来自微软技术,文章格式变动
中型企业防病毒指南
简介
企业面临着来自病毒和恶意代码的不断升级的威胁。恶意代码是一种程序或一段代码,专门用来破坏系统,危害或泄露商业数据,干扰系统的正常运行,传播或执行其它未经授权的操作。防范这类未经授权的代码是组织的总体安全策略的重要组成部分。
防病毒软件在网络网关和防火墙、服务器以及客户端计算机上,扮演着重要的角色。防病毒软件在下列这几个领域里扮演着重要的角色:
• 网络网关和防火墙: 防病毒软件可防范来自 Internet 的病毒的扩散。具体包括:
• 全面扫描网络流量,并通过识别表示存在恶意代码的病毒模式,检测出恶意代码。
• 扫描具体的服务,比如:电子邮件(扫描传入的电子邮件,然后转发给内部 Exchange Server,再分发给客户端)。
• 服务器: 运行在服务器上的防病毒软件能够:
• 防止病毒扩散,或感染其它服务器间。
• 提供其它功能,包括文件共享和 Exchange 邮件存储扫描。
• 提供客户端管理功能。
• 客户端: 客户端计算机上的防病毒软件可确保该计算机不会扩散病毒或被病毒感染。
虽然防病毒解决方案本身可能无法构成企业防范恶意代码的完整的解决方案,但却是企业安全体系结构的重要组成部分。这个指南关注防病毒解决方案的方方面面。它提供了有关实施防病毒解决方案的信息和具体流程;虽然,并未针对特定的防病毒软件产品。企业应该结合可信赖的合作伙伴提供的防病毒解决方案,来使用本指南。
该指南提供了有关设计防病毒解决方案,来帮助中型企业防范病毒及其它恶意代码威胁的参考信息。有些防病毒软件还能防范间谍软件和广告软件。因此,本指南也介绍了防范间谍软件和广告软件的相关内容。
注意:将来某个时候,“Microsoft中小企业解决方案”计划可能会携手合作伙伴,共同为采用特定防病毒产品的防病毒解决方案,提供合作伙伴指南。
本页内容
内容范围
前提条件
内容范围
本指南重点介绍防病毒措施在安全体系结构中扮演的角色,但不涉及安全体系结构及策略等高级概念。
本指南提供的指导范围包括:
• 用于证明有必要购买防病毒解决方案的信息。
• 了解防病毒解决方案的问题和要求所需的信息。
• 防病毒解决方案的规划和运行流程。
• 防病毒解决方案的设计要求以及可选的主要设计方案。
• 防病毒解决方案的维护和运行流程以及推荐的步骤。
本指南不提供:
• 有关使用具体的防病毒解决方案的建议。
• 有关部署具体的防病毒解决方案的信息。
前提条件
将防火墙解决方案的组件作为某项具体服务(比如:防火墙或电子邮件网关)的一部分实施。但是,在大多数情况下,一般在安装完服务器和客户端操作系统后,再安装防病毒软件和相关组件。
在中型 IT 环境中,实施防病毒解决方案的前提条件如下:
• 正确设计的网络基础结构(如“中型企业核心基础结构解决方案”的第 2 章:“物理网络设计”所推荐的)。
• 可正常工作的安全 Internet 连接(如“中型企业核心基础结构解决方案”的第 4 章:“安全 Internet 连接服务”所推荐部署的)。
• 为企业注册适当的 Internet 接入服务及域名。
中型企业防病毒指南
构想
本部分介绍了在中型 IT 环境中,实施防病毒解决方案的使用环境和益处。同时,还提供了可实施本指南的初始状态环境和预期的最终状态环境。
本页内容
使用环境
初始状态环境
最终状态环境
益处
使用环境
本指南提供的指导信息可用于在没有防病毒解决方案,或现有的防病毒解决方案无法满足业务要求的中型 IT 环境中,实施防病毒解决方案。
本指南提供的指导信息可用于:
• 了解不同类型的防病毒解决方案。
• 选择满足组织特定要求的防病毒解决方案。
• 为在中型 IT 环境中构建和部署所选的防病毒解决方案制订规划。
• 安全地运行和管理防病毒解决方案。
初始状态环境
许多企业已经在他们的 IT 环境中,部署了某种类型的防病毒解决方案。请参考现有的防病毒解决方案可能存在的下列缺陷:
• 为企业防范恶意代码、间谍软件和广告软件的完整的策略可能尚未就位。
• 防病毒解决方案体系结构可能难以管理和更新。
• 辅助防病毒解决方案的其它安全服务可能尚未就位。
最终状态环境
在实施完本指南所述的防病毒解决方案体系结构之后,最终状态环境应能提供:
• 一种保护计算机和服务器的一致方法。
• 一种策略性的分层式防病毒解决方案体系结构。
益处
防病毒解决方案的益处与组织因病毒、恶意代码、广告软件和间谍软件***事件所带来的成本直接相关。缺乏适当的防病毒解决方案会给组织带来直接的财务成本,具体涉及系统和数据损坏、生产力散失、服务终止以及隐私泄露。综合的防病毒解决方案体系结构可提供下列益处:
• IT 团队的工作量减少: 由于减少了恶意代码、间谍软件和广告软件的威胁,IT 团队花在应对这类事件和排除故障方面的时间减少了。
• 成本降低:因为隔离并迅速遏制了病毒事件,所以减轻了对系统和数据造成的破坏。
• 生产力提高: 用户和 IT 团队用于排除故障、执行恢复和防范恶意代码的时间减少了。
• 服务可用性得到提升: 由于对恶意代码进行了隔离、删除或禁止运行,IT 服务得到了保护,避免使系统和数据受到破坏。
中型企业防病毒指南
规划
本部分提供了有关选择可满足组织需求的最佳防病毒解决方案、为中型 IT 环境设计防病毒解决方案,以及确定构建防病毒解决方案的前提条件的指导信息。
本页内容
防病毒解决方案的设计考虑事项
防病毒解决方案的设计
防病毒解决方案的配置
防病毒解决方案的设计考虑事项
防病毒解决方案规划指南提供了构建防病毒解决方案所需的信息。构建防病毒解决方案所需的信息包括了对下列问题的解答:
• 威胁: 恶意代码、间谍软件和广告软件会带来哪些威胁?
• 威胁的载体: 可利用哪些途径对目标发动***?
• 目标: 需要保护哪些目标资产?
• 防护技术: 有哪些可选方案可用于保护目标免遭威胁?
威胁
威胁指某种事件一旦发生,就可能对系统造成破坏,导致数据泄露或损坏,或者使服务可用性降低。防病毒解决方案关注因感染病毒、间谍软件或广告软件而造成的威胁。“病毒”一词通常用于描述某类特定的恶意代码。经过正确分析和规划的防病毒解决方案可防范广泛的恶意或未经授权的代码。
下表列出了各种类型的代码,并附上了相应的简要说明。
1. 代码类型及相关说明
注意:垃圾邮件指用于散布某种产品或服务的广告的未经请求的电子邮件。这类邮件通常没有恶意,防病毒解决方案也没有提供具体的解决办法。但是,垃圾邮件可用于散布恶意代码,因此应该加以阻止。在挑选电子邮件网关时,除了防病毒功能外,还应考虑垃圾邮件拦截功能。
病毒带来的不同类型的威胁如下所述:
• 单病毒:仅出现一种可能***目标网络或计算主机的恶意代码。
• 混合型威胁:针对联网计算机的多重***(其中包含有病毒、蠕虫或其它恶意代码),并利用一条或多条途径进行自我繁殖。
有关恶意代码、间谍软件和广告软件威胁的详细信息,请参阅“深层病毒防护指南”的第 2 章:“恶意软件的威胁”,具体 URL 地址如下:
[url]http://www.microsoft.com/technet/security/topics/[/url]
serversecurity/avdind_2.mspx
威胁的载体
威胁的载体是威胁用于***目标的途径。了解恶意代码、间谍软件和广告软件所利用的威胁的载体,有助于组织设计防病毒解决方案,来防止被未经授权的代码感染,并阻止其扩散。未经授权的代码利用下列途径进行传播:
• 网络: 包括外部和内部网络,具体如下:
• 外部网络: Internet 为传播未经授权的代码提供了最便捷的渠道。
• 内部网络: 当没有对内部和无线网络进行足够的控制并缺乏相关的软件时,内部网络就会被用于传播未经授权的代码。
• 移动客户端: 包括连接到网络的来宾和员工。具体说明如下:
• 来宾客户端: 包括那些不具备充足防御措施的顾问、合作伙伴和客户的计算设备。
• 员工计算机: 包括在家里或旅途中(不具备充足防御措施的情况)连接到企业网络的员工。
• 应用程序: 包括:
• 电子邮件: 垃圾邮件或正当的电子邮件都可能包含可用于向主机传播病毒的应用程序、文件和脚本。
• HTTP: 可方便地从 Internet 下载的应用程序、小程序、文件和脚本,或者可用于跟踪用户的浏览和购物方式的支持 Web 浏览器的 cookies。
• 可执行文件: 可执行代码、脚本和小程序可被用于引入未经授权的代码。
• 应用程序文件:支持接口脚本编写的应用程序所创建的文件可被用于运行编码宏,来尝试执行未经授权的功能。
• 可移动媒体:包括 USB 驱动器、可移动式驱动器和闪存卡,具体如下:
• USB 驱动器: 这类设备的外形多样,从典型的钥匙圈状的设备到腕表等等。
• 可移动式驱动器: 这类设备包括软盘、CD-ROM、zip 磁盘以及其它数据存储磁盘。
• 闪存卡: 用于在其它数字设备(比如:数码相机和 PDA [个人数字助理])上存储数据的闪存卡,可被用于传播未经授权的代码。可连接计算机的读卡器使用户可以更方便地传输闪存卡上的数据。
目标
恶意代码、间谍软件和广告软件通常被设计用于***特定的目标。应加以保护的目标包括:
• 网络: 网络本身就经常是恶意代码的***目标。通过网络上的主机***网络会妨碍客户端访问服务或相关的功能。
• 服务器:未经授权的代码经常专门针对服务器及其提供的应用程序服务。在中型 IT 环境中,需要保护以下服务器及服务:
• Microsoft Windows Server™ 2003
• Microsoft Exchange Server 2003
• Microsoft SQL™ Server
• Microsoft Internet Information Server
• Windows® SharePoint™ Services
• 客户端应用程序:Microsoft Office 2003 应用程序具有极其强大的脚本和宏编写功能,因此保护这类应用程序至关重要。
• 设备:在企业里,可能应用了广泛的计算设备。应重点考虑保护基于 Windows Mobile 2003 的设备,比如:Pocket PC 和 Smartphone。
• 客户端: 应运用防病毒软件,包括 IT 环境中的所有客户端计算机。在“中型企业客户端配置解决方案”中,Microsoft Windows®XP Professional 是客户端计算机上的推荐计算平台。
防护技术
本节介绍了防病毒解决方案体系结构中用于降低或消除恶意代码、广告软件和间谍软件带来的风险的相关技术。
防病毒软件
防病毒软件设计用于清除、隔离并防止恶意代码扩散。这类软件通过在内存里作为服务运行并执行以下操作,来完成上述任务:
• 扫描注册表和文件系统,寻找病毒或病毒特征。通常将文件系统扫描设定为定期执行,或者在空闲的时候执行。
• 检测并终止未经授权的代码的执行。
• 阻止未经授权的代码执行某些操作。这项技术重点关注未经授权的代码的行为。
• 扫描电子邮件和邮件存储,确保未通过电子邮件发送和接收病毒,或者将邮件连同病毒一起保存在服务器邮箱中。
• 扫描网关和防火墙上的网络流量,检测并隔离包含已知病毒签名的网络流量。
• 对插入的磁盘媒体和文件执行运行时扫描,确保不会打开或复制已被病毒感染的文件。
有关详细信息,请参考位于以下 URL 地址处的“Microsoft 防病毒合作伙伴”列表:
[url]http://www.microsoft.com/security/partners/antivirus.asp[/url]
相关的安全机制
防火墙解决方案不足以为服务器、客户端和网络提供足够的保护,以防范病毒威胁、间谍软件和广告软件。病毒威胁不断发展变化,恶意代码被设计为通过新的途径,利用网络、操作系统和应用程序中的缺陷。为了设计出有效的防病毒解决方案,还必须采用其它一些关键的安全机制,比如:
• 修补程序管理:修补软件和操作系统中已知的缺陷。
• 监视: 针对日志记录、报告和审核功能制订策略。
• 安全评估:扫描系统以识别潜在的安全问题。
• 服务禁用:删除或关闭不必要的服务,并关闭不必要的 TCP、IP 和 UDP 端口。
• 安全策略:对实施防病毒解决方案提供更广泛的认识。另外,还提供了必要的控制,以防引入未经授权的代码。
• 软件策略:实施策略以防止下载和安装未经授权的应用程序。制订软件采购计划,以便 IT 团队可以测试和验证企业采纳的软件和供应商。
下表列出了其它一些可在中型 IT 环境中实施的安全机制,同时还给出了各种相关的解决方案和指南。
表 2. “中型企业系列 IT 解决方案”中其它解决方案所述的安全机制
分层防护
防病毒解决方案需要采用分层方法,为企业防御病毒威胁。在安全体系结构指南中,这种分层方法通常被称为“深层防护安全模型”。这种策略旨在通过实施多层***防护,利用政策、程序、技巧和技术提供安全保障。
此分层策略由五个关键的部分组成。具体如下:
• 政策、程序和意识
• 物理安全性
• 网络和 Internet 防护
• 服务器防护
• 客户端防护
在制订防病毒策略时,请考虑环境中三个通过交互,共同提供安全保障并防范威胁的元素。这三个元素是人员、技术和过程。
有关病毒防护策略的详细信息,请访问以下 URL 地址:
[url]http://www.microsoft.com/technet/security/topics/[/url]
virus/default.mspx
政策、程序和意识
虽然政策、程序和意识是三个独立的主题,但是本指南将它们视为一个整体,因为它们之间存在逻辑联系。尽管常常被低估,但这三个元素是确保实现以下各项的最重要的元素:
• 防病毒解决方案体系结构满足企业的要求。
• 正确实施了体系结构。
• 用户属于防护策略的一部分。
政策
政策是观念、目的和目标的高级表述。如果组织还未没有现成的防病毒政策,那么当务之急就是马上制订一个。应该制订一份详细的策略和意向声明。根据详细的意向声明,应制订防病毒政策概要,并传达给用户、管理层及外界参与方。
详细的防病毒政策即应对病毒、间谍软件和广告软件等威胁的详细策略。该政策可用于就购买特定的防病毒软件产品以及检验组织所实施的过程和程序,提供具体的要求。
防病毒政策应包括:
• 策略:
• 保护 IT 资源不受病毒感染。
• 检测、阻止和消除威胁。
• 报告需求,比如报告需要提供什么内容、应该提供给谁以及相隔多长时间提供一次。
• 管理来宾客户端。
• 获取安全软件的权限。
• 在发生病毒事件前,提前对应威胁。
• 管理对服务器、设备和客户端配置执行的更改。
• 监视网络和防病毒客户端以识别病毒事件。
• 过程:
• 引入并配置新的客户端计算机和来宾客户端计算机。
• 管理病毒事件并进行恢复。
• 与用户、IT 团队及管理团队进行交流。
• 管理服务器和客户端计算机。
• 检测***。
• 技术要求:
• 对台式机和服务器执行病毒病毒。
• 更新主机上的防病毒软件和病毒定义。
• 仅允许特定的软件在主机上运行。
• 支持操作系统和客户端设备。
• 对资源的访问进行身份验证和授权。
• 提供软件更新。
• 管理或配置计算机所允许的服务。
• 检测并阻止未经授权的文件传输程序,比如:即时消息、FTP 或 WebDAV。
• 病毒入口点,比如:
• 所有直接连接到 Internet(Internet、FTP、SharePoint 站点)的服务器。
• 客户端计算机。
• 文件服务器。
• 电子邮件服务器。
• 外部网络访问点。
• 远程访问点。
• 角色与职责,比如:
• 在 IT 环境中进行更改的签收程序。
• 系统管理员及 IT 团队的职责。
• 管理职责与采购权力。
防病毒政策概要向用户提供了具体的信息,确保他们的客户端计算机和操作符合企业的防病毒策略。防病毒政策概要应能在企业的 Intranet 站点上方便地获取,并应用于员工培训、客户端安全策略以及 IT 培训资料中。防病毒政策概要应提供以下信息:
• 政策的作用:防病毒政策概要应提供有关政策意图的具体说明,即保护企业 IT 资源。另外,还应说明必须安装规定的防病毒软件并遵守公司政策。
• 政策所适用的人群:防病毒政策概要应专门列出政策所适用的具体人群。它应适用于可能(不管是通过内部连接点,还是远程连接点)连接到公司资源的所有人员
• 政策声明: 防病毒政策概要应包含用户遵守公司防病毒政策所需的所有相关信息。
程序
程序是防病毒政策的产物。程序指执行防病毒政策所述任务所需的分步过程和说明。建议记录详细的步骤和过程,以提高 IT 管理员的效率,并帮助企业吸取经验教训。应该记录的程序包括:
• 安装防病毒软件和保持遵守防病毒政策的步骤。
• 通知管理员或获得可疑活动通知的步骤。
• 响应病毒事件的步骤。
• 对服务器、网关和设备配置防病毒软件的步骤。
意识
在制订防病毒策略时,用户和 IT 管理员的认识往往被忽视了。应该让 IT 管理员意识到企业的防病毒政策、防病毒软件以及恶意代码、广告软件和间谍软件的威胁。应该对这方面的知识进行评估,如果不完善的话,应该辅以培训。管理员的意识培训应针对以下几个方面:
• 如何引入了病毒威胁、会造成怎样的影响以及保护企业资产所需的防护措施。
• 如何保护网络的入口点。
• 如何保护客户端计算机,帮助用户避免引入病毒威胁。
• 如何与用户进行交流。
• 如何检测并禁用未经授权的通信链路,比如调制解调器、宽带连接和 *** 连接。
• 如何检验并实施防病毒政策。
• 如何配置并使用指定的防病毒软件。
用户常常不知道未经授权的代码是如何引入的,以及他们在保护企业免遭病毒威胁方面所扮演的角色。用户的意识培训应该包含以下信息:
• 有关企业防病毒政策的知识以及用户在保护环境安全方面所扮演的角色。
• 有关下载或安装未正式获得使用批准的软件的政策。
• 打开不认识的发件人发来的电子邮件中的附件存在的威胁。
• 打开认识的发件人发来的电子邮件中的不明附件存在的威胁。
• 有关将外部媒体(未经管理员扫描和检验)带入安全环境的政策。
• 从客户端计算机访问非商业站点存在的风险。
• 允许未经授权的脚本、宏、ActiveX 控件或其它代码在用户的计算机运行所存在的风险。
• 允许代码、脚本和控件在 Internet 浏览器窗口中运行(商业站点设定运行的签码除外)所存在的风险。
• 向不信任的个人提供商业或个人信息(特别是登录信息)所存在的风险。
• 有关使用弱密码的政策。
• 向管理员通告可疑活动及防病毒软件通知的程序。
物理安全性
物理安全性不是直接用于为环境防护恶意代码、间谍软件和广告软件的具体方法。但它有助于使企业的整体安全策略发挥有效的作用。假如不维护物理安全性,引入未经授权的代码的风险就要高很多。有关物理安全性的详细信息,请参阅位于以下 URL 地址处的 TechNet 专栏文章——“5 分钟安全顾问 - 基本物理安全性”:
[url]http://www.microsoft.com/technet/archive/community/[/url]
columns/security/5min/5min-203.mspx
网络和 Internet 防护
许多病毒都通过网络进行传送。病毒利用 Internet 进行传播和扩散。请考虑以下安全措施:
• 在 WindowsXP 客户端计算机上部署 Windows 防火墙,并对其配置进行管理。在其它所有客户端计算机上查找并安装个人防火墙。
• 仅部署安全的无线网络。查找并关闭未经授权的无线访问点。
• 在 Internet 和公司网络间,部署一个支持以下功能的防火墙:
• 网络***检测,可提供有关***事件的快速通知
• 网络筛选,用以阻止未经授权的 TCP 或 UDP 端口上的流量。
• 应用程序内容筛选,用以检查在批准的网络端口上传输的数据内容,比如扫描 HTTP 和 FTP 上的文件传输或电子邮件中的附件。
• URL 筛选,用以阻止 Web 浏览器访问下载服务器、外部邮件服务器以及其它高风险性的网站。
• 启用实时内容扫描(针对 Exchange Server),阻止电子邮件中的已知病毒。
• 对所有网络访问点应用相同的安全性。
有关为 Internet Security and Acceleration Server 2004 提供防病毒解决方案的合作伙伴列表,请访问以下 URL 地址:
[url]http://www.microsoft.com/isaserver/partners/[/url]
contentsecurity.asp
服务器防护
服务器及运行在其上的应用程序提供了核心共享服务功能,供客户端使用。所以,应该对服务器应用与客户端防护同样严格的措施。
有关强化服务器的指导不属于本解决方案所涉及的范畴。但是,本节列出了一些相关建议。
有关配置 Windows Server 2003 以及 Microsoft Exchange 2003 等 Microsoft 服务的详细信息,请参阅“强化系统和服务器:清单与指南”,具体 URL 地址如下:
[url]http://www.microsoft.com/technet/security/topics/[/url]
hardsys/default.mspx
改善服务器防护的总体建议包括:
• 通过删除不需要的服务和应用程序,缩小受***面。
• 在服务器上安装并维护防病毒软件。
• 安装可捕捉并删除间谍软件和广告软件的软件。
• 使用基于主机的防火墙来封锁未经授权的端口。
• 运用 Microsoft Baseline Security Analyzer (MBSA) 识别服务器配置中可能存在的任何漏洞。
有关 MBSA 的详细信息,请访问以下 URL 地址:
[url]http://www.microsoft.com/technet/security/tools/[/url]
mbsahome.mspx
• 实施一个修补程序管理解决方案,对服务器应用最新的操作系统和应用程序更新。
具体的防病毒建议如下:
• 在服务器上安装防病毒软件,并不断更新软件和病毒定义。
• 使用支持在以下服务器上运行关键的应用程序服务的防病毒软件:
• Exchange 服务器: 所需的功能:
• 对传入和传出的电子邮件及存储在邮箱中的邮件,以及公共文件夹中的共享信息执行病毒扫描。
• 识别并删除垃圾邮件。有关详细信息,请访问以下 URL 地址:
[url]http://www.microsoft.com/technet/community/events/[/url]
exchange2003/tnt1-132.mspx
• 文件服务器: 需要扫描文件共享和存储方面的功能。
• Windows SharePoint Services: 需要用于扫描存储在基于 Windows SharePoint Services 的网站上的文件的功能。
客户端防护
在 IT 基础结构中,许多用在服务器上的防护措施,也应该应用于客户端计算机。有关强化 Windows XP Professional 客户端计算机的指导信息不属于本指南所涉及的范畴。
有关强化 Windows XP Professional 客户端计算机的详细信息,请参阅“强化系统和服务器:清单与指南”,具体 URL 地址如下:
[url]http://www.microsoft.com/technet/security/topics/[/url]
hardsys/default.mspx
应施加于客户端计算机的安全防护措施包括:
• 通过删除不需要的服务和应用程序,缩小受***面。
• 使用 Windows XP Service Pack 2 (SP2),在客户端计算机上启用强大的 Windows 防火墙。
• 实施一个修补程序管理解决方案,对客户端计算机应用最新的操作系统和应用程序更新。
• 使用 GPO,对客户端进行安全配置,包括:
• 配置浏览器。
• 配置 Windows 防火墙。
• 若无法提供病毒扫描功能,则阻止由应用程序(比如:即时消息程序、FTP 或点对点文件共享)传输的文件。可通过封锁应用程序所用的网络端口,来实现上述操作。
有关如何对 Internet Explorer 进行安全配置的详细信息,请访问以下 URL 地址:
[url]http://www.microsoft.com/technet/security/prodtech/ie/[/url]
有关 Windows XP SP2 如何提高浏览器安全性的详细信息,请访问以下 URL 地址:
[url]http://www.microsoft.com/technet/prodtechnol/winxppro/[/url]
maintain/sp2brows.mspx
具体的防病毒建议如下:
• 在客户端计算机上,安装并维护防病毒软件。
• 安装可捕捉并删除间谍软件和广告软件的软件。
• 确保将防病毒软件设定为定期扫描文件系统。
• 在文件载入应用程序之前,启用文件扫描。
• 启用对电子邮件的客户端病毒扫描。
• 确保防病毒软件支持对常见广告软件和间谍软件应用程序的识别和清除。
• 确保防病毒软件支持对来自和发往 PDA(比如:基于 Windows Mobile 2003 的设备)的文件进行扫描。
• 确保防病毒软件支持对专门***关键应用程序(比如:Microsoft Office 应用程序)的病毒的识别和清除。
防病毒解决方案的设计
本节介绍了防病毒解决方案所必须支持的“中型企业系列 IT 解决方案”组件。另外,还列出了防病毒解决方案的功能要求,并提供了一个防病毒解决方案的设计建议。
中型企业系列 IT 解决方案的组件
在设计防病毒解决方案之前,首先了解一下中型 IT 环境中的服务和平台,具有重要的意义。防病毒解决方案必须支持下列服务:
• Active Directory® 目录服务。
• 网络服务,包括 DNS(域名系统)、DHCP(动态主机配置协议)和 WINS(Windows Internet 名称服务)。
• 安全的 Internet 连接服务。
• 文件服务。
• 协作服务。
• 消息传递服务。
• 打印服务。
• 远程访问服务。
• 证书服务。
• 修补程序管理服务。
• 数据保护和恢复服务。
下表列出了中型 IT 环境中的操作系统和服务:
• Windows Server 2003, Standard Edition。
• Windows XP(带 SP2)。
• Microsoft® Windows SharePoint™ Services。
• Microsoft Exchange Server 2003。
• Software Update Services。
• Microsoft Internet Security and Acceleration Server 2004。
注意:企业可能具有“中型企业系列 IT 解决方案”所述的全部或部分服务。另外,企业也可能具有“中型企业系列 IT 解决方案”中未涉及的服务。运用本指南所介绍的方法,修改防病毒解决方案的设计,以满足企业的具体要求。
建议的解决方案
防病毒解决方案设计说明了如何结合独立软件供应商 (ISV) 提供的防病毒软件,在中型 IT 环境中,实施防病毒解决方案体系结构。
首先,列出主要的设计元素,说明如何设计解决方案,以实施本指南的“规划”部分所述的防病毒政策。
其次,确定各个解决方案组件在中型 IT 环境中所处的具体位置,以及如何实施解决方案。
最后,确保所选的防病毒软件满足环境的基本功能要求。
设计元素
下表列出了解决方案的设计元素(按功能排序),并就所需的功能进行说明。
表 3. 防病毒解决方案的设计元素
设计实施
有关实施防病毒软件解决方案的建议如下:
1. 在辅助的基础结构服务器上,安装防病毒解决方案的管理组件。
2. 允许辅助的基础结构服务器与提供软件定义更新的防病毒厂商的服务器间的网络流量(通过 Internet 传输)。
3. 在所有台式机和服务器计算机(包括移动设备)上,安装防病毒软件。
4. 在客户端和服务器计算机(任何合适的地方)上,安装相关软件来防范间谍软件和广告软件。
5. 在 Exchange Server 2003 上,配置 IMF 以减少垃圾邮件。
6. 在 ISA Server 上安装应用程序内容筛选插件,以扫描网络流量。
中型 IT 环境中的防病毒解决方案实施如下图所示。
图 1. 中型 IT 环境中的防病毒解决方案
防病毒软件与解决方案组件通过以下过程进行交互:
1. 从防病毒厂商在 Internet 上的系统,定期更新病毒定义。
2. 更新病毒定义,并管理客户端计算机。
3. 更新病毒定义,并管理服务器。
功能要求
请确保所建议的防病毒解决方案满足环境的基本功能要求。
注意:当防病毒软件产品无法满足某个具体的要求时,请评估相关缺陷的影响,并与相应解决方案的优点进行权衡。单个防病毒软件解决方案不可能提供所有推荐的功能。可能需要结合多种产品,来满足一些有限的具体要求。
针对所需的功能评估防病毒解决方案时,请参考以下各表提供的功能要求清单。
表 4. 平台与应用程序兼容性清单
表 5. 网络网关与防火墙支持清单
表 6. Windows Server 2003 清单
表 7. Windows XP Professional 清单
表 8. Internet Security and Acceleration Server 清单
表 9. Microsoft Exchange Server 清单
表 10. Windows SharePoint Services 清单
表 11. 管理清单
表 12. 支持清单
如果可能的话,请确定防病毒软件在性能和稳定性方面,对客户端、设备和服务器造成的影响。启用了所有功能的防病毒软件会影响客户端、服务器和服务的性能。执行以下操作,来确定防病毒软件的性能和稳定性:
1. 在隔离的测试环境中,将软件部署在测试客户端计算机或服务器上。
2. 确认软件是否已经过测试和认证。
3. 确保软件供应商是 Microsoft 的合作伙伴。
4. 向供应商咨询有关他们产品的性能数据。
5. 通过在新闻组或其它 Internet 论坛上,查找相关客户的成功案例,全面研究供应商的产品。
在挑选防病毒软件供应商时,另一项重要的事宜就是评估具体解决方案的成本。权衡软件的成本和功能,并确保所选的软件解决方案可满足企业解决方案的设计目标。
有许多种方法可用于评估防病毒解决方案的成本。下表提供了一种示例方法,根据第一年的成本优势,来评估防病毒解决方案。
表 13. 防病毒解决方案成本评估示例
防病毒解决方案的配置
本节提供了有关在中型 IT 环境中,部署防病毒解决方案的指导信息。
请在构建防病毒解决方案之前,收集所有必要的信息信息。您需要一份综合的列表,列出您在环境中使用的所有系统和应用程序,以便在所需的目标上安装有关软件。
客户端
防病毒解决方案的集中管理组件应能发现环境中的所有客户端设备,并自动安装代理软件。
1. 配置 Windows 防火墙,允许远程安装客户端软件。
2. 通过执行以下步骤,对 MSN Messenger 启用文件传输的病毒扫描:
1. 在 MSN Messenger 应用程序的主窗口中,打开“工具”菜单,然后选择“选项”。
2. 单击“消息”选项卡。
3. 在“文件传输”部分,选择“使用下列程序扫描病毒”复选框。
4. 单击“浏览”按钮,并选择客户端计算机所用的防病毒软件的可执行文件。
5. 单击“确定”。
注意:在上述步骤中,查找所要使用的正确的可执行文件和所要包含的命令参数,可能需要您的防病毒软件供应商提供额外的支持。完成上述步骤后,防病毒软件将在客户端计算机上,自动扫描通过 MSN Messenger 接收的所有文件。您的防病毒软件供应商可能需要针对该选项,提供额外的配置步骤。
服务器
防病毒解决方案的集中管理组件应能发现环境中的所有服务器,并自动安装代理软件。
Active Directory 服务器
在 Active Directory 服务器上部署防病毒解决方案之前,确保软件可兼容,并在测试环境中对配置进行了全面的测试。
有关 Microsoft 的防病毒和域控制器最佳实践的信息,请访问以下 URL 地址:
[url]http://support.microsoft.com/default.aspx?scid=kb[/url];en-us;822158
Exchange 服务器
需要一个专门针对 Exchange Server 2003 设计的代理。确保防病毒软件不会直接扫描 Exchange 文件,并按照供应商的软件使用说明,正确安装并配置了防病毒软件。在生产服务器上应用之前,应该先在非生产环境中,对用于防病毒的 Exchange 代理软件进行全面的测试。
有关 Exchange 2003 电子邮件扫描的详细信息,请参阅知识库文章 823166:“Exchange Server 2003 与防病毒软件概述”,具体 URL 地址如下:
[url]http://support.microsoft.com/?kbid=823166[/url]
有关 Exchange 中用于减少用户接收到的垃圾邮件的智能邮件筛选器 (IMF) 功能的详细信息,请访问以下 URL 地址: [url]http://support.microsoft.com/default.aspx?scid=kb[/url];en-us;842763
Windows SharePoint Services
在生产服务器上应用之前,应先在非生产环境中,对防病毒软件进行全面的测试。通过执行以下步骤,对 Windows SharePoint Services 服务器启用防病毒保护:
1. 使用管理员帐户登录 Windows SharePoint Services 服务器。
2. 从“开始”菜单,打开“管理工具”,然后单击“SharePoint 管理中心”。
1. 在“SharePoint 管理中心”页面上,选择“安全配置”中的“配置防病毒设置”链接。
2. 选定“在上载时扫描文档”复选框。
3. 选定“在下载时扫描文档”复选框。
4. 选定“尝试清理受感染的文档”复选框。
5. 单击“确定”。
网络
运用应用程序内容筛选的病毒扫描非常重要。配置防病毒软件以便:
• 扫描传入和传出的电子邮件流量。
• 识别传入的垃圾邮件。
• 对已筛选的内容(比如:http、即时消息程序和 FTP 流量),执行病毒扫描。
中型企业防病毒指南
操作
下面几节提供了有关运行和管理防病毒解决方案的一些重要建议。
本页内容
日常运行
更新定义(签名)
突发事件控制与恢复
日常运行
以下是一些需要执行的日常运行步骤:
• 签名更新: 应将防病毒解决方案配置为,自动下载最新的软件和病毒定义及更新。理想上,只要有更新可用,就应对相应的病毒定义进行更新。否则,应尽可能设定较短的更新频率。
• 向 Microsoft 及其它供应商申请订阅服务,以获得最新的信息和更新: 每天浏览新闻组以及供应商提供的有关潜在恶意软件的信息。负责防病毒解决方案及安全相关事宜的管理员应向 Microsoft 及防病毒软件厂商(可能的话)申请订阅服务,以便接收有关新型病毒的安全警报和更新。
若要注册并获取 Microsoft 安全及病毒更新,请访问以下 URL:
• 更新的病毒警报
[url]http://www.microsoft.com/technet/security/alerts/[/url]
default.mspx
• Microsoft 安全通信中心
[url]http://www.microsoft.com/technet/security/signup/[/url]
default.mspx
• 检查系统事件和警报: 检查系统事件和警报,并配置防病毒软件:
• 发现病毒事件后,立即发出警报。
• 生成报告和统计数字,供管理员每日查看。
选定了防病毒软件解决方案后,根据相关软件厂商的建议,制定具体的操作步骤。
更新定义(签名)
应有针对客户端、服务器和网络防病毒软件的现成的安全更新管理流程。该流程应分为以下几个阶段:
1. 检查更新:应有现成的防病毒自动通知流程,用以通知主机存在可用的更新。
2. 下载更新:只要有更新可用,就应对中央管理系统进行更新。
3. 测试更新:如果可能的话,应在应用于生产环境中的计算机之前,先对软件更新进行测试。
4. 部署更新:在测试并验证了更新后,应使用中央管理控制台,将其分发给客户端。
突发事件控制与恢复
Microsoft TechNet 网站上的“深层防护病毒指南”提供了有关病毒事件的控制和恢复的详细流程指导。
有关该流程的详细信息,请参阅“第 4 章:突发事件控制与恢复”,具体地址如下:
[url]http://www.microsoft.com/technet/security/topics/[/url]serversecurity/avdind_4.mspx
中型企业防病毒指南
总结
本指南提供了有关如何应对恶意代码、间谍软件和广告软件威胁的信息。另外,还提供了有关在中型 IT 环境中,实施防病毒解决方案的建议和指导。本指南适用的范围比较灵活,类似中型 IT 环境的各类环境均可满足其要求。
中型企业防病毒指南
简介
企业面临着来自病毒和恶意代码的不断升级的威胁。恶意代码是一种程序或一段代码,专门用来破坏系统,危害或泄露商业数据,干扰系统的正常运行,传播或执行其它未经授权的操作。防范这类未经授权的代码是组织的总体安全策略的重要组成部分。
防病毒软件在网络网关和防火墙、服务器以及客户端计算机上,扮演着重要的角色。防病毒软件在下列这几个领域里扮演着重要的角色:
• 网络网关和防火墙: 防病毒软件可防范来自 Internet 的病毒的扩散。具体包括:
• 全面扫描网络流量,并通过识别表示存在恶意代码的病毒模式,检测出恶意代码。
• 扫描具体的服务,比如:电子邮件(扫描传入的电子邮件,然后转发给内部 Exchange Server,再分发给客户端)。
• 服务器: 运行在服务器上的防病毒软件能够:
• 防止病毒扩散,或感染其它服务器间。
• 提供其它功能,包括文件共享和 Exchange 邮件存储扫描。
• 提供客户端管理功能。
• 客户端: 客户端计算机上的防病毒软件可确保该计算机不会扩散病毒或被病毒感染。
虽然防病毒解决方案本身可能无法构成企业防范恶意代码的完整的解决方案,但却是企业安全体系结构的重要组成部分。这个指南关注防病毒解决方案的方方面面。它提供了有关实施防病毒解决方案的信息和具体流程;虽然,并未针对特定的防病毒软件产品。企业应该结合可信赖的合作伙伴提供的防病毒解决方案,来使用本指南。
该指南提供了有关设计防病毒解决方案,来帮助中型企业防范病毒及其它恶意代码威胁的参考信息。有些防病毒软件还能防范间谍软件和广告软件。因此,本指南也介绍了防范间谍软件和广告软件的相关内容。
注意:将来某个时候,“Microsoft中小企业解决方案”计划可能会携手合作伙伴,共同为采用特定防病毒产品的防病毒解决方案,提供合作伙伴指南。
本页内容
内容范围
前提条件
内容范围
本指南重点介绍防病毒措施在安全体系结构中扮演的角色,但不涉及安全体系结构及策略等高级概念。
本指南提供的指导范围包括:
• 用于证明有必要购买防病毒解决方案的信息。
• 了解防病毒解决方案的问题和要求所需的信息。
• 防病毒解决方案的规划和运行流程。
• 防病毒解决方案的设计要求以及可选的主要设计方案。
• 防病毒解决方案的维护和运行流程以及推荐的步骤。
本指南不提供:
• 有关使用具体的防病毒解决方案的建议。
• 有关部署具体的防病毒解决方案的信息。
前提条件
将防火墙解决方案的组件作为某项具体服务(比如:防火墙或电子邮件网关)的一部分实施。但是,在大多数情况下,一般在安装完服务器和客户端操作系统后,再安装防病毒软件和相关组件。
在中型 IT 环境中,实施防病毒解决方案的前提条件如下:
• 正确设计的网络基础结构(如“中型企业核心基础结构解决方案”的第 2 章:“物理网络设计”所推荐的)。
• 可正常工作的安全 Internet 连接(如“中型企业核心基础结构解决方案”的第 4 章:“安全 Internet 连接服务”所推荐部署的)。
• 为企业注册适当的 Internet 接入服务及域名。
中型企业防病毒指南
构想
本部分介绍了在中型 IT 环境中,实施防病毒解决方案的使用环境和益处。同时,还提供了可实施本指南的初始状态环境和预期的最终状态环境。
本页内容
使用环境
初始状态环境
最终状态环境
益处
使用环境
本指南提供的指导信息可用于在没有防病毒解决方案,或现有的防病毒解决方案无法满足业务要求的中型 IT 环境中,实施防病毒解决方案。
本指南提供的指导信息可用于:
• 了解不同类型的防病毒解决方案。
• 选择满足组织特定要求的防病毒解决方案。
• 为在中型 IT 环境中构建和部署所选的防病毒解决方案制订规划。
• 安全地运行和管理防病毒解决方案。
初始状态环境
许多企业已经在他们的 IT 环境中,部署了某种类型的防病毒解决方案。请参考现有的防病毒解决方案可能存在的下列缺陷:
• 为企业防范恶意代码、间谍软件和广告软件的完整的策略可能尚未就位。
• 防病毒解决方案体系结构可能难以管理和更新。
• 辅助防病毒解决方案的其它安全服务可能尚未就位。
最终状态环境
在实施完本指南所述的防病毒解决方案体系结构之后,最终状态环境应能提供:
• 一种保护计算机和服务器的一致方法。
• 一种策略性的分层式防病毒解决方案体系结构。
益处
防病毒解决方案的益处与组织因病毒、恶意代码、广告软件和间谍软件***事件所带来的成本直接相关。缺乏适当的防病毒解决方案会给组织带来直接的财务成本,具体涉及系统和数据损坏、生产力散失、服务终止以及隐私泄露。综合的防病毒解决方案体系结构可提供下列益处:
• IT 团队的工作量减少: 由于减少了恶意代码、间谍软件和广告软件的威胁,IT 团队花在应对这类事件和排除故障方面的时间减少了。
• 成本降低:因为隔离并迅速遏制了病毒事件,所以减轻了对系统和数据造成的破坏。
• 生产力提高: 用户和 IT 团队用于排除故障、执行恢复和防范恶意代码的时间减少了。
• 服务可用性得到提升: 由于对恶意代码进行了隔离、删除或禁止运行,IT 服务得到了保护,避免使系统和数据受到破坏。
中型企业防病毒指南
规划
本部分提供了有关选择可满足组织需求的最佳防病毒解决方案、为中型 IT 环境设计防病毒解决方案,以及确定构建防病毒解决方案的前提条件的指导信息。
本页内容
防病毒解决方案的设计考虑事项
防病毒解决方案的设计
防病毒解决方案的配置
防病毒解决方案的设计考虑事项
防病毒解决方案规划指南提供了构建防病毒解决方案所需的信息。构建防病毒解决方案所需的信息包括了对下列问题的解答:
• 威胁: 恶意代码、间谍软件和广告软件会带来哪些威胁?
• 威胁的载体: 可利用哪些途径对目标发动***?
• 目标: 需要保护哪些目标资产?
• 防护技术: 有哪些可选方案可用于保护目标免遭威胁?
威胁
威胁指某种事件一旦发生,就可能对系统造成破坏,导致数据泄露或损坏,或者使服务可用性降低。防病毒解决方案关注因感染病毒、间谍软件或广告软件而造成的威胁。“病毒”一词通常用于描述某类特定的恶意代码。经过正确分析和规划的防病毒解决方案可防范广泛的恶意或未经授权的代码。
下表列出了各种类型的代码,并附上了相应的简要说明。
1. 代码类型及相关说明
注意:垃圾邮件指用于散布某种产品或服务的广告的未经请求的电子邮件。这类邮件通常没有恶意,防病毒解决方案也没有提供具体的解决办法。但是,垃圾邮件可用于散布恶意代码,因此应该加以阻止。在挑选电子邮件网关时,除了防病毒功能外,还应考虑垃圾邮件拦截功能。
病毒带来的不同类型的威胁如下所述:
• 单病毒:仅出现一种可能***目标网络或计算主机的恶意代码。
• 混合型威胁:针对联网计算机的多重***(其中包含有病毒、蠕虫或其它恶意代码),并利用一条或多条途径进行自我繁殖。
有关恶意代码、间谍软件和广告软件威胁的详细信息,请参阅“深层病毒防护指南”的第 2 章:“恶意软件的威胁”,具体 URL 地址如下:
[url]http://www.microsoft.com/technet/security/topics/[/url]
serversecurity/avdind_2.mspx
威胁的载体
威胁的载体是威胁用于***目标的途径。了解恶意代码、间谍软件和广告软件所利用的威胁的载体,有助于组织设计防病毒解决方案,来防止被未经授权的代码感染,并阻止其扩散。未经授权的代码利用下列途径进行传播:
• 网络: 包括外部和内部网络,具体如下:
• 外部网络: Internet 为传播未经授权的代码提供了最便捷的渠道。
• 内部网络: 当没有对内部和无线网络进行足够的控制并缺乏相关的软件时,内部网络就会被用于传播未经授权的代码。
• 移动客户端: 包括连接到网络的来宾和员工。具体说明如下:
• 来宾客户端: 包括那些不具备充足防御措施的顾问、合作伙伴和客户的计算设备。
• 员工计算机: 包括在家里或旅途中(不具备充足防御措施的情况)连接到企业网络的员工。
• 应用程序: 包括:
• 电子邮件: 垃圾邮件或正当的电子邮件都可能包含可用于向主机传播病毒的应用程序、文件和脚本。
• HTTP: 可方便地从 Internet 下载的应用程序、小程序、文件和脚本,或者可用于跟踪用户的浏览和购物方式的支持 Web 浏览器的 cookies。
• 可执行文件: 可执行代码、脚本和小程序可被用于引入未经授权的代码。
• 应用程序文件:支持接口脚本编写的应用程序所创建的文件可被用于运行编码宏,来尝试执行未经授权的功能。
• 可移动媒体:包括 USB 驱动器、可移动式驱动器和闪存卡,具体如下:
• USB 驱动器: 这类设备的外形多样,从典型的钥匙圈状的设备到腕表等等。
• 可移动式驱动器: 这类设备包括软盘、CD-ROM、zip 磁盘以及其它数据存储磁盘。
• 闪存卡: 用于在其它数字设备(比如:数码相机和 PDA [个人数字助理])上存储数据的闪存卡,可被用于传播未经授权的代码。可连接计算机的读卡器使用户可以更方便地传输闪存卡上的数据。
目标
恶意代码、间谍软件和广告软件通常被设计用于***特定的目标。应加以保护的目标包括:
• 网络: 网络本身就经常是恶意代码的***目标。通过网络上的主机***网络会妨碍客户端访问服务或相关的功能。
• 服务器:未经授权的代码经常专门针对服务器及其提供的应用程序服务。在中型 IT 环境中,需要保护以下服务器及服务:
• Microsoft Windows Server™ 2003
• Microsoft Exchange Server 2003
• Microsoft SQL™ Server
• Microsoft Internet Information Server
• Windows® SharePoint™ Services
• 客户端应用程序:Microsoft Office 2003 应用程序具有极其强大的脚本和宏编写功能,因此保护这类应用程序至关重要。
• 设备:在企业里,可能应用了广泛的计算设备。应重点考虑保护基于 Windows Mobile 2003 的设备,比如:Pocket PC 和 Smartphone。
• 客户端: 应运用防病毒软件,包括 IT 环境中的所有客户端计算机。在“中型企业客户端配置解决方案”中,Microsoft Windows®XP Professional 是客户端计算机上的推荐计算平台。
防护技术
本节介绍了防病毒解决方案体系结构中用于降低或消除恶意代码、广告软件和间谍软件带来的风险的相关技术。
防病毒软件
防病毒软件设计用于清除、隔离并防止恶意代码扩散。这类软件通过在内存里作为服务运行并执行以下操作,来完成上述任务:
• 扫描注册表和文件系统,寻找病毒或病毒特征。通常将文件系统扫描设定为定期执行,或者在空闲的时候执行。
• 检测并终止未经授权的代码的执行。
• 阻止未经授权的代码执行某些操作。这项技术重点关注未经授权的代码的行为。
• 扫描电子邮件和邮件存储,确保未通过电子邮件发送和接收病毒,或者将邮件连同病毒一起保存在服务器邮箱中。
• 扫描网关和防火墙上的网络流量,检测并隔离包含已知病毒签名的网络流量。
• 对插入的磁盘媒体和文件执行运行时扫描,确保不会打开或复制已被病毒感染的文件。
有关详细信息,请参考位于以下 URL 地址处的“Microsoft 防病毒合作伙伴”列表:
[url]http://www.microsoft.com/security/partners/antivirus.asp[/url]
相关的安全机制
防火墙解决方案不足以为服务器、客户端和网络提供足够的保护,以防范病毒威胁、间谍软件和广告软件。病毒威胁不断发展变化,恶意代码被设计为通过新的途径,利用网络、操作系统和应用程序中的缺陷。为了设计出有效的防病毒解决方案,还必须采用其它一些关键的安全机制,比如:
• 修补程序管理:修补软件和操作系统中已知的缺陷。
• 监视: 针对日志记录、报告和审核功能制订策略。
• 安全评估:扫描系统以识别潜在的安全问题。
• 服务禁用:删除或关闭不必要的服务,并关闭不必要的 TCP、IP 和 UDP 端口。
• 安全策略:对实施防病毒解决方案提供更广泛的认识。另外,还提供了必要的控制,以防引入未经授权的代码。
• 软件策略:实施策略以防止下载和安装未经授权的应用程序。制订软件采购计划,以便 IT 团队可以测试和验证企业采纳的软件和供应商。
下表列出了其它一些可在中型 IT 环境中实施的安全机制,同时还给出了各种相关的解决方案和指南。
表 2. “中型企业系列 IT 解决方案”中其它解决方案所述的安全机制
分层防护
防病毒解决方案需要采用分层方法,为企业防御病毒威胁。在安全体系结构指南中,这种分层方法通常被称为“深层防护安全模型”。这种策略旨在通过实施多层***防护,利用政策、程序、技巧和技术提供安全保障。
此分层策略由五个关键的部分组成。具体如下:
• 政策、程序和意识
• 物理安全性
• 网络和 Internet 防护
• 服务器防护
• 客户端防护
在制订防病毒策略时,请考虑环境中三个通过交互,共同提供安全保障并防范威胁的元素。这三个元素是人员、技术和过程。
有关病毒防护策略的详细信息,请访问以下 URL 地址:
[url]http://www.microsoft.com/technet/security/topics/[/url]
virus/default.mspx
政策、程序和意识
虽然政策、程序和意识是三个独立的主题,但是本指南将它们视为一个整体,因为它们之间存在逻辑联系。尽管常常被低估,但这三个元素是确保实现以下各项的最重要的元素:
• 防病毒解决方案体系结构满足企业的要求。
• 正确实施了体系结构。
• 用户属于防护策略的一部分。
政策
政策是观念、目的和目标的高级表述。如果组织还未没有现成的防病毒政策,那么当务之急就是马上制订一个。应该制订一份详细的策略和意向声明。根据详细的意向声明,应制订防病毒政策概要,并传达给用户、管理层及外界参与方。
详细的防病毒政策即应对病毒、间谍软件和广告软件等威胁的详细策略。该政策可用于就购买特定的防病毒软件产品以及检验组织所实施的过程和程序,提供具体的要求。
防病毒政策应包括:
• 策略:
• 保护 IT 资源不受病毒感染。
• 检测、阻止和消除威胁。
• 报告需求,比如报告需要提供什么内容、应该提供给谁以及相隔多长时间提供一次。
• 管理来宾客户端。
• 获取安全软件的权限。
• 在发生病毒事件前,提前对应威胁。
• 管理对服务器、设备和客户端配置执行的更改。
• 监视网络和防病毒客户端以识别病毒事件。
• 过程:
• 引入并配置新的客户端计算机和来宾客户端计算机。
• 管理病毒事件并进行恢复。
• 与用户、IT 团队及管理团队进行交流。
• 管理服务器和客户端计算机。
• 检测***。
• 技术要求:
• 对台式机和服务器执行病毒病毒。
• 更新主机上的防病毒软件和病毒定义。
• 仅允许特定的软件在主机上运行。
• 支持操作系统和客户端设备。
• 对资源的访问进行身份验证和授权。
• 提供软件更新。
• 管理或配置计算机所允许的服务。
• 检测并阻止未经授权的文件传输程序,比如:即时消息、FTP 或 WebDAV。
• 病毒入口点,比如:
• 所有直接连接到 Internet(Internet、FTP、SharePoint 站点)的服务器。
• 客户端计算机。
• 文件服务器。
• 电子邮件服务器。
• 外部网络访问点。
• 远程访问点。
• 角色与职责,比如:
• 在 IT 环境中进行更改的签收程序。
• 系统管理员及 IT 团队的职责。
• 管理职责与采购权力。
防病毒政策概要向用户提供了具体的信息,确保他们的客户端计算机和操作符合企业的防病毒策略。防病毒政策概要应能在企业的 Intranet 站点上方便地获取,并应用于员工培训、客户端安全策略以及 IT 培训资料中。防病毒政策概要应提供以下信息:
• 政策的作用:防病毒政策概要应提供有关政策意图的具体说明,即保护企业 IT 资源。另外,还应说明必须安装规定的防病毒软件并遵守公司政策。
• 政策所适用的人群:防病毒政策概要应专门列出政策所适用的具体人群。它应适用于可能(不管是通过内部连接点,还是远程连接点)连接到公司资源的所有人员
• 政策声明: 防病毒政策概要应包含用户遵守公司防病毒政策所需的所有相关信息。
程序
程序是防病毒政策的产物。程序指执行防病毒政策所述任务所需的分步过程和说明。建议记录详细的步骤和过程,以提高 IT 管理员的效率,并帮助企业吸取经验教训。应该记录的程序包括:
• 安装防病毒软件和保持遵守防病毒政策的步骤。
• 通知管理员或获得可疑活动通知的步骤。
• 响应病毒事件的步骤。
• 对服务器、网关和设备配置防病毒软件的步骤。
意识
在制订防病毒策略时,用户和 IT 管理员的认识往往被忽视了。应该让 IT 管理员意识到企业的防病毒政策、防病毒软件以及恶意代码、广告软件和间谍软件的威胁。应该对这方面的知识进行评估,如果不完善的话,应该辅以培训。管理员的意识培训应针对以下几个方面:
• 如何引入了病毒威胁、会造成怎样的影响以及保护企业资产所需的防护措施。
• 如何保护网络的入口点。
• 如何保护客户端计算机,帮助用户避免引入病毒威胁。
• 如何与用户进行交流。
• 如何检测并禁用未经授权的通信链路,比如调制解调器、宽带连接和 *** 连接。
• 如何检验并实施防病毒政策。
• 如何配置并使用指定的防病毒软件。
用户常常不知道未经授权的代码是如何引入的,以及他们在保护企业免遭病毒威胁方面所扮演的角色。用户的意识培训应该包含以下信息:
• 有关企业防病毒政策的知识以及用户在保护环境安全方面所扮演的角色。
• 有关下载或安装未正式获得使用批准的软件的政策。
• 打开不认识的发件人发来的电子邮件中的附件存在的威胁。
• 打开认识的发件人发来的电子邮件中的不明附件存在的威胁。
• 有关将外部媒体(未经管理员扫描和检验)带入安全环境的政策。
• 从客户端计算机访问非商业站点存在的风险。
• 允许未经授权的脚本、宏、ActiveX 控件或其它代码在用户的计算机运行所存在的风险。
• 允许代码、脚本和控件在 Internet 浏览器窗口中运行(商业站点设定运行的签码除外)所存在的风险。
• 向不信任的个人提供商业或个人信息(特别是登录信息)所存在的风险。
• 有关使用弱密码的政策。
• 向管理员通告可疑活动及防病毒软件通知的程序。
物理安全性
物理安全性不是直接用于为环境防护恶意代码、间谍软件和广告软件的具体方法。但它有助于使企业的整体安全策略发挥有效的作用。假如不维护物理安全性,引入未经授权的代码的风险就要高很多。有关物理安全性的详细信息,请参阅位于以下 URL 地址处的 TechNet 专栏文章——“5 分钟安全顾问 - 基本物理安全性”:
[url]http://www.microsoft.com/technet/archive/community/[/url]
columns/security/5min/5min-203.mspx
网络和 Internet 防护
许多病毒都通过网络进行传送。病毒利用 Internet 进行传播和扩散。请考虑以下安全措施:
• 在 WindowsXP 客户端计算机上部署 Windows 防火墙,并对其配置进行管理。在其它所有客户端计算机上查找并安装个人防火墙。
• 仅部署安全的无线网络。查找并关闭未经授权的无线访问点。
• 在 Internet 和公司网络间,部署一个支持以下功能的防火墙:
• 网络***检测,可提供有关***事件的快速通知
• 网络筛选,用以阻止未经授权的 TCP 或 UDP 端口上的流量。
• 应用程序内容筛选,用以检查在批准的网络端口上传输的数据内容,比如扫描 HTTP 和 FTP 上的文件传输或电子邮件中的附件。
• URL 筛选,用以阻止 Web 浏览器访问下载服务器、外部邮件服务器以及其它高风险性的网站。
• 启用实时内容扫描(针对 Exchange Server),阻止电子邮件中的已知病毒。
• 对所有网络访问点应用相同的安全性。
有关为 Internet Security and Acceleration Server 2004 提供防病毒解决方案的合作伙伴列表,请访问以下 URL 地址:
[url]http://www.microsoft.com/isaserver/partners/[/url]
contentsecurity.asp
服务器防护
服务器及运行在其上的应用程序提供了核心共享服务功能,供客户端使用。所以,应该对服务器应用与客户端防护同样严格的措施。
有关强化服务器的指导不属于本解决方案所涉及的范畴。但是,本节列出了一些相关建议。
有关配置 Windows Server 2003 以及 Microsoft Exchange 2003 等 Microsoft 服务的详细信息,请参阅“强化系统和服务器:清单与指南”,具体 URL 地址如下:
[url]http://www.microsoft.com/technet/security/topics/[/url]
hardsys/default.mspx
改善服务器防护的总体建议包括:
• 通过删除不需要的服务和应用程序,缩小受***面。
• 在服务器上安装并维护防病毒软件。
• 安装可捕捉并删除间谍软件和广告软件的软件。
• 使用基于主机的防火墙来封锁未经授权的端口。
• 运用 Microsoft Baseline Security Analyzer (MBSA) 识别服务器配置中可能存在的任何漏洞。
有关 MBSA 的详细信息,请访问以下 URL 地址:
[url]http://www.microsoft.com/technet/security/tools/[/url]
mbsahome.mspx
• 实施一个修补程序管理解决方案,对服务器应用最新的操作系统和应用程序更新。
具体的防病毒建议如下:
• 在服务器上安装防病毒软件,并不断更新软件和病毒定义。
• 使用支持在以下服务器上运行关键的应用程序服务的防病毒软件:
• Exchange 服务器: 所需的功能:
• 对传入和传出的电子邮件及存储在邮箱中的邮件,以及公共文件夹中的共享信息执行病毒扫描。
• 识别并删除垃圾邮件。有关详细信息,请访问以下 URL 地址:
[url]http://www.microsoft.com/technet/community/events/[/url]
exchange2003/tnt1-132.mspx
• 文件服务器: 需要扫描文件共享和存储方面的功能。
• Windows SharePoint Services: 需要用于扫描存储在基于 Windows SharePoint Services 的网站上的文件的功能。
客户端防护
在 IT 基础结构中,许多用在服务器上的防护措施,也应该应用于客户端计算机。有关强化 Windows XP Professional 客户端计算机的指导信息不属于本指南所涉及的范畴。
有关强化 Windows XP Professional 客户端计算机的详细信息,请参阅“强化系统和服务器:清单与指南”,具体 URL 地址如下:
[url]http://www.microsoft.com/technet/security/topics/[/url]
hardsys/default.mspx
应施加于客户端计算机的安全防护措施包括:
• 通过删除不需要的服务和应用程序,缩小受***面。
• 使用 Windows XP Service Pack 2 (SP2),在客户端计算机上启用强大的 Windows 防火墙。
• 实施一个修补程序管理解决方案,对客户端计算机应用最新的操作系统和应用程序更新。
• 使用 GPO,对客户端进行安全配置,包括:
• 配置浏览器。
• 配置 Windows 防火墙。
• 若无法提供病毒扫描功能,则阻止由应用程序(比如:即时消息程序、FTP 或点对点文件共享)传输的文件。可通过封锁应用程序所用的网络端口,来实现上述操作。
有关如何对 Internet Explorer 进行安全配置的详细信息,请访问以下 URL 地址:
[url]http://www.microsoft.com/technet/security/prodtech/ie/[/url]
有关 Windows XP SP2 如何提高浏览器安全性的详细信息,请访问以下 URL 地址:
[url]http://www.microsoft.com/technet/prodtechnol/winxppro/[/url]
maintain/sp2brows.mspx
具体的防病毒建议如下:
• 在客户端计算机上,安装并维护防病毒软件。
• 安装可捕捉并删除间谍软件和广告软件的软件。
• 确保将防病毒软件设定为定期扫描文件系统。
• 在文件载入应用程序之前,启用文件扫描。
• 启用对电子邮件的客户端病毒扫描。
• 确保防病毒软件支持对常见广告软件和间谍软件应用程序的识别和清除。
• 确保防病毒软件支持对来自和发往 PDA(比如:基于 Windows Mobile 2003 的设备)的文件进行扫描。
• 确保防病毒软件支持对专门***关键应用程序(比如:Microsoft Office 应用程序)的病毒的识别和清除。
防病毒解决方案的设计
本节介绍了防病毒解决方案所必须支持的“中型企业系列 IT 解决方案”组件。另外,还列出了防病毒解决方案的功能要求,并提供了一个防病毒解决方案的设计建议。
中型企业系列 IT 解决方案的组件
在设计防病毒解决方案之前,首先了解一下中型 IT 环境中的服务和平台,具有重要的意义。防病毒解决方案必须支持下列服务:
• Active Directory® 目录服务。
• 网络服务,包括 DNS(域名系统)、DHCP(动态主机配置协议)和 WINS(Windows Internet 名称服务)。
• 安全的 Internet 连接服务。
• 文件服务。
• 协作服务。
• 消息传递服务。
• 打印服务。
• 远程访问服务。
• 证书服务。
• 修补程序管理服务。
• 数据保护和恢复服务。
下表列出了中型 IT 环境中的操作系统和服务:
• Windows Server 2003, Standard Edition。
• Windows XP(带 SP2)。
• Microsoft® Windows SharePoint™ Services。
• Microsoft Exchange Server 2003。
• Software Update Services。
• Microsoft Internet Security and Acceleration Server 2004。
注意:企业可能具有“中型企业系列 IT 解决方案”所述的全部或部分服务。另外,企业也可能具有“中型企业系列 IT 解决方案”中未涉及的服务。运用本指南所介绍的方法,修改防病毒解决方案的设计,以满足企业的具体要求。
建议的解决方案
防病毒解决方案设计说明了如何结合独立软件供应商 (ISV) 提供的防病毒软件,在中型 IT 环境中,实施防病毒解决方案体系结构。
首先,列出主要的设计元素,说明如何设计解决方案,以实施本指南的“规划”部分所述的防病毒政策。
其次,确定各个解决方案组件在中型 IT 环境中所处的具体位置,以及如何实施解决方案。
最后,确保所选的防病毒软件满足环境的基本功能要求。
设计元素
下表列出了解决方案的设计元素(按功能排序),并就所需的功能进行说明。
表 3. 防病毒解决方案的设计元素
设计实施
有关实施防病毒软件解决方案的建议如下:
1. 在辅助的基础结构服务器上,安装防病毒解决方案的管理组件。
2. 允许辅助的基础结构服务器与提供软件定义更新的防病毒厂商的服务器间的网络流量(通过 Internet 传输)。
3. 在所有台式机和服务器计算机(包括移动设备)上,安装防病毒软件。
4. 在客户端和服务器计算机(任何合适的地方)上,安装相关软件来防范间谍软件和广告软件。
5. 在 Exchange Server 2003 上,配置 IMF 以减少垃圾邮件。
6. 在 ISA Server 上安装应用程序内容筛选插件,以扫描网络流量。
中型 IT 环境中的防病毒解决方案实施如下图所示。
图 1. 中型 IT 环境中的防病毒解决方案
防病毒软件与解决方案组件通过以下过程进行交互:
1. 从防病毒厂商在 Internet 上的系统,定期更新病毒定义。
2. 更新病毒定义,并管理客户端计算机。
3. 更新病毒定义,并管理服务器。
功能要求
请确保所建议的防病毒解决方案满足环境的基本功能要求。
注意:当防病毒软件产品无法满足某个具体的要求时,请评估相关缺陷的影响,并与相应解决方案的优点进行权衡。单个防病毒软件解决方案不可能提供所有推荐的功能。可能需要结合多种产品,来满足一些有限的具体要求。
针对所需的功能评估防病毒解决方案时,请参考以下各表提供的功能要求清单。
表 4. 平台与应用程序兼容性清单
表 5. 网络网关与防火墙支持清单
表 6. Windows Server 2003 清单
表 7. Windows XP Professional 清单
表 8. Internet Security and Acceleration Server 清单
表 9. Microsoft Exchange Server 清单
表 10. Windows SharePoint Services 清单
表 11. 管理清单
表 12. 支持清单
如果可能的话,请确定防病毒软件在性能和稳定性方面,对客户端、设备和服务器造成的影响。启用了所有功能的防病毒软件会影响客户端、服务器和服务的性能。执行以下操作,来确定防病毒软件的性能和稳定性:
1. 在隔离的测试环境中,将软件部署在测试客户端计算机或服务器上。
2. 确认软件是否已经过测试和认证。
3. 确保软件供应商是 Microsoft 的合作伙伴。
4. 向供应商咨询有关他们产品的性能数据。
5. 通过在新闻组或其它 Internet 论坛上,查找相关客户的成功案例,全面研究供应商的产品。
在挑选防病毒软件供应商时,另一项重要的事宜就是评估具体解决方案的成本。权衡软件的成本和功能,并确保所选的软件解决方案可满足企业解决方案的设计目标。
有许多种方法可用于评估防病毒解决方案的成本。下表提供了一种示例方法,根据第一年的成本优势,来评估防病毒解决方案。
表 13. 防病毒解决方案成本评估示例
防病毒解决方案的配置
本节提供了有关在中型 IT 环境中,部署防病毒解决方案的指导信息。
请在构建防病毒解决方案之前,收集所有必要的信息信息。您需要一份综合的列表,列出您在环境中使用的所有系统和应用程序,以便在所需的目标上安装有关软件。
客户端
防病毒解决方案的集中管理组件应能发现环境中的所有客户端设备,并自动安装代理软件。
1. 配置 Windows 防火墙,允许远程安装客户端软件。
2. 通过执行以下步骤,对 MSN Messenger 启用文件传输的病毒扫描:
1. 在 MSN Messenger 应用程序的主窗口中,打开“工具”菜单,然后选择“选项”。
2. 单击“消息”选项卡。
3. 在“文件传输”部分,选择“使用下列程序扫描病毒”复选框。
4. 单击“浏览”按钮,并选择客户端计算机所用的防病毒软件的可执行文件。
5. 单击“确定”。
注意:在上述步骤中,查找所要使用的正确的可执行文件和所要包含的命令参数,可能需要您的防病毒软件供应商提供额外的支持。完成上述步骤后,防病毒软件将在客户端计算机上,自动扫描通过 MSN Messenger 接收的所有文件。您的防病毒软件供应商可能需要针对该选项,提供额外的配置步骤。
服务器
防病毒解决方案的集中管理组件应能发现环境中的所有服务器,并自动安装代理软件。
Active Directory 服务器
在 Active Directory 服务器上部署防病毒解决方案之前,确保软件可兼容,并在测试环境中对配置进行了全面的测试。
有关 Microsoft 的防病毒和域控制器最佳实践的信息,请访问以下 URL 地址:
[url]http://support.microsoft.com/default.aspx?scid=kb[/url];en-us;822158
Exchange 服务器
需要一个专门针对 Exchange Server 2003 设计的代理。确保防病毒软件不会直接扫描 Exchange 文件,并按照供应商的软件使用说明,正确安装并配置了防病毒软件。在生产服务器上应用之前,应该先在非生产环境中,对用于防病毒的 Exchange 代理软件进行全面的测试。
有关 Exchange 2003 电子邮件扫描的详细信息,请参阅知识库文章 823166:“Exchange Server 2003 与防病毒软件概述”,具体 URL 地址如下:
[url]http://support.microsoft.com/?kbid=823166[/url]
有关 Exchange 中用于减少用户接收到的垃圾邮件的智能邮件筛选器 (IMF) 功能的详细信息,请访问以下 URL 地址: [url]http://support.microsoft.com/default.aspx?scid=kb[/url];en-us;842763
Windows SharePoint Services
在生产服务器上应用之前,应先在非生产环境中,对防病毒软件进行全面的测试。通过执行以下步骤,对 Windows SharePoint Services 服务器启用防病毒保护:
1. 使用管理员帐户登录 Windows SharePoint Services 服务器。
2. 从“开始”菜单,打开“管理工具”,然后单击“SharePoint 管理中心”。
1. 在“SharePoint 管理中心”页面上,选择“安全配置”中的“配置防病毒设置”链接。
2. 选定“在上载时扫描文档”复选框。
3. 选定“在下载时扫描文档”复选框。
4. 选定“尝试清理受感染的文档”复选框。
5. 单击“确定”。
网络
运用应用程序内容筛选的病毒扫描非常重要。配置防病毒软件以便:
• 扫描传入和传出的电子邮件流量。
• 识别传入的垃圾邮件。
• 对已筛选的内容(比如:http、即时消息程序和 FTP 流量),执行病毒扫描。
中型企业防病毒指南
操作
下面几节提供了有关运行和管理防病毒解决方案的一些重要建议。
本页内容
日常运行
更新定义(签名)
突发事件控制与恢复
日常运行
以下是一些需要执行的日常运行步骤:
• 签名更新: 应将防病毒解决方案配置为,自动下载最新的软件和病毒定义及更新。理想上,只要有更新可用,就应对相应的病毒定义进行更新。否则,应尽可能设定较短的更新频率。
• 向 Microsoft 及其它供应商申请订阅服务,以获得最新的信息和更新: 每天浏览新闻组以及供应商提供的有关潜在恶意软件的信息。负责防病毒解决方案及安全相关事宜的管理员应向 Microsoft 及防病毒软件厂商(可能的话)申请订阅服务,以便接收有关新型病毒的安全警报和更新。
若要注册并获取 Microsoft 安全及病毒更新,请访问以下 URL:
• 更新的病毒警报
[url]http://www.microsoft.com/technet/security/alerts/[/url]
default.mspx
• Microsoft 安全通信中心
[url]http://www.microsoft.com/technet/security/signup/[/url]
default.mspx
• 检查系统事件和警报: 检查系统事件和警报,并配置防病毒软件:
• 发现病毒事件后,立即发出警报。
• 生成报告和统计数字,供管理员每日查看。
选定了防病毒软件解决方案后,根据相关软件厂商的建议,制定具体的操作步骤。
更新定义(签名)
应有针对客户端、服务器和网络防病毒软件的现成的安全更新管理流程。该流程应分为以下几个阶段:
1. 检查更新:应有现成的防病毒自动通知流程,用以通知主机存在可用的更新。
2. 下载更新:只要有更新可用,就应对中央管理系统进行更新。
3. 测试更新:如果可能的话,应在应用于生产环境中的计算机之前,先对软件更新进行测试。
4. 部署更新:在测试并验证了更新后,应使用中央管理控制台,将其分发给客户端。
突发事件控制与恢复
Microsoft TechNet 网站上的“深层防护病毒指南”提供了有关病毒事件的控制和恢复的详细流程指导。
有关该流程的详细信息,请参阅“第 4 章:突发事件控制与恢复”,具体地址如下:
[url]http://www.microsoft.com/technet/security/topics/[/url]serversecurity/avdind_4.mspx
中型企业防病毒指南
总结
本指南提供了有关如何应对恶意代码、间谍软件和广告软件威胁的信息。另外,还提供了有关在中型 IT 环境中,实施防病毒解决方案的建议和指导。本指南适用的范围比较灵活,类似中型 IT 环境的各类环境均可满足其要求。
9448
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
