惡意軟件威脅方法及防護技巧

　　所有組織都應該開發將提供高級別保護的防病毒解決方案。但是，甚至是在安裝了防病毒軟件後，許多組織仍然感染了病毒。本指南提出了解決惡意軟件（或 malware）問題的一種不同方法。與網絡安全設計一樣，自學教程，Microsoft 建議設計防病毒解決方案時采用深層防護方法，5自學網，以便幫助確保組織在設計時采用的安全措施將得到可能的維護。

　　這樣的方法對於組織的計算機安全是極其重要的，因為不管計算機系統提供多少有用的功能或服務，都會有人（無論出於什麼原因）將試圖找到漏洞以便惡意利用它，這是一件不幸的事。

　　與在各種環境中實施了 Microsoft? Windows Server? 2003、Windows? XP Professional 和 Windows? 2000 的顧問和系統工程師協作，有助於建立保護運行這些操作系統的客戶端和服務器免受惡意軟件攻擊的最新的最佳做法。本章為您提供此信息。

　　本章還提供指導以幫助您在為組織設計防病毒安全解決方案時使用深層防護方法。此方法的目的是確保您了解模型的每個層以及對應於每個層的特定威脅，以便您可以在實施自己的防病毒措施時使用此信息。

　　注意：Microsoft 建議在您組織的一般安全過程和策略中包括本指南中的某些步驟。在出現這樣的情況時，本指南會指明要求組織的安全小組進一步定義。

　　如果您是在遇到惡意軟件的攻擊並進行恢復之後閱讀本指南，則提供的信息旨在幫助您防止再次發生這樣的攻擊以及更好地了解以前的攻擊是如何發生的。

　　惡意軟件的威脅方法

　　惡意軟件可以通過許多方法來損害組織。這些方法有時稱為"威脅方法"，它們代表在設計有效的防病毒解決方案時您的環境中最需要引起注意的區域。下面的列表包括典型組織中最容易受到惡意軟件攻擊的區域：

　　• 外部網絡。沒有在組織直接控制之下的任何網絡都應該認為是惡意軟件的潛在源。但是，Internet 是最大的惡意軟件威脅。Internet 提供的匿名和連接允許心懷惡意的個人獲得對許多目標的快速而有效訪問，以使用惡意代碼發動攻擊。 　　• 來賓客戶端。隨著便攜式計算機和移動設備在企業中的使用越來越廣泛，設備經常移入和移出其他組織的基礎結構。如果來賓客戶端未采取有效的病毒防護措施，則它們就是組織的惡意軟件威脅。 　　• 可執行文件。具有執行能力的任何代碼都可以用作惡意軟件。這不僅包括程序，而且還包括腳本、批處理文件和活動對象（如 Microsoft ActiveX? 控件）。 　　• 文檔。隨著文字處理器和電子表格應用程序的日益強大，它們已成為惡意軟件編寫者的目標。許多應用程序內支持的宏語言使得它們成為潛在的惡意軟件目標。 　　• 電子郵件。惡意軟件編寫者可以同時利用電子郵件附件和電子郵件內活動的超文本標記語言 (HTML) 代碼作為攻擊方法。 　　• 可移動媒體。通過某種形式的可移動媒體進行的文件傳輸是組織需要作為其病毒防護的一部分解決的一個問題。其中一些更常用的可移動媒體包括：

　　• CD-ROM 或 DVD-ROM 光盤。廉價的 CD 和 DVD 刻錄設備的出現使得所有計算機用戶（包括編寫惡意軟件的用戶）都可以容易地訪問這些媒體。 　　• 軟盤驅動器和 Zip 驅動器。這些媒體不再像以前那樣流行了，原因是其容量和速度有限，但是如果惡意軟件可以物理訪問它們，則它們仍然會帶來風險。 　　• USB 驅動器。這些設備具有多種形式，從經典的鑰匙圈大小的設備到手表。如果可以將所有這些設備插入主機的通用串行總線 (USB) 端口，則這些設備都可以用於引入惡意軟件。 　　• 內存卡。數字照相機和移動設備（如 PDA 和移動電話）已經幫助建立了數字內存卡。卡閱讀器正日益成為計算機上的標准設備，使用戶可以更輕松地傳輸內存卡上的數據。由於此數據是基於文件的，因此這些卡也可以將惡意軟件傳輸到主機系統上。

　　惡意軟件防護方法

　　在針對惡意軟件嘗試組織有效的防護之前，需要了解組織基礎結構中存在風險的各個部分以及每個部分的風險程度。Microsoft 強烈建議您在開始設計防病毒解決方案之前，進行完整的安全風險評估。優化解決方案設計所需的信息只能通過完成完整的安全風險評估獲得。

　　有關進行安全風險評估的信息和指導，請參閱"Microsoft Solution for Securing Windows 2000 Server"（保護 Windows 2000 Server 的 Microsoft 解決方案）指南。此指南介紹了安全風險管理規則 (SRMD)，您可以使用它了解您的組織所面臨風險的特性。

　　深層防護安全模型

　　在發現並記錄了組織所面臨的風險後，下一步就是檢查和組織您將用來提供防病毒解決方案的防護措施。深層防護安全模型是此過程的極好起點。此模型識別出七級安全防護，它們旨在確保損害組織安全的嘗試將遇到一組強大的防護措施。每組防護措施都能夠阻擋多種不同級別的攻擊。如果您不熟悉深層防護安全模型，Microsoft 建議您查看 Microsoft TechNet 上的"Security Content Overview"（安全內容概述）頁。

　　您還可以在 TechNet 上的"MSA Reference Architecture Kit"（MSA 參考體系結構工具包） 中找到此過程的其他信息和實用設計示例。

　　下圖說明為深層防護安全模型定義的各層：

圖 3.1 深層防護安全模型的各層

　　圖中的各層提供了在為網絡設計安全防護時，環境中應該考慮的每個區域的視圖。

　　您可以根據組織的安全優先級和要求，修改每層的詳細定義。為了便於在本指南中講述，下面的簡單定義對模型的各層進行了定義：

　　• 數據層。數據層上的風險源自這樣的漏洞：攻擊者有可能利用它們獲得對配置數據、組織數據或組織所用設備獨有的任何數據的訪問。例如，敏感數據（如機密的業務數據、用戶數據和私有客戶信息存儲）都應該視為此層的一部分。在模型的此層上，組織主要關注的是可能源自數據丟失或被盜的業務和法律問題，以及漏洞在主機層或應用程序層上暴露的操作問題。 　　• 應用程序層。應用程序層上的風險源自這樣的漏洞：攻擊者有可能利用它們訪問運行的應用程序。惡意軟件編寫者可以在操作系統之外打包的任何可執行代碼都可能用來攻擊系統。在此層上組織主要關注的是：對組成應用程序的二進制文件的訪問；通過應用程序偵聽服務中的漏洞對主機的訪問；不適當地收集系統中特定數據，以傳遞給可以使用該數據達到自己目的的某個人。 　　• 主機層。提供 Service Pack 和修復程序以處理惡意軟件威脅的供應商通常將此層作為目標。此層上的風險源自利用主機或服務所提供服務中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統發動攻擊。緩沖區溢出（它是因添加到緩沖區的信息量比緩沖區的設計容量更大而產生的情況）就是一個良好的示例。在此層上組織主要關注的是阻止對組成操作系統的二進制文件的訪問，以及阻止通過操作系統偵聽服務中的漏洞對主機的訪問。 　　• 內部網絡層。組織內部網絡所面臨的風險主要與通過此類型網絡傳輸的敏感數據有關。這些內部網絡上客戶端工作站的連接要求也具有許多與其關聯的風險。 　　• 外圍網絡層。與外圍網絡層（也稱為 DMZ、網絡隔離區域或屏幕子網）關聯的風險源自可以訪問廣域網 (WAN) 以及它們所連接的網絡層的攻擊者。模型此層上的主要風險集中於網絡可以使用的傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 端口。

　　• 物理安全層。物理層上的風險源自可以物理訪問物理資產的攻擊者。此層包括前面的所有層，因為對資產的物理訪問又可以允許訪問深層防護模型中的所有其他層。使用防病毒系統的組織在模型的此層上主要關注的是阻止感染文件避開外圍網絡和內部網絡的防護。攻擊者可能只是通過某個物理可移動媒體（如 USB 磁盤設備）將感染文件直接復制到主機，試圖做到這一點。 　　• 策略、過程和意識層。圍繞安全模型所有層的是，您的組織為滿足和支持每個級別的要求需要制定的策略和過程。最後，提高組織中對所有相關方的意識是很重要的。在許多情況下，忽視風險可以導致安全違反。由於此原因，培訓也應該是任何安全模型的不可缺少的部分。

　　通過將模型的安全層用作深層病毒防護方法的基礎，您就可以重新集中視圖以便將它們優化到組織中病毒防護的分組中。在組織中進行此優化的方式完全取決於組織指定的優先級和它所使用的特定防護應用程序。重點是通過確保沒有從防護中排除任何安全層，來避免不完整的和弱化的防病毒設計。下圖顯示更集中的深層病毒防護視圖：

圖 3.2 集中的深層病毒防護視圖

　　可以將數據層、應用程序層和主機層組合到兩個防護策略中，以保護組織的客戶端和服務器。雖然這些防護共享許多公共策略，但是實施客戶端和服務器防護方面的差異足以保證對於每個防護都是唯一的防護方法。

　　內部網絡層和外圍層也可以組合到一個公共網絡防護策略中，因為這兩個層所涉及的技術是相同的。每個層中的實施細節將是不同的，具體取決於組織基礎結構中的設備位置和技術。