件可以通过许多方法来损害组织。这些方法有时称为"威胁方法",它们代表在设计有效的防病毒解决方案时您的环境中最需要引起注意的区域。下面的列表包括典型组织中最容易受到恶意软件攻击的区域:
外部网络。没有在组织直接控制之下的任何网络都应该认为是恶意软件的潜在源。但是,Internet 是最大的恶意软件威胁。Internet 提供的匿名和连接允许心怀恶意的个人获得对许多目标的快速而有效访问,以使用恶意代码发动攻击。
来宾客户端。随着便携式计算机和移动设备在企业中的使用越来越广泛,设备经常移入和移出其他组织的基础结构。如果来宾客户端未采取有效的病毒防护措施,则它们就是组织的恶意软件威胁。
可执行文件。具有执行能力的任何代码都可以用作恶意软件。这不仅包括程序,而且还包括脚本、批处理文件和活动对象(如 Microsoft ActiveX? 控件)。
文档。随着文字处理器和电子表格应用程序的日益强大,它们已成为恶意软件编写者的目标。许多应用程序内支持的宏语言使得它们成为潜在的恶意软件目标。
电子邮件。恶意软件编写者可以同时利用电子邮件附件和电子邮件内活动的超文本标记语言 (HTML) 代码作为攻击方法。
可移动媒体。通过某种形式的可移动媒体进行的文件传输是组织需要作为其病毒防护的一部分解决的一个问题。其中一些更常用的可移动媒体包括:
CD-ROM DVD-ROM 光盘。廉价的 CD DVD 刻录设备的出现使得所有计算机用户(包括编写恶意软件的用户)都可以容易地访问这些媒体。
软盘驱动器和 Zip 驱动器。这些媒体不再像以前那样流行了,原因是其容量和速度有限,但是如果恶意软件可以物理访问它们,则它们仍然会带来风险。
USB 驱动器。这些设备具有多种形式,从经典的钥匙圈大小的设备到手表。如果可以将所有这些设备插入主机的通用串行总线 (USB) 端口,则这些设备都可以用于引入恶意软件。
内存卡。数字照相机和移动设备(如 PDA 和移动电话)已经帮助建立了数字内存卡。卡阅读器正日益成为计算机上的标准设备,使用户可以更轻松地传输内存卡上的数据。由于此数据是基于文件的,因此这些卡也可以将恶意软件传输到主机系统上。
 
 
恶意软件防护方法
在针对恶意软件尝试组织有效的防护之前,需要了解组织基础结构中存在风险的各个部分以及每个部分的风险程度。Microsoft 强烈建议您在开始设计防病毒解决方案之前,进行完整的安全风险评估。优化解决方案设计所需的信息只能通过完成完整的安全风险评估获得。
有关进行安全风险评估的信息和指导,请参阅"Microsoft Solution for Securing Windows 2000 Server"(保护 Windows 2000 Server Microsoft 解决方案)指南,其网址为:
http://www.microsoft.com/technet/security/prodtech/win2000/secwin2k/default.mspx
(英文)。此指南介绍了安全风险管理规则 (SRMD),您可以使用它了解您的组织所面临风险的特性。
深层防护安全模型
在发现并记录了组织所面临的风险后,下一步就是检查和组织您将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护,它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。如果您不熟悉深层防护安全模型,Microsoft 建议您查看 Microsoft TechNet 上的"Security Content Overview"(安全内容概述)页,其网址为:
http://www.microsoft.com/technet/security/bestprac/overview.mspx
(英文)。
您还可以在 TechNet 上的"MSA Reference Architecture Kit"MSA 参考体系结构工具包)中找到此过程的其他信息和实用设计示例,其网址为:
http://www.microsoft.com/resources/documentation/msa/2/all/solution/en-us/msa20rak/vmhtm1.mspx
(英文)。
下图说明为深层防护安全模型定义的各层:
3.1 深层防护安全模型的各层
图中的各层提供了在为网络设计安全防护时,环境中应该考虑的每个区域的视图。
您可以根据组织的安全优先级和要求,修改每层的详细定义。为了便于在本指南中讲述,下面的简单定义对模型的各层进行了定义:
数据层。数据层上的风险源自这样的漏洞:攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。例如,敏感数据(如机密的业务数据、用户数据和私有客户信息存储)都应该视为此层的一部分。在模型的此层上,组织主要关注的是可能源自数据丢失或被盗的业务和法律问题,以及漏洞在主机层或应用程序层上暴露的操作问题。
应用程序层。应用程序层上的风险源自这样的漏洞:攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。在此层上组织主要关注的是:对组成应用程序的二进制文件的访问;通过应用程序侦听服务中的漏洞对主机的访问;不适当地收集系统中特定数据,以传递给可以使用该数据达到自己目的的某个人。
主机层。提供 Service Pack 和修复程序以处理恶意软件威胁的供应商通常将此层作为目标。此层上的风险源自利用主机或服务所提供服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。缓冲区溢出(它是因添加到缓冲区的信息量比缓冲区的设计容量更大而产生的情况)就是一个良好的示例。在此层上组织主要关注的是阻止对组成操作系统的二进制文件的访问,以及阻止通过操作系统侦听服务中的漏洞对主机的访问。
内部网络层。组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要求也具有许多与其关联的风险。
外围网络层。与外围网络层(也称为 DMZ、网络隔离区域或屏幕子网)关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口。
物理安全层。物理层上的风险源自可以物理访问物理资产的攻击者。此层包括前面的所有层,因为对资产的物理访问又可以允许访问深层防护模型中的所有其他层。使用防病毒系统的组织在模型的此层上主要关注的是阻止感染文件避开外围网络和内部网络的防护。攻击者可能只是通过某个物理可移动媒体(如 USB 磁盘设备)将感染文件直接复制到主机,试图做到这一点。
策略、过程和意识层。围绕安全模型所有层的是,您的组织为满足和支持每个级别的要求需要制定的策略和过程。最后,提高组织中对所有相关方的意识是很重要的。在许多情况下,忽视风险可以导致安全违反。由于此原因,培训也应该是任何安全模型的不可缺少的部分。
 
通过将模型的安全层用作深层病毒防护方法的基础,您就可以重新集中视图以便将它们优化到组织中病毒防护的分组中。在组织中进行此优化的方式完全取决于组织指定的优先级和它所使用的特定防护应用程序。重点是通过确保没有从防护中排除任何安全层,来避免不完整的和弱化的防病毒设计。下图显示更集中的深层病毒防护视图:
3.2 集中的深层病毒防护视图

可以将数据层、应用程序层和主机层组合到两个防护策略中,以保护组织的客户端和服务器。虽然这些防护共享许多公共策略,但是实施客户端和服务器防护方面的差异足以保证对于每个防护都是唯一的防护方法。
内部网络层和外围层也可以组合到一个公共网络防护策略中,因为这两个层所涉及的技术是相同的。每个层中的实施细节将是不同的,具体取决于组织基础结构中的设备位置和技术。
 
客户端防护
当恶意软件到达主机时,防护系统必须集中于保护主机系统及其数据,并停止感染的传播。这些防护与环境中的物理防护和网络防护一样重要。您应该根据以下假定来设计主机防护:恶意软件已经找到了通过前面的所有防护层的方法。此方法是达到最高保护级别的最佳方法。
客户端的病毒防护步骤
您可以使用许多方法和技术配置客户端病毒防护。以下各节详细说明 Microsoft 建议的注意事项。
步骤 1:减小攻击面
应用程序层上的第一道防护是减小计算机的攻击面。应该在计算机上删除或禁用所有不需要的应用程序或服务,以最大限度地减少攻击者可以利用系统的方法数。
Microsoft.com Windows XP Professional 产品文档的"Default settings for services"(默认服务设置)页上,可以找到 Windows XP Professional 服务的默认设置,该页的网址为:http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sys_srv_default_settings.mspx(英文)。
在已经将攻击面减至最小,且不影响系统的所需功能后,要此层上使用的主要防护是防病毒扫描程序。扫描程序的主要作用是检测和阻止攻击,然后通知组织中的用户,还可能通知组织中的系统管理员。
步骤 2:应用安全更新
可能连接到组织网络的客户端计算机数量很大,而且种类很多,仅这一点就可以导致很难提供快速而可靠的安全更新管理服务。Microsoft 和其他软件公司已经开发了许多可用来帮助解决此问题的工具。下列修补程序管理和安全更新工具当前可以从 Microsoft 获得:
Windows Update。对于小型组织或个人,Windows Update 服务同时提供了手动过程和自动过程来检测和下载 Windows 平台的最新安全和功能修改。在某些组织中使用此方法时出现的问题包括:在从此服务部署更新之前缺少对测试的支持、同时下载同一程序包时客户端可能占用组织中一定量的网络带宽。有关使用此服务的信息可从 Windows Update 主页获得,其网址为:www.windowsupdate.com(英文)。
Software Update Service。此服务旨在为企业中的 Windows 客户端提供安全更新解决方案。通过既允许内部测试也允许分布式安全更新管理,此服务为更大组织克服了 Windows Update 的这两项不足。有关使用此服务为您的组织开发解决方案的信息可从 Microsoft.com 上的 Software Update Service 主页获得,其网址为:http://www.microsoft.com/windowsserversystem/sus/(英文)。
Systems Management Server 2003Microsoft Systems Management Server 2003 是一个完整的企业管理解决方案,它能够提供综合的安全更新服务以及更多功能。有关此解决方案的详细信息,请参阅 Microsoft.com 上的 Systems Management Server 主页,其网址为:http://www.microsoft.com/smserver/default.asp(英文)
其中的每种 Microsoft 安全更新工具都有特定的优点和用途。最佳方法很可能是使用其中的一种或多种工具。为帮助评估组织的安全更新解决方案,请参阅 Microsoft.com "Choosing a Security Update Management Solution"(选择安全更新管理解决方案)页提供的功能比较,其网址为:
http://www.microsoft.com/windowsserversystem/sus/suschoosing.mspx
(英文)。
步骤 3:启用基于主机的防火墙
基于主机的防火墙或个人防火墙代表您应该启用的重要客户端防护层,尤其是在用户可能带到组织通常的物理和网络防护之外的便携式计算机上。这些防火墙会筛选试图进入或离开特定主机的所有数据。
Windows XP 包括名为"Internet 连接防火墙"(ICF) 的简单个人防火墙。ICF 在被启用后将监视通过它的通信的所有方面。ICF 还检查它处理的每个数据包的源地址和目标地址,以确保每个通信都是允许的通信。有关 ICF 的详细信息,请参阅 Windows XP 帮助系统以及 Microsoft.com 上的"Use the Internet Connection Firewall"(使用 Internet 连接防火墙)页,其网址为:
http://www.microsoft.com/windowsxp/pro/using/howto/networking/icf.asp
(英文)。
Windows XP Service Pack 2 引入了对 ICF(现在称为"Windows 防火墙")的许多重要增强以及其他面向安全性的改进。Service Pack 是自产品发布以来经过测试的所有修复程序、安全更新、关键更新和为内部发现的缺陷创建的更新的累积集合。Service Pack 也可能包含少量客户请求的设计更改或功能。有关 Windows XP 的此更新的信息,请参阅 Microsoft TechNet 上的"Windows XP Service Pack 2"页,其网址为:
http://www.microsoft.com/technet/prodtechnol/winxppro/sp2preview.mspx
(英文)。
Windows XP 之前的 Windows 版本没有附带内置防火墙。可以安装基于主机的第三方防火墙解决方案,在更早版本的 Windows 上提供防火墙服务以及增强 Windows XP 客户端上的防火墙服务。有关这些防火墙产品的信息,请参阅 Microsoft Protect Your PC(保护您的 PC)网站上的"Frequently Asked Questions About Internal Firewalls"(内部防火墙常见问题解答)页,其网址为:
http://www.microsoft.com/security/protect/firewall.asp
(英文)。
步骤 4:安装防病毒软件
许多公司推出防病毒应用程序,其中每个应用程序都试图保护主机,同时对最终用户产生最少的不便和交互。其中的大多数应用程序在提供此保护方面都是很有效的,但是它们都要求经常更新以应对新的恶意软件。任何防病毒解决方案都应该提供快速的无缝机制,来确保尽快提供对处理新恶意软件或变种所需的签名文件的更新。签名文件包含防病毒程序在扫描过程中用来检测恶意软件的信息。根据设计,签名文件由防病毒应用程序供应商定期更新,需要下载到客户端计算机。
注意:这样的更新会带来自身的安全风险,因为签名文件是从防病毒程序的支持站点发送到主机应用程序(通常通过 Internet)。例如,如果传输机制使用文件传输协议 (FTP) 获得文件,则组织的外围防火墙必须允许对 Internet 上所需 FTP 服务器进行此类型的访问。请确保在防病毒风险评估过程中审查组织的更新机制,而且此过程的安全性足以满足组织的安全要求。
由于恶意软件的模式和技术快速变化,一些组织采用了以下方法:建议要求某些"高风险"用户在同一计算机上运行多个防病毒程序包,以帮助将未能检测到恶意软件的风险减到最小。下列用户类型通常属于此类别:
Web 管理员或管理 Internet Intranet 上内容的任何用户。
发布实验室工作人员或制作电子媒体(如 CD-ROM)的任何用户。
创建或编译压缩文件或其他产品软件的开发小组成员。
 
应该注意,在同一计算机上运行许多不同应用程序供应商推出的防病毒应用程序,可能会因防病毒应用程序之间的互操作性问题而产生问题。在您的环境中同时运行多个防病毒应用程序可能导致的系统问题包括:
内存开销。许多防病毒应用程序使用驻留在内存中的活动代理程序,因而减少了可用的系统内存量。
系统崩溃或停止错误。这样的崩溃和错误可能是由于多个防病毒应用程序试图同时扫描同一文件导致的。
性能损失。当防病毒应用程序在文件中扫描恶意代码时,系统性能可能会下降。使用多个应用程序时,会重复执行扫描,这可能会将系统性能降低到不可接受的水平。
无法访问系统。试图同时运行的多个防病毒应用程序可能导致系统在启动过程中停止运行。在更早版本的 Windows(如 Microsoft Windows? NT Windows 9x)上,此问题更为常见。
 
由于这些原因,不建议在同一计算机上使用多个防病毒应用程序,应该尽可能避免。
要考虑的另一种方法是为组织中的客户端、服务器和网络防护使用来自不同供应商的防病毒软件。此方法使用不同的扫描引擎提供对基础结构的这些不同区域的一致扫描,这应该有助于在单个供应商的产品未能检测到攻击时减少对总体病毒防护的风险。
有关防病毒供应商的详细信息,请参阅 Microsoft.com 上的"Microsoft Antivirus Partners"Microsoft 防病毒合作伙伴),其网址为:
http://www.microsoft.com/security/partners/antivirus.asp
(英文)。
有关为 Windows XP 设计的防病毒软件的详细信息,请参阅 Microsoft.com 上的"Microsoft Windows Catalog Antivirus"Microsoft Windows 目录防病毒)页,其网址为:http://go.microsoft.com/fwlink/?LinkId=28506(英文)。
步骤 5:测试漏洞扫描程序
在配置系统之后,应该定期检查它以确保没有留下安全漏洞。为了帮助您完成此过程,许多应用程序可用作扫描程序来查找恶意软件和黑客可能试图利用的漏洞。其中的大多数工具更新自己的扫描例程,以保护您的系统免受最新漏洞的攻击。
Microsoft 基准安全分析器 (MBSA) 是能够检查常见安全配置问题的漏洞扫描程序的一个示例。此扫描程序还进行检查,以确保您的主机配置了最新的安全更新。
有关此免费配置工具的详细信息,请参阅 TechNet 上的"Microsoft Baseline Security Analyzer V1.2"Microsoft 基准安全分析器 V1.2)页,其网址为:http://www.microsoft.com/technet/security/tools/mbsahome.mspx(英文)。
步骤 6:使用最少特权策略
在客户端防护中不应忽视的另一区域是在正常操作下分配给用户的特权。Microsoft 建议采用这样的策略:它提供可能的最少特权以帮助将在执行时依赖利用用户特权的恶意软件的影响减到最小。对于通常具有本地管理特权的用户,这样的策略尤其重要。请考虑对日常操作删除这样的特权,并在必要时改用 RunAs 命令启动所需的管理工具。
例如,需要安装要求管理员特权的应用程序的用户可能在命令提示符下运行以下安装命令,以适当的特权启动安装程序:
runas /user:mydomain/admin "setup.exe"
您也可以直接从 Microsoft Windows 资源管理器访问此功能,方法是执行以下步骤:
以管理特权运行程序
1.     Windows 资源管理器中,选择要打开的程序或工具(如 Microsoft 管理控制台 (MMC) 管理单元或控制面板)。
2.     右键单击该程序或工具,然后选择"运行方式"
注意:如果"运行方式"没有作为选项出现,请按住 Shift 键右键单击该工具。
3.     "运行方式"对话框中,选择"下列用户:"选项。
4.       "用户名""密码"框中,键入要使用的管理员帐户的用户名和密码。
 
 
步骤 7:限制未授权的应用程序
如果应用程序为网络提供一种服务,如 Microsoft Instant Messenger Web 服务,则在理论上它可能成为恶意软件攻击的目标。作为防病毒解决方案的一部分,您可能希望考虑为组织编写已授权应用程序的列表。将未授权应用程序安装在您的任一客户端计算机上的尝试,可能会使所有这些计算机及其包含的数据面临受到恶意软件攻击的更大风险。
如果您的组织希望限制未授权的应用程序,则您可以使用 Windows 组策略限制用户运行未授权软件的能力。如何使用组策略已经得到广泛的讨论,有关它的详细信息可以在 Microsoft.com 上的 Windows Server 2003 Group Policy Technology Center(英文)(Windows Server 2003 组策略技术中心)找到,其网址为:
www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/
处理此功能的组策略的特定方面称为"软件限制策略",可以通过标准组策略 MMC 管理单元访问它。下图显示组策略 MMC 屏幕,其中显示可以同时为计算机和用户设置软件限制策略的路径:
3.3 组策略 MMC 管理单元中软件限制策略文件夹的路径
 
要直接从 Windows XP 客户端访问此管理单元,请完成以下步骤:
1.     单击"开始""运行"
2.     键入 secpol.msc,然后单击"确定"
 
对所有可能的设置进行详细说明,超出了本指南的范围。但是,TechNet 上的文章"Using Software Restriction Policies to Protect Against Unauthorized Software"(使用软件限制策略防止未授权软件),其网址为:
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx
(英文),将为您提供有关使用 Windows XP Professional 操作系统的这一强大功能的分步指导。
警告:组策略是功能极其强大的技术,需要仔细配置和详尽了解才能成功实施。在确信熟悉策略设置并在非产品系统上测试了结果之前,不要尝试直接更改这些设置。
客户端应用程序的防病毒设置
以下各节提供配置恶意软件可能作为攻击目标的特定客户端应用程序的准则
电子邮件客户端
如果恶意软件确实设法通过了网络和电子邮件服务器级别上的病毒防护,则可能存在一些设置,您可以进行配置以便为电子邮件客户端提供额外保护。
通常,如果用户能够直接从电子邮件打开电子邮件附件,则为恶意软件在客户端上传播提供了主要方式之一。如有可能,请考虑在组织的电子邮件系统中限制此能力。如果这是不可能的,一些电子邮件客户端允许您配置另外的步骤,用户将必须执行这些步骤才能打开附件。例如,在 Microsoft Outlook? Outlook Express 中,您能够:
使用 Internet Explorer 安全区域禁用 HTML 电子邮件中的活动内容。
启用一项设置以便用户只能以纯文本格式查看电子邮件。
阻止程序在未经特定用户确认的情况下发送电子邮件。
阻止不安全的电子邮件附件。
 
有关如何配置这些功能的信息,请参阅 Microsoft 知识库文章"291387 - OLEXP: Outlook Express 6 中使用病毒防护功能",其网址为:
http://support.microsoft.com/?kbid=291387
Microsoft Outlook 2003 包括防止恶意软件和垃圾邮件的附加功能。有关配置这些功能的信息,请参阅 Microsoft.com 上的 Customizing Outlook 2003 to Help Prevent Viruses(英文)(自定义 Outlook 2003 以帮助防护病毒)页,其网址为:
www.microsoft.com/office/ork/2003/three/ch12/
桌面应用程序
随着桌面办公应用程序的日益强大,它们也成为恶意软件的攻击目标。宏病毒使用字处理器、电子表格或其他支持宏的应用程序创建的文件复制自身。
您应该尽可能采取措施,以确保在环境中处理这些文件的所有应用程序上启用最合适的安全设置。有关保护 Microsoft Office 2003 应用程序的信息,请参阅 Microsoft.com 上的"Best practices for protection from viruses"(病毒防护的最佳做法)页,其网址为:
http://go.microsoft.com/fwlink/?LinkId=28509
(英文)。
即时消息应用程序
非凡的即时消息技术帮助改进了全世界用户的通信。不幸的是,它还提供了有可能允许恶意软件进入系统的另一应用程序。虽然文本消息不会构成直接的恶意软件威胁,但是大多数即时 Messenger 客户端提供另外的文件传输功能以提高用户的通信能力。允许文件传输提供了进入组织网络的直接路由,有可能受到恶意软件的攻击。
网络防火墙只需筛选用于此通信的端口,即可阻止这些文件传输。例如,Microsoft Windows MSN? Messenger 客户端使用介于 6891 6900 之间的 TCP 端口传输文件,因此,如果外围防火墙阻止这些端口,则通过 Instant Messenger 的文件传输就不会发生。但是,移动客户端计算机仅当在组织网络上时才受到保护。因此,您可能希望配置客户端上的基于主机的防火墙阻止这些端口,并且在组织中的移动客户端处于网络防护之外时为它们提供保护。
如果因为其他必需的应用程序使用这些端口或者需要文件传输,您的组织无法阻止这些端口,则应该确保在传输所有文件之前对其扫描以确定是否存在恶意软件。如果客户端工作站使用的不是实时防病毒扫描程序,则应该将即时消息应用程序配置为:一收到文件,就自动将传输的文件传递到防病毒应用程序进行扫描。例如,您可以将 MSN Messenger 配置为自动扫描传输的文件。以下步骤说明如何启用此安全功能:
注意Windows XP 附带的 Windows Messenger 应用程序不支持此功能。对于此应用程序,应该使用实时防病毒扫描程序。
扫描 MSN Messenger 传输的文件
1.     MSN Messenger 主窗口中,单击"工具"菜单,然后单击"选项"
2.     单击"消息"选项卡。
3.     "文件传输"下,选中"使用下列程序进行病毒扫描"(扫描病毒时使用)复选框。
4.     注意:在此处查找要使用的正确可执行文件和要包括的命令参数,可能需要防病毒扫描软件供应商的另外输入。
 
完成这些步骤之后,您的防病毒软件将在客户端上自动扫描通过 MSN Messenger 接收的所有文件。
注意:您的防病毒扫描工具可能需要另外的设置步骤。有关详细信息,请查看防病毒扫描软件的说明。
Web 浏览器
Internet 下载或执行代码之前,您希望确保知道它来自已知的、可靠的来源。您的用户不应该仅依赖于站点外观或站点地址,因为网页和网址都可以是伪造的。
已经开发了许多不同的方法和技术,来帮助用户的 Web 浏览器应用程序确定用户所浏览网站的可靠性。例如,Microsoft Internet Explorer 使用 Microsoft Authenticode? 技术验证已下载代码的身份。Authenticode 技术验证代码是否具有有效的证书、软件发布者的身份是否与证书匹配以及证书是否仍然有效。如果通过了所有这些测试,将会降低攻击者将恶意代码传输到系统的可能性。
大多数主要的 Web 浏览器应用程序支持限制可用于从 Web 服务器执行的代码的自动访问级别的功能。Internet Explorer 使用安全区域帮助阻止 Web 内容在客户端上执行有可能产生破坏的操作。安全区域基于 Web 内容的位置(区域)。
例如,如果确信在组织的 Intranet 中下载的任何内容都是安全的,则您可能将本地 Intranet 区域的客户端安全设置配置为低级,以便允许用户从 Intranet 下载内容时限制很少或没有限制。但是,如果下载源位于 Internet 区域或"受限制的站点"区域,则您可能希望将客户端的安全设置配置为中级或高级。这些设置将导致客户端浏览器在用户下载内容之前提示他们输入有关内容证书的信息,或者完全阻止他们进行下载。
有关 Internet Explorer 安全相关问题的详细信息,请参阅 Microsoft.com 上的 Internet Explorer Security Center(英文)(Internet Explorer 安全中心)页,其网址为:
www.microsoft.com/technet/security/prodtech/ie/
对等应用程序
Internet 范围的对等 (P2P) 应用程序的出现,使得查找文件和与他人交换文件比以前任何时候都更为容易。不幸的是,此情况已经引发了许多恶意软件攻击,它们试图使用这些应用程序将文件复制到其他用户的计算机。蠕虫(如 W32.HLLW.Sanker)已经将 P2P 应用程序(如 Kazaa)作为攻击目标以达到复制目的。还有许多试图使用其他对等应用程序(如 Morpheus Grokster)的恶意软件示例。
围绕 P2P 应用程序的安全问题与客户端程序本身几乎没有关系。这些问题与这些应用程序的以下功能有很大关系:提供从一台计算机到另一台计算机的直接路由。通过此功能,不经过适当的安全检查即可传输内容。
如果可能,Microsoft 建议限制组织中使用这些应用程序的客户端数量。您可以使用本章前面所述的 Windows 软件限制策略,帮助阻止用户运行对等应用程序。如果在您的环境中这是不可能的,请确保在制定防病毒策略时,将环境中客户端因这些应用程序而面临的更大风险考虑在内。
 
服务器防护
环境中的服务器防护与客户端防护有许多共同之处;二者都试图保护同一基本个人计算机环境。两者的主要差异在于,服务器防护在可靠性和性能方面的预期级别通常高得多。此外,许多服务器在组织基础结构中起到的专门作用通常需要制定专门的防护解决方案。以下各节中的信息集中说明服务器防护和前面讨论的客户端防护之间的主要差异。
 
服务器的病毒防护步骤
服务器的防病毒配置有很大差异,具体取决于特定服务器的角色以及根据设计它所提供的服务。将攻击面减到最小的过程通常称为"强化"。您可以获取有关强化组织中用于各种典型角色的 Windows Server 2003 的最佳指南。有关本主题的详细信息,请参阅 Microsoft.com 上的"Server Security Index"(服务器安全性索引)页,其网址为:
http://www.microsoft.com/security/guidance/topics/ServerSecurity.mspx
(英文)。
在组织中防护服务器的四个基本防病毒步骤与防护客户端的步骤相同。
1.     减小攻击面。从服务器中删除不需要的服务和应用程序,将其攻击面减到最小。
2.     应用安全更新。如有可能,请确保所有服务器计算机运行的都是最新的安全更新。根据需要执行其他测试,以确保新的更新不会对关键任务服务器产生负面影响。
3.     启用基于主机的防火墙Windows Server 2003 包括一个基于主机的防火墙,您可以使用它减小服务器的攻击面以及删除不需要的服务和应用程序。
4.     使用漏洞扫描程序进行测试。使用 Windows Server 2003 上的 MBSA 帮助识别服务器配置中可能存在的漏洞。Microsoft 建议使用此漏洞扫描程序和其他专用漏洞扫描程序,帮助确保配置尽可能强大。
 
除了这些常用的防病毒步骤之外,请考虑将以下服务器特定的软件用作总体服务器病毒防护的一部分。
一般的服务器防病毒软件
为客户端环境(如 Windows XP)设计的防病毒应用程序和为服务器环境(如 Windows Server 2003)设计的防病毒应用程序之间的主要差异在于,基于服务器的扫描程序和任何基于服务器的服务(如消息服务或数据库服务)之间的集成级别。许多基于服务器的防病毒应用程序还提供了远程管理功能,以最大限度地减少物理访问服务器控制台的需要。
在为服务器环境评估防病毒软件时应该考虑的其他重要问题包括:
扫描期间的 CPU 使用率。在服务器环境中,CPU 使用率是服务器在组织中发挥其主要作用的能力的关键组成部分。
应用程序可靠性。重要的数据中心服务器上的系统崩溃所产生的影响比单个工作站崩溃大得多。因此,Microsoft 建议全面测试所有基于服务器的防病毒应用程序,以确保系统可靠性。
管理开销。防病毒应用程序的自我管理能力可以帮助组织中的服务器管理小组减少管理开销。
应用程序互操作性。测试防病毒应用程序时使用的基于服务器的服务和应用程序应该与产品服务器将运行的相同,以确保不存在互操作性问题。
 
有关已经过认证可以在 Windows Server 2003 上使用的防病毒应用程序的列表,请单击 Windows Server CatalogWindows Server 目录)的"Business Solutions, Security"(业务解决方案,安全性)页,其网址为 http://go.microsoft.com/fwlink/?linkid=28510(英文)。
角色特定的防病毒配置和软件
现在,有许多可用于企业中特定服务器角色的专用防病毒配置、工具和应用程序。可以从此类型专用防病毒防护中获益的服务器角色的示例有:
Web 服务器 Microsoft Internet 信息服务 (IIS)
消息服务器 Microsoft Exchange 2003
数据库服务器如运行 Microsoft SQL Server? 2000 的服务器。
协作服务器如运行 Microsoft Windows SharePoint? Services Microsoft Office SharePoint Portal Server? 2003 的服务器。
 
应用程序特定的防病毒解决方案通常提供更佳的保护和性能,因为它们设计用于与特定服务集成在一起,而不是试图在文件系统级服务的下面起作用。本节讨论的所有服务器角色均负责有关在文件系统级运行的防病毒扫描程序无法访问的信息。还提供了有关其中每个服务器角色的信息,以及 Microsoft 建议如何将特定防病毒配置、工具和应用程序与它们一起使用。
Web 服务器
在一段时间内,所有类型的组织中的 Web 服务器都曾经是安全攻击的目标。不管攻击来自恶意软件(如 CodeRed)还是来自试图破坏组织网站的黑客,充分配置 Web 服务器上的安全设置以最大限度地防御这些攻击都是很重要的。Microsoft Microsoft.com "Windows Server 2003 Security Guide"Windows Server 2003 安全指南)的"Chapter 8 - Hardening IIS Servers"(第 8 - 强化 IIS 服务器)中专门为负责保护网络上运行 IIS 的服务器的系统管理员提供了指导,网址为:
http://www.microsoft.com/technet/security/prodtech/win2003/w2003hg/sgch08.mspx
(英文)。
除了此指导外,您还可以下载某些免费工具,它们将在 IIS 上自动执行许多安全配置。例如,可以从 Microsoft.com 上下载 IIS Lockdown Tool,网址为:
http://www.microsoft.com/technet/security/tools/locktool.mspx
(英文)。
此工具用于调整 Web 服务器,以便仅提供其角色所需的那些服务,因此减小了任何恶意软件对服务器的攻击面。
UrlScan 是限制 IIS 要处理的 HTTP 请求类型的另一种安全工具。通过阻止特定的 HTTP 请求,UrlScan 可以帮助阻止可能有害的请求到达服务器。现在,您可以在运行 IIS 4.0 或更高版本的服务器上干干净净地安装 UrlScan 2.5。有关 UrlScan 的详细信息,请参阅 Microsoft.com 上的"UrlScan Security Tool"UrlScan 安全工具)页,其网址为:
http://www.microsoft.com/technet/security/tools/urlscan.mspx
(英文)。
消息服务器
为组织中的电子邮件服务器设计有效的防病毒解决方案时,要牢记两个目标。第一个目标是防止服务器本身受到恶意软件的攻击。第二个目标是阻止任何恶意软件通过电子邮件系统进入组织中用户的邮箱。务必确保在电子邮件服务器上安装的防病毒解决方案能够实现这两个目标。
一般来说,标准文件扫描防病毒解决方案无法阻止电子邮件服务器将恶意软件作为附件传递到客户端。所有电子邮件服务(最简单的除外)都将电子邮件存储于某种类型的数据库(有时称为"邮件文件夹")。典型的文件扫描防病毒解决方案无法访问此类数据库的内容。事实上,如果允许文件扫描防病毒解决方案通过驱动器映射(如 Exchange Server 5.5 Exchange Server 2000 上的 M: 驱动器)尝试扫描,则它可能会损坏邮件文件夹。
使防病毒解决方案与正使用的电子邮件解决方案匹配是很重要的。许多防病毒供应商现在为特定电子邮件服务器提供其软件的专用版本,这些版本设计用于扫描经过电子邮件系统的电子邮件以确定是否包含恶意软件。以下两种基本类型的电子邮件防病毒解决方案通常是可用的:
SMTP 网关扫描程序。这些基于简单邮件传输协议 (SMTP) 的电子邮件扫描解决方案通常称为防病毒"网关"解决方案。这些解决方案的优点是:可以用于所有的 SMTP 电子邮件服务,而不是仅用于特定电子邮件服务器产品。但是,由于这些解决方案依赖于 SMTP 电子邮件协议,因此它们在可以提供的某些更高级功能方面受到限制。
集成的服务器扫描程序。这些专用防病毒应用程序直接与特定的电子邮件服务器产品一起工作。这些应用程序确实有许多优点。例如,它们可以与高级服务器功能直接集成在一起,它们设计为与电子邮件服务器使用相同的硬件。
 
Microsoft Exchange 提供了名为"病毒 API"(VAPI)(也称为防病毒 API (AVAPI) 或病毒扫描 API (VSAPI))的特定防病毒应用程序编程接口 (API)。此 API 由专门的 Exchange Server 防病毒应用程序使用,以帮助在 Exchange 电子邮件服务器上以安全而可靠的方式提供完全的消息传递保护。有关此 API 的详细信息,请参阅 Microsoft.com 上的 Microsoft 知识库文章"328841 - XADM:Exchange 与防病毒软件",其网址为:
http://support.microsoft.com/?kbid=328841
数据库服务器
在考虑数据库服务器的病毒防护时,需要保护以下四个主要元素:
主机。运行数据库的一个或多个服务器。
数据库服务。在主机上运行的为网络提供数据库服务的各种应用程序。
数据存储区。存储在数据库中的数据。
数据通信。网络上数据库主机和其他主机之间使用的连接和协议。
 
由于数据存储区内的数据不能直接执行,因此通常认为数据存储区本身不需要扫描。目前,没有专为数据存储区编写的主要防病毒应用程序。但是,在进行防病毒配置时,应该仔细考虑数据库服务器的主机、数据库服务和数据通信这些元素。
应该专门为恶意软件威胁检查主机的位置和配置。一般说来,Microsoft 建议不要将数据库服务器置于组织基础结构的外围网络中(尤其当服务器存储敏感数据时)。但是,如果必须在外围网络中放置这样的数据库服务器,请确保对它进行配置将感染恶意软件的风险减到最小。
如果您的组织使用 SQL Server,请参阅以下指导以获得有关特定恶意软件攻击配置准则的详细信息:
Microsoft.com 上的 Microsoft 知识库文章"309422 - INF:Consideration for a Virus Scanner On a Computer That Is Running SQL Server"309422 - INF:运行 SQL Server 的计算机上的病毒扫描程序注意事项),其网址为:http://support.microsoft.com/?kbid=309422(英文)。
Microsoft.com Microsoft SQL Server Security Resources(英文)(安全资源)页,其网址为:
www.microsoft.com/sql/techinfo/administration/2000/security/
 
最近的"Slammer"蠕虫直接将 SQL Server 作为攻击目标。此攻击表明无论 SQL Server 数据库计算机是位于外围网络还是内部网络中,保护它们都是非常重要的。
有关可帮助确保您的 SQL Server 系统免受 Slammer 蠕虫攻击的信息和软件,请参阅 Microsoft.com 上的"Finding and Fixing Slammer Vulnerabilities"(查找和修复 Slammer 漏洞)页,其网址为:
http://www.microsoft.com/security/slammer.asp
(英文)。
协作服务器
协作服务器本身的特点使它们易受恶意软件的攻击。当用户将文件复制到服务器和从服务器复制文件时,他们可能使网络上的服务器和其他用户受到恶意软件的攻击。Microsoft 建议使用可以扫描复制到协作存储区和从协作存储区复制的所有文件的防病毒应用程序,保护环境中的协作服务器(如运行 SharePoint Services SharePoint Portal Server 2003 的服务器)。有关保护这些服务的详细分步信息,请参阅 Microsoft.com "Administrators Guide for Windows SharePoint Services"Windows SharePoint Services 管理员指南)的"Configuring Antivirus Protection"(配置病毒保护)页,其网址为:
http://www.microsoft.com/resources/documentation/wss/2/all/adminguide/en-us/stse11.mspx
(英文)。
有关为与 Windows SharePoint Services SharePoint Portal Server 2003 集成而专门编写的防病毒软件的信息,请参阅 Microsoft Office Online 上的"Solutions Directory "(解决方案目录)页,其网址为:
http://go.microsoft.com/fwlink/?linkid=13276
(英文)。
 
网络防护层
在已记录的恶意软件事件中,通过网络发动的攻击是最多的。通常,发动恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织 IT 基础结构中的主机设备。这些设备可以是客户端、服务器、路由器,或者甚至是防火墙。在此层上进行病毒防护所面临的最困难问题之一是,平衡 IT 系统用户的功能要求与创建有效防护所需的限制。例如,与许多最近的攻击类似,MyDoom 蠕虫使用电子邮件附件复制自己。从 IT 基础结构的角度来看,阻止所有传入附件是最简单、最安全的选项。但是,组织中电子邮件用户的需求可能不允许这样做。必须进行折衷,在组织的需求和它可以接受的风险级别之间达到平衡。
许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。Microsoft 建议使用此方法,因为它正好符合深层防护安全模型。
注意:存在一种日益增长的趋势:将内部网络分解为多个安全区域,以便为每个安全区域建立外围。Microsoft 也建议使用此方法,因为它可帮助降低试图访问内部网络的恶意软件攻击的总体风险。但是,本指南仅对单个网络防护进行说明。如果您计划使用一个外围网络和多个内部网络,则可以将此指导直接应用于每个网络。
组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过外部攻击进入组织。如本章前面所述,典型的恶意软件攻击集中于将文件复制到目标计算机。因此,您的病毒防护应该使用组织的常规安全措施,以确保只有经过适当授权的人员才能以安全方式(如通过加密的虚拟专用网络 (VPN) 连接)访问组织的数据。有关创建安全的外围网络设计的详细信息,请参阅 TechNet 上的 Microsoft Systems Architecture 2.0 指导,其网址为:
http://www.microsoft.com/resources/documentation/msa/2/all/solution/en-us/default.mspx
(英文)。
注意:您也应该将任何无线局域网 (LAN) VPN 视为外围网络。如果您的组织已经采用这些技术,则对其进行保护是很重要的。如果无法提供此安全性,则可能允许攻击者直接访问您的内部网络(避开标准的外围防护)以发动攻击。
有关保护 WLAN 的详细信息,请参阅 TechNet 上的以下文章:
"Planning a Secure Wireless LAN using Windows Server 2003 Certificate Services"(使用 Windows Server 2003 证书服务规划安全的 Wireless LAN),其网址为:
http://www.microsoft.com/technet/security/guidance/secmod167.mspx
(英文)。
"Securing Wireless LANs - A Windows Server 2003 Certificate Services Solution"(保护 Wireless LAN - Windows Server 2003 证书服务解决方案),其网址为:
http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/swlan.mspx
(英文)。
 
有关保护 VPN 网络的指导,请参阅 Microsoft.com 上的以下文章:
"MSA Enterprise Design for Remote Access"(用于远程访问的 MSA 企业设计),其网址为:
http://www.microsoft.com/resources/documentation/msa/2/all/solution/en-us/msa20rak/vmhtm128.mspx
(英文)。
 
在本指南中,假定网络安全设计为组织提供了所需的标识、授权、加密和保护级别,以防止未经授权的攻击者直接侵入。但是,此时病毒防护是不完整的。下一步是将网络层防护配置为检测和筛选使用允许的网络通信(如电子邮件、Web 浏览和即时消息)的恶意软件攻击。
网络防病毒配置
有许多专门设计用于为组织提供网络安全的配置和技术。虽然这些是组织安全设计的重要部分,但是本节仅集中说明与病毒防护有直接关系的区域。您的网络安全和设计小组应该确定在组织中如何使用以下每种方法。
网络入侵检测系统
因为外围网络是网络中风险很大的部分,因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测 (NID) 系统的作用仅仅是提供:外部攻击的快速检测和报告。虽然 NID 系统是总体系统安全设计的一部分,而且不是特定的防病毒工具,但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如,一些恶意软件使用 IP 扫描来查找可进行感染的系统。由于此原因,应该将 NID 系统配置为与组织的网络管理系统一起工作,将任何不寻常的网络行为的警告直接传递给组织的安全人员。
要了解的一个关键问题是:对于任何 NID 实现,其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护,而且防护应该得到连续不断的实时监视。只有在此时,才能认为该过程是防护策略的一部分。否则,NID 系统实际上更像一个在攻击发生之后提供审核记录的工具。
有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备,也可以是集成到其他网络服务(如组织的防火墙服务)中的其他系统。例如,Microsoft Internet Security and Acceleration (ISA) Server 2000 2004 产品包含 NID 系统功能以及防火墙和代理服务。
有关为 ISA Server 提供其他 NID 服务的 Microsoft ISA Server 合作伙伴的列表,请参阅 Microsoft.com 上的"Intrusion Detection"(入侵检测)页,其网址为:
http://www.microsoft.com/isaserver/partners/intrusiondetection.asp
(英文)。
应用程序层筛选
组织意识到使用 Internet 筛选技术监视和屏蔽网络通信中的非法内容(如病毒)不仅是有用的,而且是必需的。在过去,曾经使用防火墙服务提供的数据包层筛选执行了此筛选,仅允许根据源或目标 IP 地址或者特定的 TCP UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) OSI 网络模型的应用程序层上工作,因此它允许根据数据的内容检查和筛选数据。如果除了使用标准数据包层筛选外还使用 ALF,则可以实现的安全性要高得多。例如,使用数据包筛选可能允许您筛选通过组织防火墙的端口 80 网络流量,以便它只能传递到 Web 服务器。但是,此方法可能不提供足够的安全性。通过将 ALF 添加到解决方案中,您可以检查端口 80 上传递到 Web 服务器的所有数据,以确保它是有效的且不包含任何可疑代码。
ISA Server 可以在数据包通过组织防火墙时提供对它们的 ALF。可以扫描 Web 浏览和电子邮件,以确保特定于每个 Web 浏览和电子邮件的内容不包含可疑数据,如垃圾邮件或恶意软件。ISA Server 中的 ALF 功能启用深层内容分析,包括使用任何端口和协议检测、检查和验证流量的功能。有关提供筛选器以提高不同协议和 Web 通信的安全性和互操作性的供应商的列表,请参阅 Microsoft.com 上的"Partner Application Filters"(合作伙伴应用程序筛选器)页,其网址为:
http://www.microsoft.com/isaserver/partners/applicationfilters.asp
(英文)。
有关 ALF 如何在 ISA Server 2000 中工作的详细说明,请参阅"Introducing the ISA Server 2000 Application Layer Filtering Kit"ISA Server 2000 应用程序层筛选工具包简介)页,其网址为:
www.isaserver.org/articles/spamalfkit.html
(英文)。
内容扫描
内容扫描在更高级防火墙解决方案中作为一项功能提供,或者作为单独服务(如电子邮件)的组件提供。内容扫描询问允许通过有效数据通道进入或离开组织网络的数据。如果内容扫描是在电子邮件上执行的,则它通常与电子邮件服务器协同工作以检查电子邮件的特性(如附件)。此方法可以在数据通过服务时实时扫描和识别恶意软件内容。有许多与 Microsoft 协作为 Microsoft Exchange Server ISA Server 提供增强安全功能(如实时防病毒内容扫描)的合作伙伴。
有关可用于 Microsoft Exchange Server 2003 的合作伙伴防病毒产品的更多详细信息,请参阅 Microsoft.com 上的 Microsoft 知识库文章"823166 - Exchange Server 2003 配合使用的防病毒软件概述",其网址为:
http://support.microsoft.com/?kbid=823166
有关已经开发了用于 ISA Server 的内容扫描产品的 Microsoft 合作伙伴的列表,请参阅 Microsoft.com 上的"Partners"(合作伙伴)页,其网址为:
http://www.microsoft.com/isaserver/partners/
(英文)。
URL 筛选
对于网络管理员可能可用的另一个选项是 URL 筛选,您可以使用它阻止有问题的网站。例如,您可能使用 URL 筛选阻止已知的黑客网站、下载服务器和个人 HTTP 电子邮件服务。
注意:主要的 HTTP 电子邮件服务站点(如 Hotmail Yahoo)提供防病毒扫描服务,但是有许多较小站点根本不提供防病毒扫描服务。对组织防护来说,这是严重的问题,因为这样的服务会提供直接从 Internet 到客户端的路由。
网络管理员可以使用两种基本的 URL 筛选方法:
阻止列表。防火墙先检查有问题站点的预定义列表,然后才允许连接。允许用户连接没有专门在阻止列表中列出的站点。
允许列表。此方法仅允许与在组织已批准网站的预定义列表中输入的网站进行通信。
 
第一种方法依赖于识别可能存在问题的网站并将它们添加到列表中的主动过程。由于 Internet 的大小和可变特性,此方法需要自动化解决方案或很大的管理开销,通常仅对阻止数目较小的已知有问题网站是有用的,无法提供综合性保护解决方案。第二种方法提供了更好的保护,因为它的限制特性允许控制可供系统用户访问的站点。但是,除非进行了正确调查以识别用户所需的所有站点,否则此方法可能对许多组织来说限制性太强。
Microsoft ISA Server 支持使用其"站点和内容规则"手动创建这两个列表。但是,直接用于 ISA Server 的增强型自动化解决方案可从 Microsoft 合作伙伴处获得,以确保可以根据需要阻止或允许 URL,同时将管理开销减到最小。这些解决方案的列表可以从 Microsoft.com 上的"Microsoft Internet Security and Acceleration (ISA) Server Partners URL Filtering"Microsoft Internet Security and Acceleration (ISA) Server 合作伙伴 URL 筛选)页获得,其网址为:
http://www.microsoft.com/isaserver/partners/accesscontrol.asp
(英文)。
仅当客户端处于组织防护内时,这两种方法才会提供保护。移动客户端在办公室外直接连接到 Internet 时,将不提供此保护,这意味着您的网络可能会受到攻击。如果组织中的移动客户端需要 URL 筛选解决方案,则您应该考虑使用基于客户端的防护系统。但是,此方法可能会带来很大的管理开销,尤其是在具有大量移动客户端的环境中。
隔离网络
为保护网络可以使用的另一种方法是:为不满足组织最低安全要求的计算机建立隔离网络。
注意:不应该将此方法与某些防病毒应用程序中提供的隔离功能相混淆,后者将感染文件移动到计算机上的安全区域中,直到可以将其清除。
隔离网络应该限制(或者甚至阻止)对组织资源的内部访问,但是提供一种连接级别(包括 Internet)允许临时访问者的计算机高效工作,而不会给内部网络的安全带来风险。如果访问者的便携式计算机感染了恶意软件并连接到网络,则隔离网络可以限制其感染内部网络上其他计算机的能力。
与此类似的方法成功应用于 VPN 类型的远程连接,已经有一段时间了。在执行系统测试的同时,将 VPN 客户端转移到临时隔离网络。如果客户端通过了测试(例如由于具有所需的安全更新和防病毒签名文件),则将授予它们访问组织内部网络的权限。如果客户端不满足这些要求,则将断开它们的连接或允许它们访问隔离网络,这可以用来获得通过测试所必需的更新。现在,网络设计人员正研究此技术以帮助改进内部网络的安全性。
有关此方法的详细信息,请参阅 Microsoft.com "Microsoft Windows Server 2003 Deployment Kit"Microsoft Windows Server 2003 部署工具包)的"Planning for Network Access Quarantine Control"(规划网络访问的隔离控制)页,其网址为:
http://www.microsoft.com/resources/documentation/windowsserv/2003/all/deployguide/en-us/dnsbf_vpn_aosh.asp
(英文)。
ISA Server Feature Pack
如果您的组织使用 ISA Server 2000,则 Microsoft 还建议您使用在 ISA Server Feature Pack 1 中提供的其他功能。此免费附件提供其他安全功能,您可以使用这些功能提高网络防护中跨防火墙的通信(包括电子邮件)的安全性。您可以用来改进防病毒网络防护的功能包括:
增强的 SMTP 筛选器。此功能有助于以增强的可靠性和安全性筛选电子邮件。筛选基于附件的名称、大小或扩展名,以及发件人、域、关键字和任何 SMTP 命令及其长度。
增强的 Exchange 远程过程调用 (RPC) 筛选器。此功能保护通过不受信任的网络与 Exchange Server 计算机进行的 Outlook 电子邮件通信,而不要求您建立 VPN。为此,在 ISA Server Feature Pack 1 中还附带了以下额外功能:
      管理员能够在 Outlook Exchange Server 之间强制 RPC 加密。
出站 RPC 通信可以安全地通过 ISA Server,这又允许连接到 ISA Server 计算机的 Outlook 客户端访问外部 Exchange Server 计算机。
UrlScan 2.5。此工具有助于在 ISA Server 计算机上的恶意 Web 请求能够进入网络和访问 Web 服务器之前,阻止这些请求。
Outlook Web Access (OWA) 向导。您可以使用此向导快速而轻松地配置 ISA Server 以帮助保护 OWA 部署。
RPC 筛选器配置向导。您可以使用此向导仅允许对内部网络上的 RPC 服务进行精确级别的访问,而不是访问所有的 RPC 通信。
 
要获得此 Feature Pack,请参阅 Microsoft.com 上的"How to Obtain Feature Pack 1"(如何获得 Feature Pack 1)页,其网址为:
http://www.microsoft.com/isaserver/featurepack1/howtogetfp1.asp
(英文)。
有关使用这些功能保护外围 ISA Server 防火墙的详细信息,请参阅 Microsoft.com 上的"ISA Server Feature Pack 1"页,其网址为:
http://www.microsoft.com/isaserver/featurepack1/
(英文)。
 
物理安全性
与其说物理安全性是特定的恶意软件问题,不如说它是一般的安全问题,但是如果没有用于组织基础结构中所有客户端、服务器和网络设备的有效物理防护计划,则无法避免恶意软件的攻击。在有效的物理防护计划中有许多关键元素,其中包括:
建立安全性
人员安全性
网络接入点
服务器计算机
工作站计算机
移动计算机和设备
 
在组织的安全风险评估中,应该评估其中的每个元素。如果攻击者损害其中的任一元素,则风险级别增加,恶意软件可以绕过外部和内部网络防护边界感染网络上的主机。
保护对您的工具和计算系统的访问应该是组织总体安全策略的基本元素。这些注意事项的详细说明已经超出了此解决方案的范围。但是,有关可靠的物理安全性计划的基本元素的信息可从 Microsoft TechNet 上的"5-Minute Security Advisor - Basic Physical Security"5 分钟安全顾问 - 基本物理安全性)文章中获得,网址为:
http://www.microsoft.com/technet/community/columns/5min/5min-203.mspx
(英文)。
 
策略、过程和意识
客户端、服务器和网络的操作策略及过程是组织中病毒防护层的基本方面。Microsoft 建议将以下策略和过程视为组织深层病毒防护解决方案的一部分:
防病毒扫描例程。理想情况下,您的防病毒应用程序应该支持自动扫描和实时扫描。但是,如果不是这样,则您应该实施一个过程,以便提供有关组织中的用户应该在何时运行完整系统扫描的指导。
防病毒签名更新例程。大多数的现代防病毒应用程序支持下载病毒签名更新的自动方法,您应该定期实施这样的方法。但是,如果您的组织要求在部署这些更新之前先对其进行测试,则通常将无法使用这样的方法。如果是这样,请确保您的支持人员尽快识别、下载、测试和更新签名文件。
允许的应用程序和服务的相关策略。应该存在明确传达的策略,以说明在组织的计算机上允许使用哪些应用程序以及哪些可以访问组织资源。可以导致问题的应用程序的示例包括:对等网络应用程序和用户可能直接从恶意网站下载的应用程序。
 
Microsoft 建议至少对组织网络防护层中的所有设备应用以下策略和过程。
变更控制。网络设备的重要安全过程是控制影响它们的变更。理想情况下,应该以可控和记录的方式提议、测试和实施所有变更。因一时冲动对外围网络中设备进行的变更,很可能引入攻击可以利用的配置错误或缺陷。
网络监视。正确地配置网络设备以优化其安全性,并不意味着可以忽视其他防病毒过程。持续监视网络中的所有设备是尽快检测出恶意软件攻击所必需的。监视是一个复杂的过程,它要求从许多源(如防火墙、路由器和交换机)收集信息,以编辑可以用来识别异常行为的"正常"行为基准。
攻击检测过程。如果检测到可疑的恶意软件攻击,则您的组织应该具有一组可以遵循的明确定义并记录的步骤,以确保攻击得到确认、控制和清除,且对最终用户带来最小的破坏。有关此主题的详细信息,请参阅第 4 "突发控制和恢复"
家用计算机网络访问策略。应该建立一组最低要求,员工必须满足这些要求才能将家用计算机或网络通过 VPN 连接连接到您组织的网络。
访问者网络访问策略。应该建立一组最低要求,仅允许满足这些要求的访问者连接到您组织的网络。这些要求应该同时适用于无线连接和有线连接。
无线网络策略。连接到内部网络的所有无线设备都应该先满足最低安全配置要求,才能进行连接。此策略应该为组织指定所需的最低配置。
 
您可以实施许多其他策略和过程提高网络设备的安全性;应该将本节列出的策略和过程视为一个良好的起点。但是,由于其他策略提供常规安全设置而不是防病毒特定的设置,因此它们超出了本指南的范围。
安全更新策略
客户端、服务器和网络防护都应该已经具有某种形式的安全更新管理系统。这样的系统可以作为范围更广的企业修补程序管理解决方案的一部分提供。应该定期检查主机和设备的操作系统是否有供应商提供的更新。这些安全更新策略还应该为用于将安全更新应用到组织系统的过程提供操作准则。此过程应该包括以下阶段:
1.     检查更新。某种类型的自动通知过程应该已经存在,以通知用户可用的更新。
2.     下载更新。系统应该能够下载更新,且对用户和网络产生最小影响。
3.     测试更新。如果更新要应用于关键任务主机,则您应该确保在产品环境中部署每个更新之前,在合适的非产品系统上对其进行测试。
4.     部署更新。在测试和验证更新之后,应该可以使用简单的部署机制帮助分发它。
 
如果在您环境中被更新的系统不需要此列表中的测试阶段,则您的组织可能希望考虑自动为系统执行整个过程。例如,使用 Microsoft Windows Update 网站上的"Automated Updates"(自动更新)选项,可以通知并更新您的客户端计算机,而无须用户干预。使用此选项,有助于确保您的系统尽快运行最新的安全更新。但是,此方法在安装更新之前不测试它。如果这是您组织的要求,则不建议使用此选项。
确保使用最新的安全更新维护您组织的系统,应该成为组织系统管理的常规部分。
基于风险的策略
如果在深层病毒防护模型的外围网络层和内部网络层上连接了太多的客户端、服务器和网络设备,则创建单个有效的安全策略来管理组织中的所有要求和配置就会很困难。您可以用来组织策略的一种方法是,将组织中的主机根据其类型和风险级别归入不同类别。
为帮助确定分配给主机或设备的风险级别,请考虑对每个主机或设备进行风险评估。有关执行这样的风险评估的一组详细指导,请参阅 TechNet "Microsoft Solution for Securing Windows 2000 Server"(保护 Windows 2000 Server Microsoft 解决方案)的"Chapter 3 - Understanding the Security Risk Management Discipline"(第 3 - 了解安全风险管理规则),其网址为:
http://www.microsoft.com/technet/security/prodtech/win2000/secwin2k/03secrsk.mspx
(英文)。
Microsoft 建议对于组织的以客户端为中心的风险评估策略考虑以下配置类别:
标准客户端配置。此配置类别通常适用于基于办公室的台式计算机,它们物理摆放在办公室建筑物中的地点。这些台式机客户端受到现有的外部和内部网络防护的持续保护,而且在组织建筑物内是受保护的。
高风险客户端配置。此配置类别旨在满足移动计算机用户和移动设备(如 PDA 和移动电话)的需要。这些设备经常移动到组织网络防护的保护之外,因此风险级别较高。
来宾客户端配置。此配置类别设计用于您的组织并不拥有或支持的客户端计算机。管理这些计算机的配置也许是不可能的,因为您不大可能具有其配置的控制权。但是,您可以设置策略,以限制这些计算机连接到组织网络的能力。来宾客户端计算机通常是以下类型之一:
      员工的家用计算机。
      合作伙伴或供应商的计算机。
      来宾计算机。
 
Microsoft 还建议为服务器角色建立风险类别,并建议对服务器也进行与客户端一样的风险评估。作为服务器策略的起点,您可能考虑以下配置类别:
标准服务器配置。此配置类别旨在作为您环境中多数服务器配置的共同点。它提供最低级别的安全性,但不限制常用的服务。此后,您可以将高风险和角色特定的配置类别策略修改为包括相应级别的所有策略要求。
高风险服务器配置。处于外围网络中的服务器或直接暴露于外部连接和文件的服务器应该在此配置类别中考虑。例如,此类别可能包括外围 Web 服务器、防火墙服务器和消息服务器。包含特别敏感数据的服务器(如 HR 数据库服务器)也可能需要采用此配置,而不管其网络位置。
角色特定的配置。您的组织也可能选择将特定的服务器角色组织到不同的配置中,以便更加符合服务器应用程序的要求。例如,您可能选择将角色特定的配置用于消息服务器、数据库服务器或防火墙。除了根据需要使用标准配置类别或高风险配置类别外,您还可以选择使用此方法。
 
使用基于风险的策略是组织中规划小组的最终选择,并且您可以将引用的配置分类用作进一步开发的基础。最终目标是减少管理系统必须支持的配置数。通常,标准化方法比分别配置环境中每个主机的安全性更有可能产生安全的配置。
自动监视和报告策略
如果您的组织使用可以向中心位置报告可疑恶意软件感染的自动监视系统或防病毒应用程序,则有可能自动执行此过程以便任何警报都自动通知组织 IT 基础结构中的所有用户。自动警报系统将最大限度地减少初始警报和知道恶意软件威胁的用户之间的延迟,但是此方法存在的问题是它可以生成许多"假阳性"警报。如果没有人筛选警报和检查不寻常的活动报告检查表,则警报很可能警告不存在的恶意软件。此情况可能导致对威胁估计不足,因为太频繁地生成警报,用户将会很快对警报不那么敏感了。
Microsoft 建议指定网络管理小组的成员负责接收来自所有系统监视软件或您组织使用的防病毒程序包的所有自动恶意软件警报。之后,小组先从自动系统中筛选出假阳性警报,再向用户发出警报。为了使此方法得以成功,小组需要每周 7 天、每天 24 小时地监视警报,以确保检查所有的警报,如果需要则向网络用户发布。
用户和支持小组的意识
小组意识和培训应该针对组织中的管理和支持小组。重要 IT 专业人员的培训是 IT 所有领域的基本要求,但是对于病毒防护它尤其重要,因为恶意软件攻击和防护的特点可能会定期变化。一个新的恶意软件攻击可以在几乎一夜之间损害有效的防护系统,而您组织的防护可能处于危险之中。如果这些防护的支持人员在如何识别和响应新的恶意软件威胁方面没有进行过培训,则迟早会在病毒防护系统中发生严重的安全违反。
用户意识
用户培训通常是组织在设计其病毒防护时最后考虑的事情之一。帮助用户了解与恶意软件攻击有关的一些风险是缓解此类风险的重要部分,因为组织中使用 IT 资源的任何人都在网络安全性方面起着一定作用。由于这一原因,有必要使用户了解他们可以缓解的更常见风险,例如:
打开电子邮件附件。
使用弱密码。
从不受信任的网站下载应用程序和 ActiveX 控件。
从未经授权的可移动媒体运行应用程序。
允许访问组织的数据和网络。
 
当恶意软件所用方法改变时,必须更新病毒防护。不管防病毒程序的签名文件或程序本身是否需要更新,创建和部署更新都需要时间。创建更新所需的时间在最近几年得到了大幅度的减少,这些更新通常在数小时内即可用。但是,在更少见的情况下,从新的恶意软件攻击的发动时间到可以提供有效的病毒防护,仍然可能需要数天的时间。
在此时间内,您组织具有的最好防护可能是意识到恶意软件及其风险的用户。为用户提供基本的防病毒准则和培训,可以帮助阻止经过 IT 防护的新型恶意软件在整个环境中传播。
培训用户不必是一个复杂的过程。基本的防病毒准则主要基于常识性原则,但是确保明确强制和传达这样的准则可能是一个难题。Windows XP 基准安全检查表 - 可以从 Microsoft TechNet 上的以下网址下载:
http://www.microsoft.com/technet/Security/chklist/xpcl.mspx
(英文)- 可以帮助您确定要传达给用户的与防病毒和安全性相关的常见问题。
负责移动设备的用户很可能需要进行其他培训,以帮助他们了解与将设备带到组织的物理防护和网络防护之外关联的风险。很可能将需要专用于保护这些移动设备的其他防护。由于这一原因,您可能需要为管理这些设备的用户指定其他配置和培训。
注意:在 Microsoft.com 上的 Protect your PC(英文)(保护您的 PC)指南中提供了一些有用的最终用户配置信息,网址为:
www.microsoft.com/security/protect/
。此站点是一个良好的信息资源,它可以帮助您的用户自学如何保护其家用计算机和网络。
支持小组意识
负责组织的服务器、客户端和网络设备的配置和支持的 IT 专业人员将需要进行防病毒培训,帮助他们确保最佳地配置和维护其系统,以阻止恶意软件的攻击。其中任何计算机或设备的配置错误都可以打开恶意软件攻击的路由。例如,如果缺乏培训的防火墙管理员在外围防火墙设备上默认打开了所有网络端口,则将带来严重的安全风险和恶意软件风险。负责连接到组织外围网络的设备的管理员应该接受特定的安全培训,以帮助他们了解可以影响网络设备攻击的范围。
有关安全主题的许多事件、动手实验和 Web 广播可以直接从 Microsoft 获得。有关这些主题的详细信息,请参阅 Microsoft.com 上的"Your Security Program Guide"(您的安全程序指南),其网址为:
http://www.microsoft.com/seminar/events/security.mspx
(英文)。
安全培训和书籍也可以从 Microsoft Learning 获得。有关这些出版物的详细信息,请参阅 Microsoft.com 上的"Microsoft Learning Security Resources"Microsoft Learning 安全资源)页,其网址为:
http://www.microsoft.com/learning/centers/security.asp
(英文)。
获得用户反馈
如果为意识到恶意软件的用户提供了报告所用系统上不寻常行为的简单而有效的机制,则他们可以提供极佳的预警系统。这样的机制可以采用电话热线号码、电子邮件别名或从组织支持人员的快速升级过程的形式。
主动内部通信
如有可能,IT 部门的成员应该建立主动防病毒响应小组,该小组负责监视外部的恶意软件警报站点以预警恶意软件的攻击。这种站点的良好示例包括:
防病毒应用程序供应商网站。
Anti-Virus Information Exchange Network (AVIEN) 网站,其网址为:www.avien.org(英文)。
防病毒警报服务,如 AVIEN 推出的 Antivirus Information Early Warning System (AVI-EWS)(您可以订阅这些服务)。
Microsoft.com 上的"Microsoft Security Antivirus Information"Microsoft 安全防病毒信息)网站,其网址为:http://www.microsoft.com/security/antivirus/(英文)。
 
定期检查类似这些站点的参考站点,应该使支持人员可以在最新的恶意软件威胁渗透到组织网络之前,将这些威胁通知系统管理员和用户。确定进行这些检查的时间是至关重要的。确保系统用户在检查早上的电子邮件之前收到主动的警告,他们可能只需要删除几封可疑的电子邮件,而不会导致恶意软件的爆发。如果多数系统用户在上午 9 点登录,则建立一种在此时间之前报告新的恶意软件威胁的方法可以视为最佳做法。
内部的恶意软件警报
以及时和全面的方式找出通知所有用户可能发生的恶意软件攻击的最有效机制,是至关重要的。可用的通信系统差异很大,具体取决于组织的基础结构;提供适合于所有组织的恶意软件警报系统是不可能的。但是,本节提供组织为了达到此目的可能希望考虑的机制的以下示例:
组织布告牌。不应忘记的低技术方法是使用内部的办公室门、布告牌或员工易于理解的纸质信息点。虽然此过程涉及一些要维护的开销,但是它具有重要的优点:当网络区域因受到攻击而不可用时,可以将重要信息传达给用户。
语音邮件系统。如果组织的语音邮件系统支持它,则为所有用户留下一条消息的能力可以是传达恶意软件警报的有效机制。但是,应该注意此方法依赖于在访问电子邮件之前访问语音邮件以获得电子邮件威胁警告的用户。
登录消息。您可以将 Windows 操作系统配置为在登录过程中将消息直接传递到用户的屏幕。此机制提供了一种使用户注意恶意软件警报的好方法。
Intranet 门户。用户设置为主页的公共 Intranet 门户可用于提供恶意软件警报。要使此警报机制生效,需要建议用户在访问电子邮件之前查看此门户。
电子邮件系统。使用电子邮件系统将恶意软件警报传达给用户时,请务必谨慎。因为攻击可能会影响您的电子邮件服务器,所以此机制可能不是在所有情况下都有效。此外,由于收件箱排队过程的特性所致,可能会在已经将包含恶意软件的电子邮件传递到用户之后,传递恶意软件警告。由于这一原因,您可能需要建议用户在第一次登录到计算机时,在查看任何电子邮件之前首先查找高优先级恶意软件警告。
 
小结
病毒防护不再仅仅是安装应用程序。最近的恶意软件攻击已经证明需要更全面的防护方法。本章集中说明如何应用深层防护安全模型形成深层防护方法的基础,为组织创建有效的防病毒解决方案。请务必了解恶意软件编写者持续不断地更新攻击组织可能在使用的新 IT 技术的方法,而且防病毒技术不断发展以缓解这些新威胁。
深层病毒防护方法应该有助于确保您的 IT 基础结构能够应对所有可能的恶意软件攻击方法。使用此分层方法,就可以更轻松地识别整个系统中的任何薄弱点,从外围网络到整个环境中使用计算机的个人。如果未能处理深层病毒防护方法中所述的任一层,都有可能使您的系统受到攻击。
您应该经常复查防病毒解决方案,以便每当需要时都可以更新它。病毒防护的所有方面都是重要的,从简单的病毒签名自动下载到操作策略的完全更改。
同样,因为本指南中提供的信息也会更新,请务必经常访问 Microsoft.com 上的 Microsoft Security Antivirus InformationMicrosoft 安全防病毒信息)网站(其网址为:http://www.microsoft.com/security/antivirus/(英文)),以接收最新的防病毒信息和指导。
Microsoft 认识到恶意软件可以产生巨大的破坏和惊人的损失,因此投入了大量精力以便使创建和分发恶意软件的人更难得逞。Microsoft 还在努力使网络设计人员、IT 专业人员和最终用户可以更轻松地配置系统,使其满足安全要求且对业务操作产生很小影响。
尽管彻底根除恶意代码也许是不可能的,但是持续关注此深层病毒防护方法中重点说明的方面将有助于将恶意软件攻击可以对组织的业务操作产生的影响减到最小。
 
 
4 章:突发控制和恢复
 
 
 
简介
本章描述了一组详细的注意事项,用于标识恶意软件感染或突发,阻止它的传播,然后消除它可能对环境中已感染系统造成的不利影响。对事件响应和恢复采用一致、简单方法的需要不能被低估;恶意软件事件通常具有一定的紧急性,这不利于建立一个长期有效和成功的精心设计的过程。
还有一个重要的问题值得一提。由于使用了多种不同的负载,使得恶意软件攻击的复杂性不断增强,因此任何一种用于从系统中删除恶意软件的单一进程都已不再广泛适用。每个不同的恶意软件攻击都可能需要单独的补救措施。然而,这并非意味着定义一个用于标识攻击、控制攻击的传播以及从攻击恢复的过程(应保持一致性)就不重要。
从高级角度而言,恶意软件突发恢复过程的步骤包括:
1.     感染确认
2.     事件响应
3.     恶意软件分析
4.     系统恢复
5.     恢复后的步骤
 
 
步骤 1:感染确认
快速确定系统是否已受到感染对于组织将感染的影响程度降至最低至关重要。通过快速确认感染并标识它的可疑特征,可以降低感染的传播速度,并减小它对用户的不利影响。
有很多不同类型的计算机故障可能被误认为是病毒行为。当用户通过电话或电子邮件表示"我认为我的系统已感染病毒"时,支持人员首先必须确定这种行为是否有可能由某种类型的恶意代码所导致。以下列表提供了一些用户可能将其报告为"类似病毒"行为的典型症状的示例:
"我曾经打开一封电子邮件附件,当时未出现异常情况;而现在我的计算机却行为异常。"
"我从联系人那里收到电子邮件答复,询问我为何向他们发送 .exe.zip 或其他附件,而实际上我却从未发送过类似文件。"
"我的防病毒软件已经停止工作,且计算机总是自动关机!"
"我的程序工作异常,它们的速度都非常慢!"
"'我的文档';文件夹中出现了大量以前未曾见过的文件。"
"我的某些文件无法打开或已经消失!"
 
用户的观察和反馈很关键,因为他们有可能第一个注意到异常活动。随着恶意软件突发速度的不断增加,最初感染与有效防御可用性之间的时间长度也变得越来越重要。由于大部分感染将在该阶段发生,因此组织能否快速标识并确认感染对于将突发的传播范围和它可能造成的损害降至最低程度至关重要。
以下部分概述了一系列使您能够更快速地确认异常行为究竟是否是恶意软件攻击或突发的步骤。
如果新型恶意软件感染系统,则该系统的用户将第一个注意到异常行为。正如本指南第 3 "深层病毒防护"中所述,在新恶意软件的发布时间与更新防病毒扫描应用程序以检测和应对该恶意软件的时间之间通常存在延迟。尽早提供警告系统的最佳方法是让用户了解如何识别可能的恶意软件攻击信号,并为他们提供快速通信链接以便尽快报告这些恶意软件攻击。
感染报告
在接到用户电话或生成有关可能的新恶意软件攻击的警报后,定义一个用于尽快确定警告是否与新攻击有关的过程对于技术支持通常很有好处。以下流程图显示了该过程中的主要步骤:
4.1 恶意软件感染报告过程
异常活动报告
以下问题应用于确定导致发出警报的异常活动是否可能是新恶意软件攻击。本指南假设这些问题应由组织中的 IT 技术支持的成员向非技术用户提出。
收集基本信息
最初的问题应旨在得到可以帮助尽快确定警报本质以及它是否有可能是新恶意软件攻击的回答。可以使用以下示例问题作为该过程的起点;应对其进行修改,以满足组织的需要。:
报告的日期和时间?
导致进行报告的异常活动是什么?
在异常活动之前发生了什么活动?
      最近是否访问过"正常"的日常访问以外的任何 Web 站点?
      该系统最近是否位于组织网络的外部(例如,位于机场、家庭网络、Wi-Fi 热点或宾馆中)?
      您在屏幕上是否看到过任何异常弹出窗口或广告?
当前正在运行哪些异常或意外进程?
计算机是工作站还是服务器?它使用哪种操作系统?它应用了哪些安全更新?
它所连接的计算机或任何设备是否包含关键任务数据?
用户是否使用具有管理员特权的帐户登录?
用户是否使用强密码或口令?
该系统以前是否遭到过恶意软件攻击?
 
最后一个问题很重要,这是因为先前的攻击通常会产生漏洞,无论这些漏洞是否已被修复,都可能导致随后的攻击。如果对该问题回答"",则考虑提出以下附加问题:
上一次攻击发生的时间?
谁处理的该攻击,以及攻击编号是多少(如果可能)?
能否提供有关当时所采取的措施的信息?
 
评估该数据
收集对这些问题的回答后,技术支持人员应对照以下问题组评估收集的数据,以帮助确定恶意软件攻击是否可能是报告的原因:
报告是否可能是系统的合法新特征或更新特征的结果?
它能否由授权用户(而非黑客/入侵者)的活动得到解释?
它能否由已知的系统活动得到解释?
它能否由对程序或系统的授权更改得到解释?
 
最后,应检查外部防病毒源(在本指南第 3 "深层病毒防护""主动的内部通信"部分中标识),以确定该报告是否符合某些现有病毒或蠕虫警报。
收集详细信息
此时,可以确定新恶意软件攻击是否是问题的可能原因。如果不是,则可能需要更高级别的技术信息,且技术支持人员可能需要以物理方式访问(如果可能,远程控制)可疑系统。可以使用以下示例技术问题收集更详细的信息,并明确地确定系统是否已受到黑客或恶意代码的攻击:
设备本身或在其前面是否启用了防火墙?如果启用,哪些端口已向 Internet 开放?
如果应用程序出现故障,则立即联系应用程序供应商以确定根本原因(例如,当前的 Microsoft 应用程序提供可用于发送故障报告的错误报告工具)。
该系统是否存在已经发布,但尚未安装的安全更新?
系统拥有哪种类型的密码策略?最小密码长度是多少?密码复杂性的要求是什么?
是否存在下列新的或可疑的情况:
本地计算机上是否存在任何新的或可疑的帐户?
      管理员组中是否存在新的或可疑的帐户?
      服务管理控制台中是否列出了新的或可疑的服务?
事件日志中是否存在新的或可疑的事件?
 
异常活动响应
收集最初信息并将其用于确定警报的本质后,支持人员应可以确定所发生的是假警报、恶作剧还是真正的恶意软件攻击。
创建假恶意软件报告要比开发病毒或蠕虫容易得多,它可以确保创建许多假恶意软件警报。这些恶作剧以及它们所生成的调用和警告将浪费大量时间和金钱。恶作剧还会给用户带来麻烦,并通常使他们对报告可能攻击的作用产生质疑。应注意以下事项以确保正确地处理警报。
假警报。如果报告是假警报,则应记录呼叫信息。定期检查该信息可能有助于确定是否需要额外的用户培训。
恶作剧。跟踪和记录假恶意软件警报以及真正的恶意软件活动很重要,因为它们仍是攻击实例只是它们并不使用恶意代码。将有关假恶意软件警报以及真正恶意软件威胁的信息报告给用户应为组织的常规防病毒通信的一部分。该信息将帮助用户事先识别恶作剧,从而减少工作效率的降低程度。
已知的感染。如果系统受到感染,支持人员应采取措施,以确定感染是否是可以使用现有的防病毒应用程序处理的已知攻击。应检查系统的防病毒应用程序,以确保它是否正常运行并保持最新状态。然后,应进行完整的系统扫描以尝试清理系统。如果此扫描成功标识并清理了感染,则应记录调用并将警告发送给所有用户,以确保他们的防病毒系统正常运行并已被更新。如果扫描无法标识特定形式的恶意软件,则应将其视为新感染,并遵循"事件响应过程"部分中的指南。
新感染。如果系统受到新恶意软件攻击的感染,则应执行一些初始操作,以确保正确地交流问题。这些初始操作旨在帮助 IT 支持人员始终遵循一个用于确保遵循正确操作流程的过程。对前面列出的初始问题的回答将帮助确定在此阶段应考虑以下哪个初始操作:
      使用警报详细信息联系紧急响应小组的指定成员。
      如果可疑计算机是服务器,则联系它的管理员以商议能否从网络中移除该计算机。
      如果可疑计算机是工作站,则联系它的用户以商议能否从网络中移除该计算机。
      考虑向 IT 系统用户触发高级警报或警告以针对检测到的攻击发出警告。
 
此时,支持人员的角色已经完成。有关突发的责任将转移到事件响应过程,并需要通知计算机安全事件响应小组 (CSIRT) 的成员。
 
步骤 2:事件响应
正如本指南第 3 "深层病毒防护"所述,CSIRT 将需要尽快召集紧急会议,以帮助安排组织的下一阶段的事件响应过程。有关如何创建事件响应小组以及通常的安全和灾难恢复过程的详细信息,请参见本指南中的同一章。
出于本指南的目的,假设 CSIRT 已经创建。此时,该小组的第一个目标应是确定即时突发控制机制。以下部分提供了将帮助确定该机制及其组成部分的选项的信息。
紧急突发控制
确认恶意软件攻击后,控制突发的第一步是确保将感染的计算机与其他设备隔离。确保隔离受感染的计算机很重要,因为这样将使这些计算机无法传播恶意代码。有一些不同的机制用于实现此隔离,这些机制将对组织的正常操作产生影响。
要点:如果相信组织将提请刑事或民事诉讼,则 Microsoft 建议您在采取进一步的措施前咨询组织的法律代表。
如果在防病毒社区中检测到突发,则使用防病毒供应商提供的指南来帮助您确定突发的严重性。
如果突发当前在更广泛的防病毒社区中是未知的,则应尽快将事件报告给防病毒供应商。他们可能请求您将恶意软件示例放在压缩和带密码保护的文件中并发送给他们,以便他们对其进行分析。查找这些示例的过程并非始终简单直接,因此在理想情况下应事先做好准备。参阅本章的"步骤 3:恶意软件分析"部分,以了解准备恶意软件示例的指南。
下一个应执行的操作流程是控制即时攻击的传播。应考虑三个基本选项:
将已遭破坏的系统与本地网络断开连接。
如果可能,隔离包含受感染主机的网络。
如果整个网络已遭到破坏或有可能遭到破坏,则将整个网络与所有外部网络断开连接。
 
可以采取许多更详细的技术步骤,如监视要尝试的网络以及标识攻击涉及的网络端口和 IP 地址。然而,如果尚未完成对恶意软件的详细分析,则很有可能遗漏可导致更广泛感染的攻击方法。组织可用于确定该风险是否可以接受的唯一机制是完善的安全风险评估报告。该报告使您能够确定未阻止攻击以及可能感染或意外用于对客户或合作伙伴组织发起攻击所涉及的风险。如果在攻击发生前未完成此风险分析,则建议组织务必小心从事,并通过选择最高级别的隔离措施来将传播攻击的可能性降至最低。
此处列出的选项只作为指南。特定的操作流程可能取决于业务需要、区域设置、影响、严重度等因素,以及其他可能只适用于组织和突发环境的因素。
准备恢复
激活突发控制机制后,应启动活动恢复过程。恢复过程的主要目标是确保实现以下目标:
将对组织业务的破坏性降至最低程度。
从攻击恢复的时间尽可能快。
捕获用于支持可能的起诉的信息。
捕获用于开发其他安全措施的信息(如果需要)。
针对已恢复的系统,阻止该类型的进一步攻击。
 
遗憾的是,前两个目标需要"快速修复"方法,而其余三个方法需要花时间收集有关攻击的信息以便完全了解它。要同时满足这两个条件(即快速解决该问题,并仍捕获所需的所有相关数据),请考虑使用下图中显示的过程。该过程旨在确保尽快发布要恢复的受感染系统,同时确保不丢失所需的讨论数据。该数据很重要,因为您的组织将使用它确定恢复的系统是否会免受未来的攻击,同时它还将用作证据(如果以后采取法律活动)。
系统恢复和病毒分析过程应作为并行活动运行,以确保最快的可能恢复时间。
4.2 分析前的恢复步骤
使所有系统得以恢复的最快方法是确定某个受感染系统能否用于分析。如果能够用于分析,则应隔离和分析该系统。(本章的以下"步骤 3:恶意软件分析"部分提供了有关该分析过程的指南。)如果无法进行隔离和分析,则下一个最佳选项是使用某种类型的映像软件创建系统副本。如果该选项可用,则应拍摄系统图像,发布要恢复的原始计算机,然后创建克隆系统。
在将要收集证据或可以进行更详细的分析的情况下,尽快拍摄受感染计算机的图像(在修补活动开始之前)非常重要,这样可通过最理想和最合适的方法标识、优先治疗和处理感染。
最后,如果无法拍摄图像,则在发布要恢复的系统前,应收集一组最少量的法庭数据。理想情况下,组织的安全小组应开发和维护某种类型的事件响应工具包。可以使用此工具包收集将用于提供系统法庭数据的不稳定和稳定系统数据。该工具包可以是更完整的恶意软件分析工具包(将在本章的下个部分中用于暴露和记录恶意软件的所有元素)的子集。然而,事件响应工具包的主要差别在于它应在最快的时间内捕获所需的最小级别的系统信息,以便系统能够尽快针对恢复进行发布。
 
步骤 3:恶意软件分析
控制恶意软件攻击的传播后,必须花些时间了解突发的本质并对恶意软件执行更详细的分析。不执行该步骤可以增加再次感染的可能性;不了解恶意软件的工作方式将无法确保系统已被清理并可以免遭未来的攻击。
理想情况下,安全小组的成员将使用专用的应用程序和实用程序集(可用于自动收集所需信息)执行对恶意软件的分析。以下步骤将帮助了解攻击的本质。
检查操作系统元素
尝试确定攻击引入或修改的操作系统。作为该分析的一部分,查找以下方面的更改:
活动的进程和服务。
本地注册表。
Microsoft? Windows? 系统文件夹中的文件。
新用户或组帐户,尤其是拥有管理员特权的新用户或组帐户。
共享文件夹(包括隐藏文件夹)。
具有正常的文件名但位于异常位置的新建文件。
打开的网络端口。
 
可用于检查这些操作系统元素的技术将在以下部分中介绍。
检查活动进程和服务
受感染的系统可能在其内存中引入了新进程。
建议使用专用的进程列表工具(如 PsTools Process Explorer 免费软件程序)提供更为用户友好的界面。这些工具可以从 Sysinternals Web 站点 http://www.sysinternals.com(英文)获得,通过它们不仅可以查看图像文件的路径,而且还能看见过程树。
要帮助最小化进程列表中的条目数并因此帮助标识任何恶意进程,应关闭所有有效应用程序以及任何有效的后台应用程序,如 Instant Messenger、电子邮件监视器或驻留在内存中的第三方实用程序。
如果专用工具不可用,则可以使用所有 Microsoft Windows 系统中的 Windows"任务管理器"工具来快速检查在系统中运行的活动进程。然而,由于"任务管理器"不显示启动进程的图像的路径,因此无法确定作为"svrhost"启动的恶意软件攻击是否是合法进程。
完成以下步骤以使用"任务管理器"分析活动进程:
要分析运行 Windows 的计算机上的活动进程,请执行下列操作:
1.   同时按下 Ctrl+Alt+Del 弹出"Windows 安全"窗口并选择"任务管理器"
注意:在 Windows 9x 计算机中,您将看到一个运行程序列表,而非"任务管理器"应用程序。
2.     单击"进程"选项卡。
3.     调整 Windows"任务管理器"窗口以便在屏幕上显示尽可能多的活动进程。
4.     从菜单条中选择"视图"选项并单击"选择列..."
5.     选择一下列的复选框:
PID(进程标识符)
CPU 使用情况
CPU 时间
内存使用情况
内存使用峰值
I/O 读取
I/O 写入
6.     单击"确定"并调整该窗口的大小,以显示尽可能多的这些列。
 
可以通过单击任何列标题对列进行排序。对列出的每个列使用该排序方法并确定哪些进程使用哪些资源。
注意:要获取该列表的打印输出以便以后参考,激活 Process Explorer Windows"任务管理器"窗口并按键盘上的 Alt+Print Screen。将在计算机的剪贴板上创建列表的屏幕快照,可以将该快照粘贴到 Windows Paint 应用程序或 Microsoft Word 中并进行打印。
下图将 Blaster 蠕虫的进程详细信息显示为 Microsoft Windows 2000? Server"任务管理器"中的活动进程。
4.3 显示活动 Blaster 蠕虫进程的 Windows 2000 任务管理器
注意:某些恶意软件可能尝试阻止"任务管理器"作为某种形式的防御启动。这种情况下,可以在 Microsoft Windows? XP Windows Server? 2003 计算机上使用 Tasklist 命令行实用程序(或在 Windows 2000 计算机上使用 TList 命令行实用程序)生成可复制到可移动媒体的简单文本文件列表,以便进一步分析。使用以下命令行语法生成包含所有活动进程列表的文本文件:
tasklist /v >TaskList.txt
该命令行将在当前工作目录中创建一个名为 TaskList.txt 的文件。
使用以下提示检查被怀疑正在运行某种形式的恶意软件的计算机上的进程:
检查正在运行的 Telnet 或文件传输协议 (FTP) 服务的实例。
如果对进程不确定,则使用 Internet 搜索引擎(如 Google)尝试查找有关它的某些信息。
检查可以识别其图像名称的进程的图像文件的路径。
查找正在运行和已经停止的服务。
 
除上图中显示的 msblast.exe 进程以外,其他可能的可疑进程包括:
ServuFTP
Ocxdll.exe
Kill.exe
Mdm.exe
Mdm.scr
Mt.exe
Ncp.exe
Psexec.exe
Win32load.exe
 
检查启动文件夹
恶意软件可以尝试通过修改系统的启动文件夹来自行启动。
注意:根据所分析的操作系统的不同,这些文件夹的准确路径将发生更改。以下信息适用于运行 Windows XPWindows Server 2003 Windows 2000 的操作系统。
应检查启动文件的两个区域。第一个是"所有用户"文件夹,该文件夹可以在以下默认位置找到:
C:/Documents and Settings/All Users/Start Menu
第二个区域是当前登录的帐户的用户配置文件路径,检查系统上创建的所有配置文件而不仅仅是当前登录的帐户是很重要的。您将在 C:/Documents and Settings/<UserName>/Start Menu 中找到该信息,其中 <UserName> 是检查的系统上定义的用户的登录 ID
注意:在 Microsoft Windows? 95 Windows? 98 系统上,恶意软件可以对启动文件夹进行重命名。有关该主题的详细信息,请参见 Microsoft.com 上的 Microsoft 知识库文章"141900:Folder Other Than StartUp Launches Programs",网址是:http://support.microsoft.com/?kbid=141900
检查每个启动文件夹中的条目,以确保在系统启动过程中没有恶意软件尝试启动。
检查计划的应用程序
恶意软件还可能(但很少见)尝试使用 Windows 计划程序服务启动未授权的应用程序。要确认不存在该情况,应通过完成以下步骤对计划程序队列执行简单检查:
要检查计划程序队列,请执行下列步骤:
1.     单击"开始""运行",键入 at,然后按 Enter
2.     检查该列表。如果它显示任何未授权或可疑应用程序,则使用下列命令创建一个报告,以便进一步分析:
单击"开始""运行",键入 at >C:/AT_Queue_Report.txt,然后按 Enter 键。
 
执行该命令将在 C: 驱动器的根目录中创建一个文本文件,该文件应移动到可移动磁盘中以便进一步分析。检查该文本文件,以确定在队列中是否计划了任何未授权的应用程序。
一旦完成对活动进程和计划进程的完整分析后,可以标识攻击引入的一个或多个进程。一旦记录这些进程,应重新启动系统,然后重复分析,以确定在启动时是否启动旨在破坏系统其他区域和允许的恶意进程的攻击。如果启动,则将完成对系统启动文件和注册表的分析,以找到用于维护一个或多个恶意进程的机制。
分析本地注册表
由于完成的系统注册表是大型的复杂数据存储,因此在完成攻击恢复进程后创建整个系统注册表的副本以进行详细分析将很有好处。
所有 Windows 版本包含的备份实用程序可用于备份和恢复整个注册表。如果已经使用备份定期备份硬盘,则可以轻松地在这些备份中包含注册表。要使用备份应用程序备份注册表,请在选择要包含在备份集中的驱动器、文件和文件夹时选择"系统状态"
由于"系统状态"包含其他系统特定信息和注册表,因此这些备份文件的大小可能为数百 MB。另一个选项是使用所有 Windows 版本附带的注册表编辑器实用程序。这些实用程序比较适合于生成注册表副本。Windows XP Windows Server 2003 有两个注册表编辑器工具,Regedit.exe和命令行工具 Reg.exe
注意Windows 2000 Windows NT? 操作系统使用 Regedt32.exe 并需要 RegBack.exe RegRest.exe 资源工具包工具以提供与 Regedit.exe Reg.exe 相同的功能。有关这些工具的更多详细信息,请参见
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/regentry/RegistryBackup.asp
(英文)网址中 Microsoft.com 上的 Windows 2000 Resource Kit "备份和存储 Windows 2000 注册表"页。
要使用 Regedit 生成注册表的副本,请执行下列操作:
1.     单击"开始""运行",键入 Regedit,然后按 Enter
2.     在左侧窗格中,选择"我的电脑",然后从"文件"菜单中,选择"导出"
3.     "文件名"框中,键入注册表文件副本的名称和位置。
4.     "导出范围"中,单击"全部",然后单击"保存"
有关如何使用 Regedit.exe Reg.exe 的详细信息可以在
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/RegistryBackup.asp
(英文)网站的《Windows Server 2003 部署指南》的"Registry Reference for Windows Server 2003"页中找到。
要点:由于该磁盘将暴露给恶意软件,因此必须多加留意以确保在建立有效的控制方法前,不会将该磁盘暴露给其他系统。
成功备份注册表后,在以下区域中检查任何异常的文件引用:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/SessionManager/KnownDLLs 
HKEY_LOCAL_MACHINE/System/ControlSet001/Control/Session Manager/KnownDLLs 
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run 
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/RunOnce 
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/RunOnceEx 
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices 
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows ("run=" line) 
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Run 
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/RunOnce 
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/RunOnceEx 
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices 
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows ("run=" value)
注册表的这些区域通常是恶意代码的攻击目标,因为它们允许恶意软件在系统启动时自行启动。例如,W32@.Mydoom.G@mm 蠕虫将以下值:
"(Default)" = "%System%/<random_filename>"
添加到以下注册表项:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run 
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
最近被作为攻击目标的另一个区域是以下项:
HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32
该项控制 Microsoft Internet Explorer (Explorer.exe) 加载的 .dll 文件。例如,Mydoom 蠕虫及其变体将在此处添加一个项目,以便加载一个将打开缺陷并允许后门攻击的 .dll 件。
W32.Netsky.D@mm 蠕虫将同时删除该项和以下项:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/PINF 
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/WksPatch
检查恶意软件和损坏的文件
大多数恶意软件将修改计算机硬盘上的一个或多个文件,而查找已受到影响的文件可能是一个很困难的过程。如果通过映像创建了系统,则您可以将受到感染的系统直接与通过该映像创建的全新系统进行比较。
如果该选项不可用,则另一个确定哪些文件已被更改的方法是对自从恶意软件首次引入系统时更改的所有文件进行系统范围的搜索。可以使用 Windows 搜索工具进行搜索;以下屏幕快照显示了如何使用"搜索结果"窗格的高级选项缩小受感染文件的搜索范围。
4.4"搜索结果"高级选项对话框

按照该图所示设置选项后,将列出在恶意软件引入主机的日期(例如,2004 4 27 日)创建的所有文件。
还可以创建一个包含当前目录及其子目录中的所有文件列表的文本文件,但应注意,该列表可能是长列表。
要在目录及其子目录中创建一个所有文件列表,请执行下列操作:
1.     单击"开始""运行",键入 cmd,然后按 Enter
2.     更改到要记录的目录。
3.     在命令提示符下,键入 dir /s /-c /o:-d /t:c /q > FileList.txt,然后按 Enter
 
执行该命令将在当前目录中创建一个名为 FileList.txt 的文本文件,应将该文件复制到可移动媒体以便进一步分析。
注意:有许多其他方法可以通过使用其他工具和脚本创建类似列表。然而,本部分旨在帮助使用计算机上可用的工具快速收集信息。如果有时间准备一个包含更高级脚本的紧急响应工具包,则使用它代替此处显示的过程。
完成该搜索后,可以按类型对搜索结果进行排序,以便帮助标识可执行文件(它们通常是恶意软件的攻击目标)。下表提供了可能包含可执行代码的某些更常见文件类型的示例:
*.exe        *.html        *.cmd        *.htm
*.bat        *.cpl        *.pif        *.pot
*.vbs        *.vbe         *.js        *.jse
*.scr        *.jpg         *.doc        *.xls
*.mdb        *.com        *.ocx
注意:索列表可能包含大量条目,且您在该过程的此阶段可能没有时间查看所有修改。然而,当您有足够的时间查看可能的目标文件时,必须保存或打印该列表的副本。
以下文件可能指示系统上存在恶意软件:
DLL16.ini
DLL32.hlp
DLL32NT.hlp
Gates.txt
Gg.bat
Httpsearch.ini
Seced.bat
Xvpll.hlp
Psexec.bat
Lcp_netbios.dll
 
这些文件曾被恶意软件攻击所使用,此处提供它们是为了演示曾用于尝试隐藏恶意软件文件的命名技术。如果您不清楚特殊文件名,则 Internet 搜索有时可以指示文件本质以及它是否链接到恶意软件。然而,由于恶意软件攻击可以修改 Internet 浏览行为,因此必须在未受感染的系统上执行此搜索。
还必须注意,某些恶意软件攻击已经使用了有效的系统文件名,但将该文件置于其他文件夹中,以免被 Windows 文件保护服务检测到。例如,恶意软件曾使用一个名为 Svchost.exe 的文件,该文件通常安装在 %WINDIR%/System32 文件夹中并在该文件夹中受到保护。然而,直接在 %WINDIR% 文件夹中创建同名文件的恶意软件示例已被看到。必须检查完整路径和文件名。
恶意软件攻击用于放置和修改文件的某些常见目标区域包括:
%Windir%。这是一个分配给 Windows 操作系统默认安装文件夹的变量。该文件夹包含一些重要的可执行文件和配置文件。默认情况下,该变量将指向以下文件夹路径:
      C:/Windows(对于 Windows 95/98/ME/XP Windows Server 2003 系统)。
C:/Winnt/(对于 Windows NT/2000 系统)。
%System%.这是分配给 Windows 操作系统默认安装文件夹下的系统文件夹的变量。该文件夹包含主机操作系统的系统文件。默认情况下,该变量将指向以下文件夹路径:
      C:/Windows/System(对于 Windows 95/98/ME 系统)。
      • C:/Winnt/System32(对于 Windows NT/2000 系统)。
      • C:/Windows/System32(对于 Windows XP Windows Server 2003 系统)。
%Temp%.这是分配给应用程序用于写入临时文件的路径的变量。默认情况下,该变量分配给以下路径:
C:/Windows/TEMP(对于 Windows 95/98/ME 系统)。
C:/WINNT/Temp(对于 Windows NT/2000 系统)。
C:/Document and Settings/<UserName>/Local Settings/Temp(对于 Windows XP Windows Server 2003)。
%Temporary Internet Files%.这是 Internet 浏览器应用程序用于在 Web 浏览过程中存储临时文件的变量。默认情况下,该变量将指向以下路径:
C:/Windows/Temporary Internet Files(对于 Windows 95/98/ME 系统)。
C:/Document and Settings/<UserName>/Local Settings/Temporary Internet Files(对于 Windows NT/2000/XP Windows Server 2003 系统)。
 
如果系统文件分析不包含任何受感染文件,则应将文件复制到可移动媒体,以便进一步分析。显而易见,由于这些文件已受感染,因此应采取措施以确保它们无法用于预期进程以外的任何进程。您可能考虑帮助保护这些副本的一些步骤包括:
更改文件扩展名。通过将文件扩展名更改为操作系统未知的名称,意外单击将无法执行该文件。例如,考虑用下划线替换文件 Avirus.exe 的最后一个字母,即 Avirus.ex_
将受感染文件存储在受保护的存档。考虑将受感染的文件压缩,并使用密码保护已压缩的文件。
专用媒体。使用带颜色的磁盘或非标准标签确保能够在物理上标识可移动媒体和标准媒体。
将文件锁定在安全的位置。从物理上确保所有恶意软件示例媒体或某种其他安全存储设备的安全。
只有电子邮件保护的存档。如果需要通过电子邮件发送可疑恶意软件(例如,发送给防病毒供应商),则始终发送恶意软件的密码保护的存档文件。如果恶意软件作为典型的不受保护附件发送,电子邮件网关将能够扫描和检测恶意软件。
注意:一些恶意软件攻击已使用受保护存档避开防病毒扫描技术。结果,一些组织阻止或隔离了所有入站存档文件。发送文件前,检查该机制对预期收件人能否正常工作。
检查用户和组
某些恶意软件攻击将尝试评估系统上现有用户的特权,或在拥有管理员特权的组中添加新新帐户。检查以下异常设置:
旧用户帐户和组。
不适合的用户名。
包含无效用户成员身份的组。
无效的用户权限。
最近提升的任何用户或组帐户的特权。
 
使用本地用户和组 Microsoft 管理控制台 (MMC) 管理单元检查添加到本地管理员组的任何异常设置。还应检查本地计算机的安全日志中是否存在任何异常条目。例如,"帐户管理"类别条目(如事件 636)指示已将新成员添加到本地组。这些日志还将为您提供更改发生的日期和时间。
如果检查的系统是 Windows 服务器,则还应使用 Active Directory 用户和组 MMC 管理单元检查域组成员关系。有关 Windows 2000 默认用户和组的详细信息,请参见
www.microsoft.com/technet/prodtechnol/ windows2000serv/evaluate/featfunc/07w2kadb.mspx
(英文)网站中的 Microsoft TechNet 上的"默认用户账户和组"页。和 Microsoft.com 的知识库文章"243330:Windows Server 操作系统中的常用安全标识符"位于网站:
http://support.microsoft.com/?kbid=243330
注意:尽管这些文章介绍了 Windows 2000,但它也与 Windows 2003 相关,因为相同的基本默认组未更改。但 Windows Server 2003 引入了附加的默认组,如网络服务和本地服务特殊组。检查默认的系统配置,以获取详细信息。
检查共享文件夹
恶意软件的另一个常见症状是使用共享文件夹传播感染。使用计算机管理 MMC 管理单元,或通过命令行使用 NetShare 命令检查受感染系统上的共享文件夹的状态。下表演示了 Windows 客户端和服务器上的默认共享文件夹。
注意:默认情况下,Windows 9x 计算机不共享文件或文件夹,除非文件共享已启用。此外,Windows 9x 客户端没有"admin$"或等效的隐藏共享;只有那些特别共享的文件夹或卷可通过网络使用(阻挡通过某种方式破坏的系统或其中安装的某些远程控制软件)。
 
4.1Windows XP 默认文件夹共享
共享文件夹
共享路径
备注
ADMIN$
C:/Windows
Remote Admin
C$
C:/
默认共享
<n>$
<n:>/
表示系统上每个固定驱动器的根目录的共享。
SharedDocs
C:/Documents and Settings/All Users/Documents
将添加,如果启用了本地文件共享。
4.2Windows Server 2003 Windows 2000 Server 默认文件夹共享
共享文件夹
共享路径
备注
ADMIN$
C:/Windows
Remote Admin
C$
C:/
默认共享
<n>$
<n:>/
表示系统上每个固定驱动器的根目录的共享。
SharedDocs
C:/Documents and Settings/All Users/Documents
将添加,如果启用了本地文件共享。
Wwwroot$
C:/inetpub/wwwroot
将设置,如果将 Internet 信息服务 (IIS) 安装为 Web 服务器。
 
还可以使用 Microsoft.com "Microsoft Windows Server 2003 Resource Kit Tools"联机页(网址是 http://go.microsoft.com/fwlink/?LinkId=4544(英文))中的 SrvCheck 命令行工具检查这些共享的权限。
其他第三方实用程序(如 Dumpsec,可以从 SystemTools.com Web 站点获取该实用程序,网址是:http://www.somarsoft.com(英文))也可用于生成这些报告。
检查打开的网络端口
许多恶意软件攻击尝试削弱已遭破坏的系统,以便将来更容易进行攻击。一个通常使用的技术是打开主机上的网络端口,恶意软件攻击者随后将使用这些端口获取该主机的其他路由。
有一些工具可用于导出当前网络端口设置的列表,包括 Microsoft Windows Server 2003 支持工具中的 PortQRY。有关该工具的详细信息,请参见 Microsoft.com 上的知识库文章"832919:PortQry 2.0 版中的新增特性和功能",网址是:http://support.microsoft.com/?kbid=832919
另一个工具是 Foundstone FPort 命令行实用程序,网址是:http://www.foundstone.com
最后,可以使用 Windows 附带的 NetStat 命令行实用程序记录侦听的当前网络连接和网络端口的状态。该工具可用于获取网络连接和端口状态的完整打印输出。
要创建 Netstat 报告,请执行下列操作:
在受感染的主机上,单击"开始""运行",键入 Netstat -an >c:/netstat_report.txt,然后按 Enter 键。
注意:如果在 Windows XP 或更高版本上运行 Netstat,则可能希望使用以下命令,该命令将在报告中列出关联的进程标识符 (PID):
Netstat -ano >c:/netstat_report.txt
 
将在 C: 驱动器的根目录创建一个名为 netstat_report.txt(您可能还希望向该文件名中添加日期)的文本文件。该文件应保存到可移动媒体,以便进一步分析。
使用网络协议分析器
网络协议分析器工具可用于创建受感染主机传入和传出的数据的网络流量日志。网络跟踪文件应保存为信息文件集的一部分,以便进一步分析。
可用于创建这些网络跟踪文件的网络协议分析器示例包括 Microsoft Systems Management Server (SMS) 的网络监视器组件,或其他第三方工具,如 Ethereal 分析器(可以从 Ethereal Web 站点获得,网址是:http://www.ethereal.com/(英文))。
检查和导出系统事件日志
可以使用 Windows 系统事件日志识别各种异常行为(可用于标识恶意软件所做的更改以及更改的时间)。使用事件查看器管理控制台将每种类型的事件日志文件(应用程序、安全和系统)保存到可移动媒体,以便进一步分析。默认情况下,这些文件存储在 C:/Winnt/System32/Config/ 目录中,并分别称为 AppEvent.evtSecEvent.evt SysEvent.evt。然而,当系统处于活动状态时,这些文件将被锁定,因此应使用事件查看器管理工具导出。
以下提示提供了有关如何使用这些日志以帮助确定恶意软件攻击的影响的信息:
查找发生可疑攻击时的任何更改。
将事件日志时间与文件创建和修改时间进行比较。
查找可疑入侵时创建的帐户或更改的密码。
 
在恶意软件分析过程结束时,可以考虑根据恶意软件的本质重新连接孤立网络。例如,如果分析只通过特殊对等 (P2P) 应用程序确定恶意软件传播,则更改外围防火墙筛选器以阻止该应用程序使用的网络断口将还原网络和其他服务。该修补将使组织能够在进行系统恢复时返回到某个级别的正常通信。
 
步骤 4:系统恢复
收集有关攻击的所需信息并了解其完整本质后,可以开始从受感染的计算机删除恶意软件并恢复任何已损坏的数据。
要点:即使您安装了可以识别并从计算机中清理恶意软件攻击的防病毒软件,Microsoft 也建议投入一定的精力确定感染的日期和时间以及感染发生的方式。没有该信息将很难确定哪些系统、备份媒体或可移动媒体可能暴露给攻击。
如何完成该过程将在很大程度上取决于特殊恶意软件攻击的本质。然而,您可以使用以下高级过程确保完整的数据和计算机系统恢复:
1.     还原丢失或损坏的数据。
2.     删除或清理受感染的文件。
3.     确认计算机系统不存在恶意软件。
4.     将计算机系统重新连接到网络。
确认系统不存在恶意软件是不应忽视的关键步骤。许多恶意软件威胁旨在在较长的时间内不被检测到。此外,备份映像或系统还原点可能包含受感染的系统文件,这将导致引起其他感染(如果受感染备份映像为恢复源)。出于这些原因,必须尽量确定恶意软件攻击的第一个实例的日期和时间。在将时间戳设置为基准后,可以确定备份映像的日期以便确定其中的任何映像是否包含相同的恶意软件损坏。
清理还是重建?
考虑如何恢复系统时,可进行两种选择。第一个选项是清理系统,它依靠攻击的已知特征按顺序撤消每个系统遭受的破坏。第二个选项通常称作重建或重修系统。然而,决定使用哪个选项并不是简单的选择。
仅当您非常肯定已经将攻击的所有元素进行了可靠地记录,且清理过程将成功修复攻击的每个元素时,才应选择清理系统。防病毒供应商通常将提供所需的文档,但供应商可能需要几天的时间才能完全了解攻击的本质。清理系统通常是首选操作,因为它可以在保持应用程序和数据不变的情况下将系统恢复到干净状态。与重建系统相比,通过该方法通常可以更快速地恢复正常操作。然而,如果不对恶意代码进行详细分析,则清理系统可能不会完全删除恶意软件。
清理系统的主要风险是可能不会发现或记录初始感染的未记录元素或可能的次级感染或攻击,从而使您的系统仍受到感染或容易受到某种恶意软件机制的攻击。由于存在该风险,因此许多组织选择只重建他们受感染的系统,以绝对确保他们没有恶意软件。
通常情况下,每当系统在安装了后门或 Rootkit 的地方遭到攻击时,Microsoft 建议您重建该系统。有关这些种类的攻击的详细信息,请参阅本指南的第 2 "恶意软件威胁"。这些类型的攻击的各种组件很难可靠地检测,因此在尝试消除它们后这些攻击通常会再次出现。这些攻击通常用于打开对已破坏系统的未经授权访问,从而使它们能够在系统上启动其他攻击以升级它们的特权或安装它们自己的软件。出于这些原因,可以绝对确保计算机系统不存在这些恶意软件攻击的唯一方式是通过受信任媒体重建它们,并配置它们以修复容易受到攻击的弱点,如缺少的安全更新或弱用户密码。
该过程还需要从受感染的系统仔细捕获和测量所有必要的用户数据,修改任何损坏的数据,扫描它以确保数据不包含任何恶意软件,并最终将干净数据恢复到新重建的系统。
重建系统还需要重新安装系统上先前可用的所有应用程序,然后正确配置每个应用程序。因此,重建可以最大限度地确保消除感染或攻击,但它通常是一个比清理大很多的任务。
选择要在系统上使用哪个选项时的主要考虑取决于您对选择完全消除并解决感染或攻击的选项的信心程度。与确保系统的完整性和稳定性相比较,修复时所需的关机时间属于次级考虑。
 
4.3:系统清理和重建的优点和缺点
清理
重建
简单过程(如果清理工具可用)。
更复杂的过程,尤其是在感染前如果未安装备份和恢复解决方案。
只需较少的步骤便可以确保数据干净。
捕获、备份、清理、扫描和还原数据所需的步骤较多。
与重建整个系统相比,使用删除工具所需的资源较少。
重建过程可能需要大量的时间和资源才能完成。
系统仍存在被感染的风险。
如果从干净媒体和管理充分的数据还原,则系统仍被感染的风险很小。
注意:如果选择清理受感染的系统,则组织的管理和法律小组应执行风险分析,以确定他们是否愿意在清理过程丢失部分恶意代码时承担未来更大的攻击风险。
系统清理
如果对恶意软件的攻击和行为进行了完善的记录,并对清理过程进行了测试和证明,则还应考虑将系统清理作为可行的选项。可以从 Microsoft 或防病毒供应商那里获取全面记录的步骤(管理员可以遵循这些步骤)或用于清理系统中的感染的自动工具。这两个选项都可以仔细撤消在感染过程中执行的每个操作,并使系统恢复原始的运行状态。这些过程通常只可用于清理主要的病毒或蠕虫,并通常只在最初的恶意软件感染后的数天内有效。
注意:由于许多恶意软件攻击成批发布(例如, MyDoom@AMyDoom@B 等),因此必须只使用清理过程或工具清理系统中的特定版本的恶意软件。
如果自动工具无法清理要处理的恶意软件,则可从系统中手动清理它时的基本步骤包括:
1.     终止恶意软件执行过程。必须终止任何正在运行的恶意软件相关的过程以及与删除的恶意软件关联的任何自动运行条目或计划任务。
2.     删除引入的恶意软件文件。该步骤将需要对主机硬盘驱动器上的文件进行详细分析,以确定哪些文件受到恶意软件的影响。
3.     应用最新的安全更新或修补程序可以减轻最初攻击利用的漏洞的危害。该步骤可能需要一些重新启动和访问 Windows 更新 Web 站点以便确保应用所有安全更新。
4.     更改可能已被破坏的任何密码(域密码或本地密码),或比较薄弱并易被猜到的密码。有关如何设置强密码的指南,请参见 Microsoft.com 上的"Strong Passwords"页,网址是:
www.microsoft.com/resources/documentation/ WindowsServ/2003/enterprise/proddocs/en-us/windows_password_tips.asp
(英文)。
5.     撤消恶意软件引入的任何系统更改。该步骤可能涉及还原计算机上的本地主机文件和防火墙配置。
6.     还原恶意软件修改或删除的用户文件。
如果决定手动执行这些步骤,则只应依靠它们作为感染修补措施(如果稍后将其与发布的清理过程进行比较),以确保您执行了所有必要的步骤。或者,如果组织拥有一个防病毒支持小组,则它还将需要确保它用于标识和减轻所有可能的攻击方法的破坏性的检查和修补过程能够满足需要。否则,可能会导致很快遭到再次感染。
还原还是重新安装?
如果确定最佳方法是重建系统,则可以使用确定其干净的上一个映像或系统备份还原系统,或通过最初的媒体重新安装系统。
如果选择从上一个映像还原系统,考虑尝试保护受感染系统上的最新用户数据,以避免在备份和当前之间的时间之间创建或更新的更改。如果从最初的媒体而非备份重建系统,则防止数据丢失的唯一选项是在备份数据前保留受感染系统中的数据。
从受感染的系统恢复数据
系统最重要的资产通常是其中驻留的数据。为此,必须仔细考虑如何保存、恢复或修复数据、备份该数据,然后在重建数据后在系统上还原该数据。
确保正确地捕获所有以下类型的数据以便彻底还原系统:
操作系统配置数据.该数据包含还原主机操作系统的最初状态以便该主机的所有服务正常工作所需的所有配置设置。
应用程序数据.该数据包含主机设备上安装的应用程序使用和存储的所有数据。
用户数据。该数据包含所有配置数据,如用户配置文件和用户生成的文件。
注意:该保留数据明显存在自行感染的严重风险。在标识检查恶意软件数据的可靠方法前,使用该数据时必须多加小心。
 
将所有数据备份到未授权用户或系统无法执行或访问的安全媒体或位置。如有必要,使用可用于还原数据的工具或其他方法,然后安全地存储它,直到在重建该数据后能够在系统上还原它。
从映像或备份还原
要从映像或备份恢复数据,必须在感染破坏系统前使用恢复数据捕获它。有各种可用的数据可以动态简化备份数据并从系统恢复数据。这些工具不仅可以最大限度的保护系统免遭恶意软件感染,还可以防止硬件出现故障以及其他对系统的潜在威胁。配置完整的灾难恢复基础结构不在本指南的范畴之内。然而,以下部分将对该方面中几个可用于解决防病毒相关问题的关键技术。
Windows 系统还原
Windows 系统还原 (WSR) 通过在文件被修改前监视、记录以及在某些情况下备份这些文件来保护重要的系统和应用程序文件。必须了解您的防病毒应用程序是否支持 WSR,这是因为 WSR 可以创建还原点,如果使用它在最初的恶意软件攻击后的任意时间清理系统,则该还原点可能受到恶意软件的感染。这种情况下,恶意软件可能从受感染的还原点重新引入到系统。幸运地是,可以识别的 WSR 防病毒应用程序将在还原过程中检测恶意软件。如果检测到受感染的文件,则防病毒解决方案将尝试修改、移动或删除它们。如果成功清理了文件,WSR 将还原特定文件。然而,如果文件无法清理并被删除或隔离,则还原过程将失败,这是因为隔离文件将导致不一致的还原状态。这种情况下,WSR 将在还原操作开始前恢复系统的上一个状态。
有关防病毒应用程序如何使用该服务的详细信息,请参见 Microsoft.com 上的知识库文章"831829:How antivirus software and System Restore work together",网址是:http://support.microsoft.com/?kbid=831829(英文)。
注意:更新病毒签名文件以防止恶意软件攻击前,几天前失败的还原现在将成功(在更新防病毒应用程序后)。相反,如果还原到以前成功的某个点,但新签名文件使得能够检测备份文件(该文件无法被清除)上的攻击,则还原过程可能失败。
有关 Windows 系统还原的详细信息,请参见 Microsoft.com 上的"How to Restore Windows XP to a Previous State"页,网址是:
http://www.microsoft.com/windowsxp/pro/using/itpro/managing/restore.asp
(英文)。
自动系统恢复
通过自动系统恢复 (ASR),可以轻松地快速备份计算机上的启动卷和系统卷,从而使您在系统受到感染或出现故障时能够快速地还原系统。然而,正如其他备份媒体一样,ASR 备份文件可能受到恶意软件的感染。有关 ASR 以及如何在组织中使用它的详细信息,请参见 Microsoft.com 上的"How ASR Works"白皮书,网址是:http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/sdcbc_sto_axho.asp(英文)。
Windows 备份解决方案
作为 Windows 系列操作系统的一部分提供的解决方案为部门或中小型企业环境提供了简单的备份解决方案。然而,正如 WSR ASR 一样,备份文件本身可能包含受感染恶意软件。为此,当使用该解决方案时,确保不要将恶意软件还原到系统并重新启动恶意软件攻击。在使用备份映像还原系统前,应使用能够检测和删除恶意软件的已更新防病毒应用程序检查和扫描所有备份文件。在 Microsoft.com 上的"Windows Server 2003 Deployment Kit""Planning for Disaster Recovery"部分中,您将找到详细的有关灾难恢复的文档(包括备份和还原操作),网址是:http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/sdcbc_sto_gqda.asp(英文)。
重新安装系统
知道系统的备份数据有用后,可以开始重建系统的过程。该过程中的此时刻是重新格式化驱动器、更改分区大小以及执行其他在系统还原后确保系统优化性能的最佳时间。如果可能,使用完全更新的简化共享重建服务器。有关创建 Windows 的简化安装的详细信息可以在以下位置找到:
Microsoft.com 上的"Microsoft Windows XP Hotfix Installation and Deployment Guide"上的"Combination Installation"部分,网址是:
Microsoft.com 上的"Windows 2000 Hotifx Installation and Deployment Guide""Installing Windows 2000 with the Service Pack and Hotfixes"部分,网址是:
 
如果无法从slipstreamed源重建,则在将系统连接到 Windows 更新 Web 站点以下载关键的 Service Pack 和安全更系前,系统将受到基于网络的恶意软件的影响。这种情况下,请执行以下步骤重新安装:
1.     断开网络连接。在物理上从网络卸下计算机是最安全的方法。
2.     从原始的系统安装媒体中安装操作系统。在该过程中,必须为每台计算机创建强本地管理员密码。这些密码对每台计算机应是唯一的。
3.     启动系统并使用本地管理员帐户登录。
4.     在系统上激活一个基于主机的防火墙,如 Windows XP Internet 连接防火墙。
注意:在 Windows XP Service Pack 2 中,ICF 已被重命名为"Windows 防火墙",且在默认情况下在所有网络连接上启用。如果系统基于 Windows 2000 或更早版本,则建议您安装第三方基于主机的防火墙。
5.     将系统重新连接到网络。此时,必须尽快执行以下步骤以便将重建的系统的风险降至最低。
6.     使用最新的软件更新更新最新安装的系统。必须注意,并非所有安全更新都由 Windows Update Web 站点提供。只有核心操作系统安全更新由 Windows Update 提供;Windows Update 将不提供对其他产品(如 SQL Server?Front PageCommerce Server 等)的更新。为此,应访问 Microsoft TechNet 上的 Microsoft Security Bulletin Search 站点(网址是:http://www.microsoft.com/technet/security/current.mspx(英文))以查找产品特定的更新。
7.     安装防病毒程序包,确保它正在使用最新版本的病毒签名文件,然后对系统执行完整的防病毒扫描。
8.     使用组织的最新强化指南强化系统配置。有关该过程的信息,请参阅本指南的第 3 "深层病毒防护"
9.     使用漏洞扫描程序(如 Microsoft 基准安全分析器 (MBSA))对系统进行任何剩余漏洞检查。该免费工具可以从 Microsoft.com 中下载,网址是:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
(英文)。
 
重建系统并扫描它以确认其中没有受感染的文件后,可以安全地还原用户数据。
 
步骤 5:后期恢复步骤
本部分提供了有关控制最初的恶意软件攻击并从中恢复后应采取的特定步骤方面的指南。完成此阶段很重要,因为它可以增强组织对用户、过程和技术的总体策略。
攻击后的检查会议
该会议应该包含受影响的各方,并需要免费交换使各方受益的课程。尤其是,与会者应寻求:
与法律顾问合作,确定组织是否应针对攻击作恶者提请法律诉讼。
与法律顾问合作,确定组织在机密数据遭到破坏的情况下是否应将攻击报告给相关机构。例如,信用卡信息。
向攻击为内部报告带来的损失指定货币价值,其中包括:
      •恢复时间。
      •修复损坏设备的成本。
收入损失。
对客户和合作伙伴关系造成的损失。
受影响的工作人员丧失的工作效率量。
任何丢失的数据的价值。
尝试标识攻击曾用于利用系统的任何系统漏洞。
建议更改组织的深层防病毒策略。
建议更改组织的安全策略,包括:
      •改进的默认密码策略。
      •审核策略。
安全更新策略。
防火墙策略。
 
攻击后更新
检查和评估在会议中提出的任何建议,然后确保尽快在组织中实施它们。当特殊漏洞被暴露后,通常可同时使用多种方法减轻它所带来的风险。
必须注意,这些更改可能影响组织的用户、进程和技术。检查攻击对组织造成的预计损失应强调组织通过积极的防止攻击的再次发生而意识到的未来成本好处。
此时,如果组织尚未实施深层病毒防护方法,则请参阅本指南中的"深层病毒防护",以检查该方法的哪些元素对组织最为有利。
 
小结
本章提供了可用于通过慎重、一致的方式从恶意软件攻击恢复的指南和建议。必须严格遵循建议的步骤,否则可能会导致组织遭到恶意软件的进一步攻击,同时,组织还可能很困难或无法针对攻击的作恶者采取法律手段。
如果组织实施了深层病毒防护解决方案,则使用它减轻攻击的危害的次数将可能被降至最低。然而,如果事先未做好应对最恶劣情况的规划,则当攻击成功突破防病毒防御时,组织将面临严重威胁。
应对安全人员进行常见恶意软件技术(如本章介绍的技术)培训,以便事先对此做好准备。还应考虑创建一个包含本章介绍的某些工具的恶意软件分析工具包,以及可用于快速捕获和记录受感染系统的重要信息的任何脚本或其他实用程序。这将有助于当系统遭到恶意软件攻击时减少攻击对业务操作的影响。
每个新攻击可能会引入不同的方法来破坏系统。因此,Microsoft 强烈建议您密切注意 Microsoft 安全防病毒信息网站:http://www.microsoft.com/security/antivirus/(英文)。该站点将为您提供最新的防病毒信息以及有关如何应对最新恶意软件攻击的指南。使用本章中的资源将帮助您有效地控制恶意软件突发可能对您的组织产生的影响,并帮助您以高效、可靠的方式从恶意软件突发恢复。
 
 
 
阅读更多
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭