如论你是在努力阻止恶意软件的感染,还是要控制已经进入你的Windows系统中的病毒或者蠕虫的传播,网站专家Kevin Beaver将在分为两部分的讲座中提供一些指南,帮助你控制这个问题。第一部分介绍控制恶意软件采取的步骤。下面是第二部分,介绍如何从一开始就阻止恶意软件的爆发。
阻止恶意软件爆发
要记住,一种恶意软件永远不爆发是不可能的。然而,如果你现在采取下列安全措施,当基于Windows的网络下一次再受到同样的攻击时,你就会为你的机构亡羊补牢。
1.将你的行动步骤存档
使用一个事件反应计划。这种计划没有必要做得非常精细,特别是在一开始的时候。这个计划至少要有存档检测、调查、限制、清除和恢复等各个步骤的做法。开始制定这种计划的最好方法是参考NIST的“计算机安全事件处理指南”。
2.阻止访问NetBIOS和MSRPC端口
要阻止对你的系统实施的自动攻击和窥探,你要阻止访问TCP端口135、139和445以及UDP端口135、137和445。这听起来好像是一件小事情,但是,我听说很多系统,甚至一些公共访问的系统,都受到这种安全漏洞的影响。
3.关闭或者限制WSH(Windows脚本主机服务)和ActiveX
在服务器和工作站中应该关闭这些控件。要使用生产应用程序对你的设置进行认真测试,确认没有任何应用程序会因此停止工作。
4.实施组策略安全措施
应该执行组策略或者本地安全策略设置以便加强Windows的防御能力,防御某些东西突破系统时实施的攻击。我以前发表的指南中提供了一个很好的出发点。
5.必须拥有基于主机的保护
基于周边设备的保护措施是很好的,但是,你必须使用基于主机的保护措施,不仅要阻止而且要限制通过网页和电子邮件附件等下载恶意软件。这是非常重要的,因为恶意软件会从不同的角度实施攻击。主机保护能够帮助封锁不必要的访问NetBIOS和MSRPC服务,阻止本地软件在没有得到用户或者管理员允许的情况下与外界通话。Windows防火墙在这方面没有多大帮助作用。但是,微软新的AntiSpyware软件的确在这方面提供了保护作用。最佳方法是采用ZoneAlarm、赛门铁克的Client Security和我喜欢的BlackICE等功能齐全的基于主机的IDS/IPS系统。
6.使用启发式保护功能
在你的杀毒软件中应该使用启发式保护功能,帮助你检测基本的恶意软件的异常行为。
7.不打折扣地使用杀毒软件
你需要创建一个分层次的防御体系。在进行安全评估的时候,我发现很多系统没有防御间谍软件及其变体的措施。还要考虑其它基于异常行为的检测,采用Finjan和Sana Security等公司的阻止恶意程序的软件。
8.配备随时可以使用的网络分析器
选择一款你感到合适的分析器,以便监视网络通信和观察恶意软件在做什么。如果你感觉使用这种软件合适的话,免费的Ethereal是一种很好的分析器软件。我还发现一些商业性的网络分析器软件在这类解决方案中非常有效,特别是这些软件非常容易使用。研究一下用于有线网络的工具软件,如CommView、EtherPeek和Sniffer Portable,以及用于无线网络的工具软件,如AiroPeek、AirMagnet Laptop Analyzer和Sniffer Wireless。在我的网络直播中介绍的监视和修复电子邮件通信的网络分析器用法指南和“网络分析器:你不能没有的安全工具”的文章中,你会发现网络分析器更多的价值。
防御的重要性怎样说都不过分的,特别是在恶意软件爆发来临的时候。使用内置的Windows控制和第三方产品建立分层次的防御体系并且结合某些需要做什么的基本文件是你必须要做的全部事情。你能够做的就是这些。