惡意軟件威脅方法及防護(hù)技巧

所有組織都應(yīng)該開(kāi)發(fā)將提供高級(jí)別保護(hù)的防病毒解決方案。但是，甚至是在安裝了防病毒軟件后，許多組織仍然感染了病毒。本指南提出了解決惡意軟件（或 malware）問(wèn)題的一種不同方法。與網(wǎng)絡(luò)安全設(shè)計(jì)一樣，Microsoft 建議設(shè)計(jì)防病毒解決方案時(shí)采用深層防護(hù)方法，以便幫助確保組織在設(shè)計(jì)時(shí)采用的安全措施將得到可能的維護(hù)。
    這樣的方法對(duì)于組織的計(jì)算機(jī)安全是極其重要的，因?yàn)椴还苡?jì)算機(jī)系統(tǒng)提供多少有用的功能或服務(wù)，都會(huì)有人（無(wú)論出于什么原因）將試圖找到漏洞以便惡意利用它，這是一件不幸的事。
    與在各種環(huán)境中實(shí)施了 Microsoft? Windows Server? 2003、Windows? XP Professional 和 Windows? 2000 的顧問(wèn)和系統(tǒng)工程師協(xié)作，有助于建立保護(hù)運(yùn)行這些操作系統(tǒng)的客戶端和服務(wù)器免受惡意軟件攻擊的最新的做法。本章為您提供此信息。
    本章還提供指導(dǎo)以幫助您在為組織設(shè)計(jì)防病毒安全解決方案時(shí)使用深層防護(hù)方法。此方法的目的是確保您了解模型的每個(gè)層以及對(duì)應(yīng)于每個(gè)層的特定威脅，以便您可以在實(shí)施自己的防病毒措施時(shí)使用此信息。
    注意：Microsoft 建議在您組織的一般安全過(guò)程和策略中包括本指南中的某些步驟。在出現(xiàn)這樣的情況時(shí)，本指南會(huì)指明要求組織的安全小組進(jìn)一步定義。
    如果您是在遇到惡意軟件的攻擊并進(jìn)行恢復(fù)之后閱讀本指南，則提供的信息旨在幫助您防止再次發(fā)生這樣的攻擊以及更好地了解以前的攻擊是如何發(fā)生的。
    惡意軟件的威脅方法
    惡意軟件可以通過(guò)許多方法來(lái)?yè)p害組織。這些方法有時(shí)稱為"威脅方法"，它們代表在設(shè)計(jì)有效的防病毒解決方案時(shí)您的環(huán)境中最需要引起注意的區(qū)域。下面的列表包括典型組織中最容易受到惡意軟件攻擊的區(qū)域：
    • 外部網(wǎng)絡(luò)。沒(méi)有在組織直接控制之下的任何網(wǎng)絡(luò)都應(yīng)該認(rèn)為是惡意軟件的潛在源。但是，Internet 是的惡意軟件威脅。Internet 提供的匿名和連接允許心懷惡意的個(gè)人獲得對(duì)許多目標(biāo)的快速而有效訪問(wèn)，以使用惡意代碼發(fā)動(dòng)攻擊。
    • 來(lái)賓客戶端。隨著便攜式計(jì)算機(jī)和移動(dòng)設(shè)備在企業(yè)中的使用越來(lái)越廣泛，設(shè)備經(jīng)常移入和移出其他組織的基礎(chǔ)結(jié)構(gòu)。如果來(lái)賓客戶端未采取有效的病毒防護(hù)措施，則它們就是組織的惡意軟件威脅。
    • 可執(zhí)行文件。具有執(zhí)行能力的任何代碼都可以用作惡意軟件。這不僅包括程序，而且還包括腳本、批處理文件和活動(dòng)對(duì)象（如 Microsoft ActiveX? 控件）。
    • 文檔。隨著文字處理器和電子表格應(yīng)用程序的日益強(qiáng)大，它們已成為惡意軟件編寫(xiě)者的目標(biāo)。許多應(yīng)用程序內(nèi)支持的宏語(yǔ)言使得它們成為潛在的惡意軟件目標(biāo)。
    • 電子郵件。惡意軟件編寫(xiě)者可以同時(shí)利用電子郵件附件和電子郵件內(nèi)活動(dòng)的超文本標(biāo)記語(yǔ)言 (HTML) 代碼作為攻擊方法。
    • 可移動(dòng)媒體。通過(guò)某種形式的可移動(dòng)媒體進(jìn)行的文件傳輸是組織需要作為其病毒防護(hù)的一部分解決的一個(gè)問(wèn)題。其中一些更常用的可移動(dòng)媒體包括：
    • CD-ROM 或 DVD-ROM 光盤(pán)。廉價(jià)的 CD 和 DVD 刻錄設(shè)備的出現(xiàn)使得所有計(jì)算機(jī)用戶（包括編寫(xiě)惡意軟件的用戶）都可以容易地訪問(wèn)這些媒體。
    • 軟盤(pán)驅(qū)動(dòng)器和 Zip 驅(qū)動(dòng)器。這些媒體不再像以前那樣流行了，原因是其容量和速度有限，但是如果惡意軟件可以物理訪問(wèn)它們，則它們?nèi)匀粫?huì)帶來(lái)風(fēng)險(xiǎn)。
    • USB 驅(qū)動(dòng)器。這些設(shè)備具有多種形式，從經(jīng)典的鑰匙圈大小的設(shè)備到手表。如果可以將所有這些設(shè)備插入主機(jī)的通用串行總線 (USB) 端口，則這些設(shè)備都可以用于引入惡意軟件。
    • 內(nèi)存卡。數(shù)字照相機(jī)和移動(dòng)設(shè)備（如 PDA 和移動(dòng)電話）已經(jīng)幫助建立了數(shù)字內(nèi)存卡?？ㄩ喿x器正日益成為計(jì)算機(jī)上的標(biāo)準(zhǔn)設(shè)備，使用戶可以更輕松地傳輸內(nèi)存卡上的數(shù)據(jù)。由于此數(shù)據(jù)是基于文件的，因此這些卡也可以將惡意軟件傳輸?shù)街鳈C(jī)系統(tǒng)上。
    惡意軟件防護(hù)方法
    在針對(duì)惡意軟件嘗試組織有效的防護(hù)之前，需要了解組織基礎(chǔ)結(jié)構(gòu)中存在風(fēng)險(xiǎn)的各個(gè)部分以及每個(gè)部分的風(fēng)險(xiǎn)程度。Microsoft 強(qiáng)烈建議您在開(kāi)始設(shè)計(jì)防病毒解決方案之前，進(jìn)行完整的安全風(fēng)險(xiǎn)評(píng)估。優(yōu)化解決方案設(shè)計(jì)所需的信息只能通過(guò)完成完整的安全風(fēng)險(xiǎn)評(píng)估獲得。
    有關(guān)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的信息和指導(dǎo)，請(qǐng)參閱"Microsoft Solution for Securing Windows 2000 Server"（保護(hù) Windows 2000 Server 的 Microsoft 解決方案）指南。此指南介紹了安全風(fēng)險(xiǎn)管理規(guī)則 (SRMD)，您可以使用它了解您的組織所面臨風(fēng)險(xiǎn)的特性。