網(wǎng)管員必讀——網(wǎng)絡(luò)安全(第2版)第二章.ppt

1、第2章 病毒、木馬和惡意軟件的清除與預(yù)防,本章介紹的是計算機病毒、木馬和惡意軟件相關(guān)基礎(chǔ)知識，并通過具體的實用工具介紹相應(yīng)的清除與預(yù)防方法。本章重點如下： 計算機病毒的主要特征 計算機病毒的分類及各自主要特點 蠕蟲病毒的主要特征及通用清除和預(yù)防方法 維金病毒、熊貓燒香病毒和ARP病毒的查找與清除方法 木馬的偽裝和運行方式 木馬的通用清除和預(yù)防方法 灰鴿子的查找和清除方法 惡意軟件的主要特征及運行機制 惡意軟件的分類、預(yù)防方法和清除 惡意代碼的預(yù)防方法 惡意軟件的深度防護方法,2.1 認(rèn)識計算機病毒,2.1.1 計算機病毒的演變 上世紀(jì)80年代初出現(xiàn)了第一批計算機病毒。1986年，媒體報道了攻擊

2、MS-DOS個人計算機的第一批病毒，人們普遍認(rèn)為Brain病毒是這些計算機病毒中的第一種病毒。1988年出現(xiàn)了第一個Internet蠕蟲病毒 1990年，網(wǎng)上出現(xiàn)了病毒交流布告欄，成為病毒編寫者合作和共享知識的平臺。接著在1992年，出現(xiàn)了第一個多態(tài)病毒引擎和病毒編寫工具包。自那時起，病毒就變得越來越復(fù)雜，病毒開始訪問電子郵件通信簿，并將其自身發(fā)送到聯(lián)系人，宏病毒將其自身附加到各種辦公類型的應(yīng)用程序文件并攻擊這些文件，此外還出現(xiàn)了專門利用操作系統(tǒng)和應(yīng)用程序漏洞的病毒。 目前計算機病毒仍是計算機和網(wǎng)絡(luò)安全的最主要威脅之一，其特點主要表現(xiàn)不僅是計算機病毒的數(shù)量非常多，而且這些新病毒都在不斷變種，難

3、以發(fā)現(xiàn)和清除，危害性也都非常大。,2.1.2 什么是非惡意軟件,以前我們通常是這樣理解惡意軟件，那就是對我們可能造成威脅的都應(yīng)算是惡意軟件，其實現(xiàn)在通常不這么認(rèn)為。有許多存在的威脅并不被認(rèn)為是惡意軟件，因為它們不是具有惡意的計算機程序。常見類型的非惡意軟件如下： 玩笑軟件 惡作劇 欺詐軟件 垃圾郵件 間諜軟件 彈出廣告軟件 Internet Cookie 本節(jié)詳細(xì)內(nèi)容參見書本P44P45頁。,2.1.2 計算機病毒的產(chǎn)生,計算機病毒產(chǎn)生的根源一般是：開玩笑，搞惡作??；測試自己的病毒程序開發(fā)能力；出于個人報復(fù)；用于版權(quán)保護。具體內(nèi)容參見書中介紹。,2.1.3 計算機病毒的主要特點,計算機病毒綜合

4、起來的主要特點表現(xiàn)在如下幾個方面： 未經(jīng)授權(quán)而執(zhí)行 具有傳染性 具有隱蔽性 具有潛伏性 具有破壞性 不可預(yù)見性,2.2 計算機病毒的分類,2.2.1 按傳播媒介分 按照計算機病毒的傳播媒介來分類，可分為單機病毒和網(wǎng)絡(luò)病毒兩種。2.2.2 按照計算機病毒的鏈接方式分 按照計算機病毒的鏈接方式分類，計算機病毒可分為：源碼型病毒、嵌入型病毒、外殼型病毒和操作系統(tǒng)型病毒四種。2.2.3 按破壞程度分 按破壞程度可分為良性病毒、惡性病毒、極惡性病毒和災(zāi)難性病毒四種。2.2.4 按傳染方式分 按傳染方式分為引導(dǎo)型病毒、文件型病毒和混合型病毒三種。 以上各種類型計算機病毒的特征和危害參見書中介紹。,2.3

5、計算機病毒防護軟件,在計算機病毒防護軟件中，又可分為單機版和網(wǎng)絡(luò)版（也有稱“企業(yè)版”的）。單機版顧名思義只是對單一主機進行病毒防護和清除，適用于單機的個人用戶選擇；而網(wǎng)絡(luò)版則是針對整個網(wǎng)絡(luò)進行病毒防護，適用于企業(yè)用戶選擇。 2.3.1 單機版殺病毒軟件 本節(jié)介紹了卡巴斯基因特網(wǎng)安全套裝6.0個人版、AVG Anti-Virus System 7.5、趨勢科技PC-cillin Internet Security 2006和小紅傘AntiVir Personal Edition 6.37這六款單機版殺毒軟件的基本特征和主要功能。具體內(nèi)容參見書中介紹。2.3.2 網(wǎng)絡(luò)版殺毒軟件 本節(jié)介紹了國產(chǎn)的金

6、山毒霸網(wǎng)絡(luò)版2.0、江民殺毒軟件KV網(wǎng)絡(luò)版2006和瑞星殺毒軟件網(wǎng)絡(luò)版三款網(wǎng)絡(luò)牒殺毒軟件的組成和主要功能。具體內(nèi)容參見書中介紹。,2.4 網(wǎng)絡(luò)蠕蟲病毒的清除與預(yù)防,2.4.1 網(wǎng)絡(luò)蠕蟲的定義和危害性 蠕蟲這個生物學(xué)名詞在1982年由Xerox PARC 的John FShoch等人最早引入計算機領(lǐng)域，并給出了計算機蠕蟲的兩個最基本特征，即可以從一臺計算機移動到另一臺計算機，并且可以自我復(fù)制。 2.4.2 網(wǎng)絡(luò)蠕蟲的基本特征 可以歸納出網(wǎng)絡(luò)蠕蟲的行為特征如下：主動攻擊；行蹤隱蔽；利用系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)漏洞；造成網(wǎng)絡(luò)擁塞；降低系統(tǒng)性能；產(chǎn)生安全隱患；反復(fù)性；蠕蟲病毒編寫簡單；傳播方式多樣。 以上兩

7、節(jié)的具體內(nèi)容參見書中介紹。,2.4.3 預(yù)防網(wǎng)絡(luò)蠕蟲的基本措施,1企業(yè)網(wǎng)絡(luò)蠕蟲病毒的預(yù)防 對于企業(yè)用戶而言，在預(yù)防網(wǎng)絡(luò)蠕蟲上應(yīng)注意以下幾個方面： 及時更新系統(tǒng)安全補丁 建立病毒檢測系統(tǒng) 建立應(yīng)急響應(yīng)系統(tǒng) 建立災(zāi)難備份系統(tǒng) 把郵件存放在其他分區(qū) 從郵件分析中發(fā)現(xiàn)蠕蟲病毒 慎用郵件預(yù)覽功能 當(dāng)心可執(zhí)行文件 定期升級病毒庫 及時升級系統(tǒng)或應(yīng)用程序安全補丁,其他安全措施 2個人用戶對蠕蟲病毒的防范措施 對于個人用戶而言，在預(yù)防蠕蟲病毒上要注意以下幾個方面： 選擇合適的殺毒軟件 經(jīng)常升級病毒庫 不要輕易訪問陌生的站點 不隨意查看陌生郵件，尤其是帶有附件的郵件,2.4.4 維金病毒的查找與清除,維金蠕蟲病

8、毒主要通過網(wǎng)絡(luò)共享傳播，病毒會感染電腦中所有的.exe可執(zhí)行文件。 維金病毒運行后，修改注冊表項自行啟動，以使自己隨系統(tǒng)一起運行，向C盤“Program Files”和“Program Filesmicorsoft”文件夾下生成svhost32.exe文件；在C盤WINDOWS目錄下（Windows 2000系統(tǒng)是在Winnt目錄下）生成以下病毒文件：explorer.exe、logo1_.exe、rundll32.exe、rundl132.exe、dll.dll；在“Windowsintel”文件夾下生成rundl132.exe文件。簡單的說，就是在進程里面可以看到：logo1_.exe文件

9、在運行著。 有關(guān)維金病毒的破壞力和感染后的主要癥狀，以及清除方法請參見書中介紹。,2.4.5 熊貓燒香蠕蟲病毒的查找與清除,“熊貓燒香”（Worm.WhBoy.h）是一個感染型的蠕蟲病毒。它能感染系統(tǒng)中的.exe，com，.pif，.src，.html，.asp等文件，中止絕大部分的殺毒軟件進程，并且刪除擴展為.gho的文件。該文件是一系統(tǒng)備份工具GHOST的備份文件，最終使電腦用戶的系統(tǒng)文件丟失，導(dǎo)致無法正常使用。同時該病毒還能終止大量反病毒軟件（包括天網(wǎng)防火墻、virusSca、nNOD32、金山毒霸/網(wǎng)鏢、瑞星、江民、黃山IE、超級兔子、優(yōu)化大師、注冊表編輯器、卡巴斯基和Symantec

10、 AntiVirus）進程，大大降低用戶系統(tǒng)的安全性。 有關(guān)熊貓燒香病毒感染后的主要癥狀，以及清除方法請參見書中介紹。,2.5 ARP病毒的清除與預(yù)防,2.5.1 ARP病毒攻擊原理 ARP病毒利用的是ARP協(xié)議在網(wǎng)絡(luò)通信中的作用。ARP協(xié)議就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進行。通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（MAC地址）。 而交換機在數(shù)據(jù)通信過程中又是通過MAC地址來識別目的主機地址的。這個MAC是保存在交換機的緩存中的，這樣一來如果緩存中的MAC地址列表有誤，交換機就會把數(shù)據(jù)包發(fā)送到錯誤的目的主機上，造成真正的網(wǎng)絡(luò)通信失敗。ARP病毒

11、就是通過ARP協(xié)議來修改主機和交換機中的MAC地址列表，以此來達(dá)到破壞的目的。 具體的攻擊原理參見書中介紹。2.5.2 ARP病毒的清除與預(yù)防（略，參見書中介紹）,2.6 認(rèn)識木馬,2.6.1 木馬簡介 木馬程序不同于病毒程序那樣感染文件，而是作為一種駐留程序隱藏在系統(tǒng)內(nèi)部。木馬一般是以尋找后門、竊取密碼和重要文件為主，還可以對電腦進行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強的隱蔽性、突發(fā)性和攻擊性。由于木馬具有很強的隱蔽性，用戶往往是在自己的密碼被盜、機密文件丟失的情況下才知道自己中了木馬。本節(jié)要向大家介紹如何檢測自己的計算機是否中了木馬，以及中了木馬如何清除，平常應(yīng)做的防范措施又有哪

12、些等方面的內(nèi)容。 一個完整的木馬系統(tǒng)由硬件部分、軟件部分和網(wǎng)絡(luò)連接3部分組成。這三部分的具體內(nèi)容參見書中介紹。2.6.2 木馬的偽裝方式 木馬的偽裝方式主要有以下幾種：修改圖標(biāo)、捆綁文件、假裝出錯顯示、定制端口、自我銷毀、自動更名。具體參見書中介紹。,2.6.3 木馬的運行方式,1. 木馬的觸發(fā)條件 木馬的觸發(fā)條件一般出現(xiàn)在下面幾個地方：注冊表、win.ini文件、system.ini文件、Autoexec.bat文件、Config.sys文件、其他.ini文件、啟動菜單、捆綁文件。2木馬的運行過程 木馬被激活后，進入內(nèi)存，并開啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。這時服務(wù)器端用戶可以在

13、MS-DOS方式下，鍵入netstat -an命令查看端口狀態(tài)。一般個人電腦在脫機狀態(tài)下是不會有端口開放的，如果有端口開放，就要注意是否感染木馬了。,2.6.4 木馬的手工查殺與防范,手工檢測木馬的方法有多種，但常用的可以采用以下幾種主要方式： 查看開放端口 通常使用一些專門的工具軟件進行，如Windows系統(tǒng)自帶的netstat命令，它的語法格式為：netstat -a -e -n -o -p Protocol -r -s Interval。通過運行這個命令即可查看當(dāng)前系統(tǒng)中哪些端口正在使用，再與當(dāng)前系統(tǒng)中打開的軟件系統(tǒng)相比較就可以比較容易地分析出哪些端口是正在被木馬軟件利用。 還有一款Fp

14、ort軟件，與netstat工具類似，但功能更加強大，是一款非常流行的端口檢測軟件。圖形化界面工具Active Ports則一款可以在圖形界面中操作的端口檢測軟件。它們都可以查看當(dāng)前打開了哪些端口，然后與當(dāng)前系統(tǒng)中正常軟件系統(tǒng)使用的端口和本書后面提供的木馬軟件使用的端口表對照即可發(fā)現(xiàn)自己的系統(tǒng)是否中了木馬。,查看win.ini和system.ini系統(tǒng)配置文件 因為木馬程序會經(jīng)常修改win.ini和system.ini這兩個文件，以達(dá)到隱藏，并且隨系統(tǒng)啟動而自動啟動的目的，所以在一定程度上我們通過查看這兩個文件是否有被修改可以判別是否中了木馬。當(dāng)然并不是所有木馬程序都會修改這兩個文件，而且要想

15、從這兩個文件中發(fā)現(xiàn)是否被修改也是有相當(dāng)難度的，至少要知道相應(yīng)木馬修改這兩個文件的一般特征，才有針對性地去查看。 有的木馬是通過修改win.ini文件中windows節(jié)中的“l(fā)oad=”和“run=”項語句實現(xiàn)自動加載的。在system.ini文件中通常是修改boot節(jié)中的語句。所以我們著重要查看這兩個文件中的這兩節(jié)中的語句，看它們所加載的程序是否屬于正常程序。一些常見木馬的清除方法也將在本書附錄列舉。 查看啟動程序 要查看系統(tǒng)啟動文件，可以通過系統(tǒng)配置程序進行，在“運行”窗口輸入msconfig命令，在打開的對話框中選擇“啟動”選項卡，如圖2-1所示。,查看系統(tǒng)進程 通常可以通過查看系統(tǒng)進程來

16、推斷木馬是否存在，只是由于我們不是對所有正常進程的名稱和用途完全了解，所以難以區(qū)分哪個進程是木馬程序進程而已。系統(tǒng)進程的查看可以在Windows NT/XP系統(tǒng)中，按下CTRL+ALT+DEL組合鍵來打開進程對話框進行。,圖2-1：“系統(tǒng)配置實用程序”窗口“啟動”選項卡,2.6.5 木馬的軟件自動清除和預(yù)防,1自動查殺木馬的方法 雖然可以通過前面介紹的方法達(dá)到清除木馬的目的，但是大多數(shù)用戶，對于大多數(shù)木馬都是通過各種殺毒軟件、木馬專殺工具等進行查殺的。 目前主要的殺毒軟件品牌有金山、瑞星、江民、諾頓、趨勢、卡巴斯基、AVG和小紅傘等。前3種國內(nèi)品牌目前的最新版本均為2007版。經(jīng)筆者試用后，認(rèn)

17、為AVG和卡巴斯基在木馬查殺方面的能力較強，也是筆者一直在用的兩款木馬查殺軟件。 專門的木馬查殺工具主要有The Cleaner、木馬克星、木馬終結(jié)者和反間諜專家等。 2木馬的預(yù)防 針對那些已知使用特定端口的木馬，用戶可以采取關(guān)閉所使用端口的方法，以達(dá)到預(yù)防木馬入侵的目的。端口的具體關(guān)閉方法參見書中介紹。,2.6.6 灰鴿子的清除與預(yù)防,1認(rèn)識灰鴿子 灰鴿子病毒英文名為win32.hack.huigezi。其實它原來一直是用于正當(dāng)用途，那就是用于正常用途遠(yuǎn)程控制，主要用于遠(yuǎn)程網(wǎng)絡(luò)管理，就像Pcanywhere、Remoteanywhere等遠(yuǎn)程控制工具一樣。但是后來被一些人修改用來進行非法活動

18、。2灰鴿子的運行原理 因為灰鴿子本來就是一款遠(yuǎn)程控制軟件，所以它的運行原理與一般的遠(yuǎn)程控制軟件沒什么兩樣。 灰鴿子木馬分兩部分：客戶端和服務(wù)器端。服務(wù)器端程序運行后自行刪除，并且可以選擇完全隱藏服務(wù)器端圖標(biāo)。具體原理參見書中介紹。3灰鴿子的主要危害 灰鴿子的主要危害有以下7個方面：盜號、偷窺隱私、敲詐、發(fā)展“肉雞”、盜取商業(yè)機密、間斷性騷擾、惡搞性破壞。具體參見書中介紹。,4灰鴿子的手工檢測 無論灰鴿子自定義的服務(wù)器端文件名是什么，一般都會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點，可以較為準(zhǔn)確手工檢測出灰鴿子木馬。但要注意，由于正常模式下灰鴿子會隱藏自身，因

19、此檢測灰鴿子的操作一定要在安全模式下進行。具體檢測步驟參見書中介紹。5灰鴿子的清除 清除灰鴿子仍然要在安全模式下操作，主要有兩步：第一，清除灰鴿子的服務(wù)；第二，刪除灰鴿子程序文件。具體清除步驟參見書中介紹。6借助工具查找和清除灰鴿子 盡管可以通過以上手動方法來查找、清除灰鴿子木馬，但由于灰鴿子木馬變種非常多，手動清除難度較大，因此通常是借助于一些工具軟件進行。如通過專門的進程查看和刪除工具IceSword、服務(wù)查看和清除工具SREng，頑固文件刪除工具Pocket Killbox。當(dāng)然還有一些灰鴿子專殺工具。借助工具查找和清除灰鴿子的具體方法參見書中介紹。,2.7 惡意軟件的清除與預(yù)防,2.7

20、.1 惡意軟件的主要特征和分類惡意軟件以前稱之為“流氓軟件”，是對破壞或者影響系統(tǒng)正常運行的軟件的統(tǒng)稱。它們介于病毒軟件和正規(guī)軟件之間，同時具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來實質(zhì)性危害。 1惡意軟件的主要特征 惡意軟件的主要特征表現(xiàn)為以下幾個方面：強制安裝；難以卸載；瀏覽器劫持；廣告彈出；惡意收集用戶信息；惡意捆綁；其他侵害用戶軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為。2惡意軟件的分類 惡意軟件主要包括：廣告軟件、瀏覽器劫持、行為記錄軟件、惡意共享軟件、搜索引擎劫持軟件、自動撥號程序、網(wǎng)絡(luò)釣魚和垃圾郵件等。 以上具體內(nèi)容參見書中介紹。2.7.2 惡意軟

21、件的預(yù)防（略）,2.8 拒絕惡意代碼,本節(jié)主要介紹了以下兩方面的配置方法： 1. IE瀏覽器Internet安全選項設(shè)置 一般惡意網(wǎng)頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼通常是一些VBScript、JavaScript腳本和ActiveX控件之類的小程序，只要打開含有這類代碼的網(wǎng)頁就會被運行。為了避免攻擊，我們別無選擇，只能想辦法來禁止包含這些惡意代碼的網(wǎng)頁打開了，這個辦法就是在瀏覽器中進行相應(yīng)的安全設(shè)置。 2. IE瀏覽器本地Intranet安全選項設(shè)置 除了設(shè)定本地Intranet、受信任的站點、受限制的站點的安全級別外，每臺主機本身的安全性也是非常重要的，可微軟的IE

22、中并沒有提供“我的電腦”安全性設(shè)定。其實是有的，只不過微軟通常情況下是把它隱藏了，可以通過修改注冊表把該選項打開。具體配置方法參見書中介紹。,2.9 惡意軟件的深度防護方法,在針對惡意軟件嘗試企業(yè)有效的防護之前，需要了解企業(yè)基礎(chǔ)結(jié)構(gòu)中存在風(fēng)險的各個部分，以及每個部分的風(fēng)險程度。強烈建議您在開始設(shè)計惡意軟件防護方案之前，進行完整的安全風(fēng)險評估，但優(yōu)化解決方案設(shè)計所需的信息只能通過完成完整的安全風(fēng)險評估獲得。 病毒防護不再僅僅是安裝病毒防護程序。深層病毒防護方法應(yīng)該有助于確保您的IT基礎(chǔ)結(jié)構(gòu)能夠應(yīng)對所有可能的惡意軟件攻擊方法。使用此分層方法，可以更輕松地識別整個系統(tǒng)中的任何薄弱點。如果未能處理深層

23、病毒防護方法中所述的任一層，都有可能使您的系統(tǒng)受到攻擊。我們應(yīng)該經(jīng)常復(fù)查防病毒解決方案，以便每當(dāng)需要時都可以更新它。病毒防護的所有方面都是重要的，從簡單的病毒簽名自動下載到操作策略的完全更改。盡管徹底根除惡意代碼也許是不可能的，但是持續(xù)關(guān)注深層病毒防護方法，將有助于將惡意軟件攻擊對企業(yè)產(chǎn)生的影響減到最小。,2.9.1 深層防護安全模型,在發(fā)現(xiàn)并記錄了企業(yè)所面臨的風(fēng)險后，下一步就是檢查和企業(yè)您將用來提供防病毒解決方案的防護措施。深層防護安全模型是此過程的極好起點。此模型識別出七級安全防護，它們旨在確保損害企業(yè)安全的嘗試將遇到一組強大的防護措施。每組防護措施都能夠阻擋多種不同級別的攻擊。下頁圖2-

24、2說明了為深層防護安全模型定義的各個層次。圖中的各層提供了在為網(wǎng)絡(luò)設(shè)計安全防護時，環(huán)境中應(yīng)該考慮的每個區(qū)域的視圖。您可以根據(jù)企業(yè)的安全優(yōu)先級和要求，修改每層的詳細(xì)定義。 在部署深層安全防護策略時，我們又需對整個網(wǎng)絡(luò)中的不同關(guān)鍵部分作出相應(yīng)的防護重點，這就是細(xì)化后的安全模型，如下頁的圖2-3所示。 具體內(nèi)容參見中介紹。,。,圖2-2：深層防護安全模型 圖2-3：部署深層安全防護策略后的安全模型,2.9.2 客戶端防護,當(dāng)惡意軟件到達(dá)主機時，防護系統(tǒng)必須集中于保護主機系統(tǒng)及其數(shù)據(jù)，并停止感染的傳播。這些防護與環(huán)境中的物理防護和網(wǎng)絡(luò)防護一樣重要。一個典型的客戶端病毒防護步驟如下：（1）減小受攻擊面（

25、2）應(yīng)用安全更新（3）啟用基于主機的防火墻（4）安裝防病毒軟件（5）測試漏洞掃描程序（6）使用最少特權(quán)策略（7）限制未授權(quán)的應(yīng)用程序 具體內(nèi)容參見書中介紹。,2.9.3 客戶端應(yīng)用程序的防病毒設(shè)置,客戶端應(yīng)用程序的病毒防護通常主要考慮以下幾個方面： 1. 電子郵件客戶端 通常，如果用戶能夠直接從電子郵件打開電子郵件附件，則為惡意軟件在客戶端上傳播提供了主要方式之一。如有可能，請考慮在企業(yè)的電子郵件系統(tǒng)中限制此能力。如果這是不可能的，一些電子郵件客戶端允許您配置另外的步驟，用戶將必須執(zhí)行這些步驟才能打開附件。例如，在Outlook和Outlook Express中，您能夠執(zhí)行以下配置： 使用IE

26、瀏覽器安全區(qū)域禁用HTML電子郵件中的活動內(nèi)容 啟用一項設(shè)置以便用戶只能以純文本格式查看電子郵件 阻止程序在未經(jīng)特定用戶確認(rèn)的情況下發(fā)送電子郵件 阻止不安全的電子郵件附件 2. 桌面應(yīng)用程序 桌面辦公應(yīng)用程序也成為惡意軟件的攻擊目標(biāo)。,您應(yīng)該盡可能采取措施，以確保在環(huán)境中處理這些文件的所有應(yīng)用程序上啟用最合適的安全設(shè)置。最好禁止宏的運行。 3. 即時消息應(yīng)用程序 即時消息技術(shù)在改進全世界用戶通信方便性的同時，也帶來一定的安全隱患，因為它提供了有可能允許惡意軟件進入系統(tǒng)的途經(jīng)，那就是它的文件傳輸功能。通過該功能，就為惡意軟件提供了進入企業(yè)網(wǎng)絡(luò)的直接路由，用戶有可能受到惡意軟件的攻擊。 4. We

27、b瀏覽器 大多數(shù)主要的Web瀏覽器應(yīng)用程序支持限制可用于從Web服務(wù)器執(zhí)行的代碼的自動訪問級別的功能。IE使用安全區(qū)域幫助阻止Web內(nèi)容在客戶端上執(zhí)行有可能產(chǎn)生破壞的操作。 5. 對等應(yīng)用程序 Internet范圍的對等（P2P）應(yīng)用程序的出現(xiàn)引發(fā)了許多惡意軟件攻擊，所以如果可能，建議限制企業(yè)中使用這些應(yīng)用程序的客戶端數(shù)量?？墒褂媒M策略中的軟件限制策略，幫助阻止用戶運行對等應(yīng)用程序。 具體內(nèi)容參見書書中介紹。,2.9.4 服務(wù)器端病毒防護,服務(wù)器的病毒防護與客戶端防護有許多共同之處，二者都試圖保護同一基本個人計算機環(huán)境。兩者的主要差異在于，服務(wù)器防護在可靠性和性能方面的預(yù)期級別通常高得多。此外

28、，許多服務(wù)器在組織基礎(chǔ)結(jié)構(gòu)中起到的專門作用通常需要制定專門的防護解決方案。 1. 服務(wù)器的病毒防護步驟 服務(wù)器的四個基本防病毒步驟與客戶端的相同： （1）減小攻擊面：從服務(wù)器中刪除不需要的服務(wù)和應(yīng)用程序，將其攻擊面減到最小。 （2）應(yīng)用安全更新：如有可能，請確保所有服務(wù)器計算機運行的都是最新的安全更新。根據(jù)需要執(zhí)行其他測試，以確保新的更新不會對關(guān)鍵任務(wù)服務(wù)器產(chǎn)生負(fù)面影響。 （3）啟用基于主機的防火墻：Windows Server 2003包括一個基于主機的防火墻，您可以使用它減小服務(wù)器的攻擊面以及刪除不需要的服務(wù)和應(yīng)用程序。,（4）使用漏洞掃描程序進行測試：使用Windows Server 2

29、003上的MBSA工具幫助識別服務(wù)器配置中可能存在的漏洞。 除了這些常用的防病毒步驟之外，請考慮將以下服務(wù)器特定的軟件用作總體服務(wù)器病毒防護的一部分： 一般的服務(wù)器防病毒軟件 角色特定的防病毒配置和軟件 2. Web服務(wù)器 在一段時間內(nèi)，所有類型的組織中的Web服務(wù)器都曾經(jīng)是安全攻擊的目標(biāo)。您可從微軟官方網(wǎng)站上下載IIS Lockdown Tool工具軟件，在IIS上自動執(zhí)行安全配置，網(wǎng)址為：Http:/ locktool.mspx。 3. 消息服務(wù)器 “SMTP 網(wǎng)關(guān)掃描程序”和“集成的服務(wù)器掃描程序”這兩種基本類型的電子郵件防病毒解決方案是經(jīng)常用到的。 4. 數(shù)據(jù)庫服務(wù)器 在考慮數(shù)據(jù)庫服務(wù)

30、器的病毒防護時，需要保護以下四個主要元素：,主機：運行數(shù)據(jù)庫的一個或多個服務(wù)器。 數(shù)據(jù)庫服務(wù)：在主機上運行的為網(wǎng)絡(luò)提供數(shù)據(jù)庫服務(wù)的各種應(yīng)用程序。 數(shù)據(jù)存儲區(qū)：儲在數(shù)據(jù)庫中的數(shù)據(jù)。 數(shù)據(jù)通信：網(wǎng)絡(luò)上數(shù)據(jù)庫主機和其他主機之間使用的連接和協(xié)議。 5. 協(xié)作服務(wù)器 協(xié)作服務(wù)器本身的特點使它們易受惡意軟件的攻擊。當(dāng)用戶將文件復(fù)制到服務(wù)器和從服務(wù)器復(fù)制文件時，他們可能使網(wǎng)絡(luò)上的服務(wù)器和其他用戶受到惡意軟件的攻擊。建議使用可以掃描復(fù)制到協(xié)作存儲區(qū)和從協(xié)作存儲區(qū)復(fù)制的所有文件的防病毒應(yīng)用程序，保護環(huán)境中的協(xié)作服務(wù)器（如運行SharePoint Services和SharePoint Portal Server 2003的服務(wù)器） 。 具體內(nèi)容參見書中介紹。,2.9.5 網(wǎng)絡(luò)層安全防護,在已記錄的惡意軟件事件中，通過網(wǎng)絡(luò)發(fā)動的攻擊是最多的。通常，發(fā)動惡意軟件攻擊是為了利用網(wǎng)絡(luò)外圍防護中的漏洞允許惡意軟件訪問企業(yè)IT基礎(chǔ)結(jié)構(gòu)中的主機設(shè)備。這些設(shè)備可以是客戶端、服務(wù)器、路由器，或者甚至是防火墻。在此層上進行病毒防護所面臨的最困難問題之一是平衡IT系統(tǒng)用戶的功能要求與創(chuàng)建有效防護所需的限制。以下是幾個主要考慮方面： 1. 網(wǎng)絡(luò)防病毒配置 網(wǎng)