所有組織都應該開發(fā)將提供高級別保護的防病毒解決方案。但是，甚至是在安裝了防病毒軟件后，許多組織仍然感染了病毒。本指南提出了解決惡意軟件（或 malware）問題的一種不同方法。與網(wǎng)絡安全設計一樣，Microsoft 建議設計防病毒解決方案時采用深層防護方法，以便幫助確保組織在設計時采用的安全措施將得到可能的維護。

　　這樣的方法對于組織的計算機安全是極其重要的，因為不管計算機系統(tǒng)提供多少有用的功能或服務，都會有人（無論出于什么原因）將試圖找到漏洞以便惡意利用它，這是一件不幸的事。

　　與在各種環(huán)境中實施了 Microsoft? Windows Server? 2003、Windows? XP Professional 和 Windows? 2000 的顧問和系統(tǒng)工程師協(xié)作，有助于建立保護運行這些操作系統(tǒng)的客戶端和服務器免受惡意軟件攻擊的最新的最佳做法。本章為您提供此信息。

　　本章還提供指導以幫助您在為組織設計防病毒安全解決方案時使用深層防護方法。此方法的目的是確保您了解模型的每個層以及對應于每個層的特定威脅，以便您可以在實施自己的防病毒措施時使用此信息。

　　注意：Microsoft 建議在您組織的一般安全過程和策略中包括本指南中的某些步驟。在出現(xiàn)這樣的情況時，本指南會指明要求組織的安全小組進一步定義。

　　如果您是在遇到惡意軟件的攻擊并進行恢復之后閱讀本指南，則提供的信息旨在幫助您防止再次發(fā)生這樣的攻擊以及更好地了解以前的攻擊是如何發(fā)生的。

　　惡意軟件的威脅方法

　　惡意軟件可以通過許多方法來損害組織。這些方法有時稱為"威脅方法"，它們代表在設計有效的防病毒解決方案時您的環(huán)境中最需要引起注意的區(qū)域。下面的列表包括典型組織中最容易受到惡意軟件攻擊的區(qū)域：

　　• 外部網(wǎng)絡。沒有在組織直接控制之下的任何網(wǎng)絡都應該認為是惡意軟件的潛在源。但是，Internet 是最大的惡意軟件威脅。Internet 提供的匿名和連接允許心懷惡意的個人獲得對許多目標的快速而有效訪問，以使用惡意代碼發(fā)動攻擊。

　　• 來賓客戶端。隨著便攜式計算機和移動設備在企業(yè)中的使用越來越廣泛，設備經(jīng)常移入和移出其他組織的基礎結構。如果來賓客戶端未采取有效的病毒防護措施，則它們就是組織的惡意軟件威脅。

　　• 可執(zhí)行文件。具有執(zhí)行能力的任何代碼都可以用作惡意軟件。這不僅包括程序，而且還包括腳本、批處理文件和活動對象（如 Microsoft ActiveX? 控件）。

　　• 文檔。隨著文字處理器和電子表格應用程序的日益強大，它們已成為惡意軟件編寫者的目標。許多應用程序內(nèi)支持的宏語言使得它們成為潛在的惡意軟件目標。

　　• 電子郵件。惡意軟件編寫者可以同時利用電子郵件附件和電子郵件內(nèi)活動的超文本標記語言 (HTML) 代碼作為攻擊方法。

　　• 可移動媒體。通過某種形式的可移動媒體進行的文件傳輸是組織需要作為其病毒防護的一部分解決的一個問題。其中一些更常用的可移動媒體包括：

　　• CD-ROM 或 DVD-ROM 光盤。廉價的 CD 和 DVD 刻錄設備的出現(xiàn)使得所有計算機用戶（包括編寫惡意軟件的用戶）都可以容易地訪問這些媒體。

　　• 軟盤驅(qū)動器和 Zip 驅(qū)動器。這些媒體不再像以前那樣流行了，原因是其容量和速度有限，但是如果惡意軟件可以物理訪問它們，則它們?nèi)匀粫�帶來風險。

　　• USB 驅(qū)動器。這些設備具有多種形式，從經(jīng)典的鑰匙圈大小的設備到手表。如果可以將所有這些設備插入主機的通用串行總線 (USB) 端口，則這些設備都可以用于引入惡意軟件。

　　• 內(nèi)存卡。數(shù)字照相機和移動設備（如 PDA 和移動電話）已經(jīng)幫助建立了數(shù)字內(nèi)存卡。卡閱讀器正日益成為計算機上的標準設備，使用戶可以更輕松地傳輸內(nèi)存卡上的數(shù)據(jù)。由于此數(shù)據(jù)是基于文件的，因此這些卡也可以將惡意軟件傳輸?shù)街鳈C系統(tǒng)上。

　　惡意軟件防護方法

　　在針對惡意軟件嘗試組織有效的防護之前，需要了解組織基礎結構中存在風險的各個部分以及每個部分的風險程度。Microsoft 強烈建議您在開始設計防病毒解決方案之前，進行完整的安全風險評估。優(yōu)化解決方案設計所需的信息只能通過完成完整的安全風險評估獲得。

　　有關進行安全風險評估的信息和指導，請參閱"Microsoft Solution for Securing Windows 2000 Server"（保護 Windows 2000 Server 的 Microsoft 解決方案）指南。此指南介紹了安全風險管理規(guī)則 (SRMD)，您可以使用它了解您的組織所面臨風險的特性。

　　深層防護安全模型

　　在發(fā)現(xiàn)并記錄了組織所面臨的風險后，下一步就是檢查和組織您將用來提供防病毒解決方案的防護措施。深層防護安全模型是此過程的極好起點。此模型識別出七級安全防護，它們旨在確保損害組織安全的嘗試將遇到一組強大的防護措施。每組防護措施都能夠阻擋多種不同級別的攻擊。如果您不熟悉深層防護安全模型，Microsoft 建議您查看 Microsoft TechNet 上的"Security Content Overview"（安全內(nèi)容概述）頁。

　　您還可以在 TechNet 上的"MSA Reference Architecture Kit"（MSA 參考體系結構工具包） 中找到此過程的其他信息和實用設計示例。

　　下圖說明為深層防護安全模型定義的各層：

圖 3.1 深層防護安全模型的各層

　　圖中的各層提供了在為網(wǎng)絡設計安全防護時，環(huán)境中應該考慮的每個區(qū)域的視圖。

　　您可以根據(jù)組織的安全優(yōu)先級和要求，修改每層的詳細定義。為了便于在本指南中講述，下面的簡單定義對模型的各層進行了定義：

　　• 數(shù)據(jù)層。數(shù)據(jù)層上的風險源自這樣的漏洞：攻擊者有可能利用它們獲得對配置數(shù)據(jù)、組織數(shù)據(jù)或組織所用設備獨有的任何數(shù)據(jù)的訪問。例如，敏感數(shù)據(jù)（如機密的業(yè)務數(shù)據(jù)、用戶數(shù)據(jù)和私有客戶信息存儲）都應該視為此層的一部分。在模型的此層上，組織主要關注的是可能源自數(shù)據(jù)丟失或被盜的業(yè)務和法律問題，以及漏洞在主機層或應用程序?qū)由媳┞兜牟僮鲉栴}。

　　• 應用程序?qū)�。應用程序�(qū)由系娘L險源自這樣的漏洞：攻擊者有可能利用它們訪問運行的應用程序。惡意軟件編寫者可以在操作系統(tǒng)之外打包的任何可執(zhí)行代碼都可能用來攻擊系統(tǒng)。在此層上組織主要關注的是：對組成應用程序的二進制文件的訪問；通過應用程序偵聽服務中的漏洞對主機的訪問；不適當?shù)厥占�系統(tǒng)中特定數(shù)據(jù)，以傳遞給可以使用該數(shù)據(jù)達到自己目的的某個人。

　　• 主機層。提供 Service Pack 和修復程序以處理惡意軟件威脅的供應商通常將此層作為目標。此層上的風險源自利用主機或服務所提供服務中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統(tǒng)發(fā)動攻擊。緩沖區(qū)溢出（它是因添加到緩沖區(qū)的信息量比緩沖區(qū)的設計容量更大而產(chǎn)生的情況）就是一個良好的示例。在此層上組織主要關注的是阻止對組成操作系統(tǒng)的二進制文件的訪問，以及阻止通過操作系統(tǒng)偵聽服務中的漏洞對主機的訪問。

　　• 內(nèi)部網(wǎng)絡層。組織內(nèi)部網(wǎng)絡所面臨的風險主要與通過此類型網(wǎng)絡傳輸?shù)拿舾袛?shù)據(jù)有關。這些內(nèi)部網(wǎng)絡上客戶端工作站的連接要求也具有許多與其關聯(lián)的風險。

　　• 外圍網(wǎng)絡層。與外圍網(wǎng)絡層（也稱為 DMZ、網(wǎng)絡隔離區(qū)域或屏幕子網(wǎng)）關聯(lián)的風險源自可以訪問廣域網(wǎng) (WAN) 以及它們所連接的網(wǎng)絡層的攻擊者。模型此層上的主要風險集中于網(wǎng)絡可以使用的傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報協(xié)議 (UDP) 端口。

　　• 物理安全層。物理層上的風險源自可以物理訪問物理資產(chǎn)的攻擊者。此層包括前面的所有層，因為對資產(chǎn)的物理訪問又可以允許訪問深層防護模型中的所有其他層。使用防病毒系統(tǒng)的組織在模型的此層上主要關注的是阻止感染文件避開外圍網(wǎng)絡和內(nèi)部網(wǎng)絡的防護。攻擊者可能只是通過某個物理可移動媒體（如 USB 磁盤設備）將感染文件直接復制到主機，試圖做到這一點。

　　• 策略、過程和意識層。圍繞安全模型所有層的是，您的組織為滿足和支持每個級別的要求需要制定的策略和過程。最后，提高組織中對所有相關方的意識是很重要的。在許多情況下，忽視風險可以導致安全違反。由于此原因，培訓也應該是任何安全模型的不可缺少的部分。

　　通過將模型的安全層用作深層病毒防護方法的基礎，您就可以重新集中視圖以便將它們優(yōu)化到組織中病毒防護的分組中。在組織中進行此優(yōu)化的方式完全取決于組織指定的優(yōu)先級和它所使用的特定防護應用程序。重點是通過確保沒有從防護中排除任何安全層，來避免不完整的和弱化的防病毒設計。下圖顯示更集中的深層病毒防護視圖：

圖 3.2 集中的深層病毒防護視圖

　　可以將數(shù)據(jù)層、應用程序?qū)雍椭鳈C層組合到兩個防護策略中，以保護組織的客戶端和服務器。雖然這些防護共享許多公共策略，但是實施客戶端和服務器防護方面的差異足以保證對于每個防護都是唯一的防護方法。

　　內(nèi)部網(wǎng)絡層和外圍層也可以組合到一個公共網(wǎng)絡防護策略中，因為這兩個層所涉及的技術是相同的。每個層中的實施細節(jié)將是不同的，具體取決于組織基礎結構中的設備位置和技術。