如論你是在努力阻止惡意軟件的感染,還是要控制已經進入你的Windows系統中的病毒或者蠕蟲的傳播,網站專家Kevin Beaver將在分為兩部分的講座中提供一些指南,幫助你控制這個問題。第一部分介紹控制惡意軟件采取的步驟。下面是第二部分,介紹如何從一開始就阻止惡意軟件的爆發。 阻止惡意軟件爆發 要記住,一種惡意軟件永遠不爆發是不可能的。然而,如果你現在采取下列安全措施,當基於Windows的網絡下一次再受到同樣的攻擊時,你就會為你的機構亡羊補牢。 1.將你的行動步驟存檔 使用一個事件反應計劃。這種計劃沒有必要做得非常精細,特別是在一開始的時候。這個計劃至少要有存檔檢測、調查、限制、清除和恢復等各個步驟的做法。開始制定這種計劃的最好方法是參考NIST的“計算機安全事件處理指南”。 2.阻止訪問NetBIOS和MSRPC端口 要阻止對你的系統實施的自動攻擊和窺探,你要阻止訪問TCP端口135、139和445以及UDP端口135、137和445。這聽起來好像是一件小事情,但是,我聽說很多系統,甚至一些公共訪問的系統,都受到這種安全漏洞的影響。 3.關閉或者限制WSH(Windows腳本主機服務)和ActiveX 在服務器和工作站中應該關閉這些控件。要使用生產應用程序對你的設置進行認真測試,確認沒有任何應用程序會因此停止工作。 4.實施組策略安全措施 應該執行組策略或者本地安全策略設置以便加強Windows的防御能力,防御某些東西突破系統時實施的攻擊。我以前發表的指南中提供了一個很好的出發點。 5.必須擁有基於主機的保護 基於周邊設備的保護措施是很好的,但是,你必須使用基於主機的保護措施,不僅要阻止而且要限制通過網頁和電子郵件附件等下載惡意軟件。這是非常重要的,因為惡意軟件會從不同的角度實施攻擊。主機保護能夠幫助封鎖不必要的訪問NetBIOS和MSRPC服務,阻止本地軟件在沒有得到用戶或者管理員允許的情況下與外界通話。Windows防火牆在這方面沒有多大幫助作用。但是,微軟新的AntiSpyware軟件的確在這方面提供了保護作用。最佳方法是采用ZoneAlarm、賽門鐵克的Client Security和我喜歡的BlackICE等功能齊全的基於主機的IDS/IPS系統。 6.使用啟發式保護功能 在你的殺毒軟件中應該使用啟發式保護功能,幫助你檢測基本的惡意軟件的異常行為。 7.不打折扣地使用殺毒軟件 你需要創建一個分層次的防御體系。在進行安全評估的時候,我發現很多系統沒有防御間諜軟件及其變體的措施。還要考慮其它基於異常行為的檢測,采用Finjan和Sana Security等公司的阻止惡意程序的軟件。 8.配備隨時可以使用的網絡分析器 選擇一款你感到合適的分析器,以便監視網絡通信和觀察惡意軟件在做什麼。如果你感覺使用這種軟件合適的話,免費的Ethereal是一種很好的分析器軟件。我還發現一些商業性的網絡分析器軟件在這類解決方案中非常有效,特別是這些軟件非常容易使用。研究一下用於有線網絡的工具軟件,如CommView、EtherPeek和Sniffer Portable,以及用於無線網絡的工具軟件,如AiroPeek、AirMagnet Laptop Analyzer和Sniffer Wireless。在我的網絡直播中介紹的監視和修復電子郵件通信的網絡分析器用法指南和“網絡分析器:你不能沒有的安全工具”的文章中,,你會發現網絡分析器更多的價值。 防御的重要性怎樣說都不過分的,特別是在惡意軟件爆發來臨的時候。使用內置的Windows控制和第三方產品建立分層次的防御體系並且結合某些需要做什麼的基本文件是你必須要做的全部事情。你能夠做的就是這些。
