客戶端的病毒防護步驟

　　您可以使用許多方法和技術配置客戶端病毒防護。以下各節詳細說明 Microsoft 建議的注意事項。

　　步驟 1：減小攻擊面

　　應用程序層上的第一道防護是減小計算機的攻擊面。應該在計算機上刪除或禁用所有不需要的應用程序或服務，以最大限度地減少攻擊者可以利用系統的方法數。

　　在 Microsoft.com 上 Windows XP Professional 產品文檔的"Default settings for services"（默認服務設置）頁上，可以找到 Windows XP Professional 服務的默認設置，該頁的網址為：http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sys_srv_default_settings.mspx。

　　在已經將攻擊面減至最小，且不影響系統的所需功能后，要此層上使用的主要防護是防病毒掃描程序。掃描程序的主要作用是檢測和阻止攻擊，然后通知組織中的用戶，還可能通知組織中的系統管理員。

　　步驟 2：應用安全更新

　　可能連接到組織網絡的客戶端計算機數量很大，而且種類很多，僅這一點就可以導致很難提供快速而可靠的安全更新管理服務。Microsoft 和其他軟件公司已經開發了許多可用來幫助解決此問題的工具。下列修補程序管理和安全更新工具當前可以從 Microsoft 獲得：

　　? Windows Update。對于小型組織或個人，Windows Update 服務同時提供了手動過程和自動過程來檢測和下載 Windows 平臺的最新安全和功能修改。在某些組織中使用此方法時出現的問題包括：在從此服務部署更新之前缺少對測試的支持、同時下載同一程序包時客戶端可能占用組織中一定量的網絡帶寬。有關使用此服務的信息可從 Windows Update 主頁獲得，其網址為：www.windowsupdate.com。
 
　　? Software Update Service。此服務旨在為企業中的 Windows 客戶端提供安全更新解決方案。通過既允許內部測試也允許分布式安全更新管理，此服務為更大組織克服了 Windows Update 的這兩項不足。有關使用此服務為您的組織開發解決方案的信息可從 Microsoft.com 上的 Software Update Service 主頁獲得，其網址為：http://www.microsoft.com/windowsserversystem/sus/
 
　　? Systems Management Server 2003。Microsoft Systems Management Server 2003 是一個完整的企業管理解決方案，它能夠提供綜合的安全更新服務以及更多功能。有關此解決方案的詳細信息，請參閱 Microsoft.com 上的 Systems Management Server 主頁，其網址為：http://www.microsoft.com/smserver/default.asp。
 

　　其中的每種 Microsoft 安全更新工具都有特定的優點和用途。最佳方法很可能是使用其中的一種或多種工具。為幫助評估組織的安全更新解決方案，請參閱 Microsoft.com 上"Choosing a Security Update Management Solution"（選擇安全更新管理解決方案）頁提供的功能比較，其網址為：http://www.microsoft.com/windowsserversystem/sus/suschoosing.mspx。

　　基于主機的防火墻或個人防火墻代表您應該啟用的重要客戶端防護層，尤其是在用戶可能帶到組織通常的物理和網絡防護之外的便攜式計算機上。這些防火墻會篩選試圖進入或離開特定主機的所有數據。

　　步驟 4：安裝防病毒軟件

　　許多公司推出防病毒應用程序，其中每個應用程序都試圖保護主機，同時對最終用戶產生最少的不便和交互。其中的大多數應用程序在提供此保護方面都是很有效的，但是它們都要求經常更新以應對新的惡意軟件。任何防病毒解決方案都應該提供快速的無縫機制，來確保盡快提供對處理新惡意軟件或變種所需的簽名文件的更新。簽名文件包含防病毒程序在掃描過程中用來檢測惡意軟件的信息。根據設計，簽名文件由防病毒應用程序供應商定期更新，需要下載到客戶端計算機。

　　注意：這樣的更新會帶來自身的安全風險，因為簽名文件是從防病毒程序的支持站點發送到主機應用程序（通常通過 Internet）。例如，如果傳輸機制使用文件傳輸協議 (FTP) 獲得文件，則組織的外圍防火墻必須允許對 Internet 上所需 FTP 服務器進行此類型的訪問。請確保在防病毒風險評估過程中審查組織的更新機制，而且此過程的安全性足以滿足組織的安全要求。

　　由于惡意軟件的模式和技術快速變化，一些組織采用了以下方法：建議要求某些"高風險"用戶在同一計算機上運行多個防病毒程序包，以幫助將未能檢測到惡意軟件的風險減到最小。下列用戶類型通常屬于此類別：

　　? Web 管理員或管理 Internet 或 Intranet 上內容的任何用戶。
 
　　? 發布實驗室工作人員或制作電子媒體（如 CD-ROM）的任何用戶。
 
　　? 創建或編譯壓縮文件或其他產品軟件的開發小組成員。

　　應該注意，在同一計算機上運行許多不同應用程序供應商推出的防病毒應用程序，可能會因防病毒應用程序之間的互操作性問題而產生問題。在您的環境中同時運行多個防病毒應用程序可能導致的系統問題包括：

　　? 內存開銷。許多防病毒應用程序使用駐留在內存中的活動代理程序，因而減少了可用的系統內存量。
 
　　? 系統崩潰或停止錯誤。這樣的崩潰和錯誤可能是由于多個防病毒應用程序試圖同時掃描同一文件導致的。
 
　　? 性能損失。當防病毒應用程序在文件中掃描惡意代碼時，系統性能可能會下降。使用多個應用程序時，會重復執行掃描，這可能會將系統性能降低到不可接受的水平。
 
　　? 無法訪問系統。試圖同時運行的多個防病毒應用程序可能導致系統在啟動過程中停止運行。在更早版本的 Windows（如 Microsoft Windows? NT 和 Windows 9x）上，此問題更為常見。

　　由于這些原因，不建議在同一計算機上使用多個防病毒應用程序，應該盡可能避免。

　　要考慮的另一種方法是為組織中的客戶端、服務器和網絡防護使用來自不同供應商的防病毒軟件。此方法使用不同的掃描引擎提供對基礎結構的這些不同區域的一致掃描，這應該有助于在單個供應商的產品未能檢測到攻擊時減少對總體病毒防護的風險。

　　步驟 5：測試漏洞掃描程序

　　在配置系統之后，應該定期檢查它以確保沒有留下安全漏洞。為了幫助您完成此過程，許多應用程序可用作掃描程序來查找惡意軟件和黑客可能試圖利用的漏洞。其中的大多數工具更新自己的掃描例程，以保護您的系統免受最新漏洞的攻擊。

　　Microsoft 基準安全分析器 (MBSA) 是能夠檢查常見安全配置問題的漏洞掃描程序的一個示例。此掃描程序還進行檢查，以確保您的主機配置了最新的安全更新。

　　有關此免費配置工具的詳細信息，請參閱 TechNet 上的"Microsoft Baseline Security Analyzer V1.2"（Microsoft 基準安全分析器 V1.2）頁，其網址為：http://www.microsoft.com/technet/security/tools/mbsahome.mspx。

　　在客戶端防護中不應忽視的另一區域是在正常操作下分配給用戶的特權。Microsoft 建議采用這樣的策略：它提供可能的最少特權以幫助將在執行時依賴利用用戶特權的惡意軟件的影響減到最小。對于通常具有本地管理特權的用戶，這樣的策略尤其重要。請考慮對日常操作刪除這樣的特權，并在必要時改用 RunAs 命令啟動所需的管理工具。

　　例如，需要安裝要求管理員特權的應用程序的用戶可能在命令提示符下運行以下安裝命令，以適當的特權啟動安裝程序：runas /user:mydomain\admin "setup.exe"您也可以直接從 Microsoft Windows 資源管理器訪問此功能，方法是執行以下步驟：以管理特權運行程序

　　1. 在 Windows 資源管理器中，選擇要打開的程序或工具（如 Microsoft 管理控制臺 (MMC) 管理單元或控制面板）。
 
　　2. 右鍵單擊該程序或工具，然后選擇"運行方式"。

　　注意：如果"運行方式"沒有作為選項出現，請按住 Shift 鍵右鍵單擊該工具。
 
　　3. 在"運行方式"對話框中，選擇"下列用戶："選項。
 
　　4. 在"用戶名"和"密碼"框中，鍵入要使用的管理員帳戶的用戶名和密碼。
 
　　步驟 7：限制未授權的應用程序

　　如果應用程序為網絡提供一種服務，如 Microsoft Instant Messenger 或 Web 服務，則在理論上它可能成為惡意軟件攻擊的目標。作為防病毒解決方案的一部分，您可能希望考慮為組織編寫已授權應用程序的列表。將未授權應用程序安裝在您的任一客戶端計算機上的嘗試，可能會使所有這些計算機及其包含的數據面臨受到惡意軟件攻擊的更大風險。

　　如果您的組織希望限制未授權的應用程序，則您可以使用 Windows 組策略限制用戶運行未授權軟件的能力。如何使用組策略已經得到廣泛的討論，有關它的詳細信息可以在 Microsoft.com 上的 Windows Server 2003 Group Policy Technology Center（Windows Server 2003 組策略技術中心）找到，其網址為：
www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/。

　　處理此功能的組策略的特定方面稱為"軟件限制策略"，可以通過標準組策略 MMC 管理單元訪問它。下圖顯示組策略 MMC 屏幕，其中顯示可以同時為計算機和用戶設置軟件限制策略的路徑：

圖 組策略 MMC 管理單元中軟件限制策略文件夾的路徑

　　要直接從 Windows XP 客戶端訪問此管理單元，請完成以下步驟：

　　1. 單擊"開始"、"運行"。
 
　　2. 鍵入 secpol.msc，然后單擊"確定"。
 
　　對所有可能的設置進行詳細說明，超出了本指南的范圍。但是，TechNet 上的文章"Using Software Restriction Policies to Protect Against Unauthorized Software"（使用軟件限制策略防止未授權軟件），其網址為：http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx，將為您提供有關使用 Windows XP Professional 操作系統的這一強大功能的分步指導。

　　警告：組策略是功能極其強大的技術，需要仔細配置和詳盡了解才能成功實施。在確信熟悉策略設置并在非產品系統上測試了結果之前，不要嘗試直接更改這些設置。

　　以下各節提供配置惡意軟件可能作為攻擊目標的特定客戶端應用程序的準則。

　　電子郵件客戶端

　　如果惡意軟件確實設法通過了網絡和電子郵件服務器級別上的病毒防護，則可能存在一些設置，您可以進行配置以便為電子郵件客戶端提供額外保護。

　　通常，如果用戶能夠直接從電子郵件打開電子郵件附件，則為惡意軟件在客戶端上傳播提供了主要方式之一。如有可能，請考慮在組織的電子郵件系統中限制此能力。如果這是不可能的，一些電子郵件客戶端允許您配置另外的步驟，用戶將必須執行這些步驟才能打開附件。例如，在 Microsoft Outlook? 和 Outlook Express 中，您能夠：

　　使用 Internet Explorer 安全區域禁用 HTML 電子郵件中的活動內容。
 
　　啟用一項設置以便用戶只能以純文本格式查看電子郵件。
 
　　阻止程序在未經特定用戶確認的情況下發送電子郵件。
 
　　阻止不安全的電子郵件附件。
 
　　有關如何配置這些功能的信息，請參閱 Microsoft 知識庫文章"291387 - OLEXP:在 Outlook Express 6 中使用病毒防護功能"，其網址為： http://support.microsoft.com/?kbid=291387。

　　Microsoft Outlook 2003 包括防止惡意軟件和垃圾郵件的附加功能。有關配置這些功能的信息，請參閱 Microsoft.com 上的 Customizing Outlook 2003 to Help Prevent Viruses（自定義 Outlook 2003 以幫助防護病毒）頁，其網址為：
www.microsoft.com/office/ork/2003/three/ch12/。

　　桌面應用程序

　　隨著桌面辦公應用程序的日益強大，它們也成為惡意軟件的攻擊目標。宏病毒使用字處理器、電子表格或其他支持宏的應用程序創建的文件復制自身。

　　您應該盡可能采取措施，以確保在環境中處理這些文件的所有應用程序上啟用最合適的安全設置。有關保護 Microsoft Office 2003 應用程序的信息，請參閱 Microsoft.com 上的"Best practices for protection from viruses"（病毒防護的最佳做法）頁，其網址為：
http://go.microsoft.com/fwlink/?LinkId=28509。

　　即時消息應用程序

　　非凡的即時消息技術幫助改進了全世界用戶的通信。不幸的是，它還提供了有可能允許惡意軟件進入系統的另一應用程序。雖然文本消息不會構成直接的惡意軟件威脅，但是大多數即時 Messenger 客戶端提供另外的文件傳輸功能以提高用戶的通信能力。允許文件傳輸提供了進入組織網絡的直接路由，有可能受到惡意軟件的攻擊。

　　網絡防火墻只需篩選用于此通信的端口，即可阻止這些文件傳輸。例如，Microsoft Windows 和 MSN? Messenger 客戶端使用介于 6891 和 6900 之間的 TCP 端口傳輸文件，因此，如果外圍防火墻阻止這些端口，則通過 Instant Messenger 的文件傳輸就不會發生。但是，移動客戶端計算機僅當在組織網絡上時才受到保護。因此，您可能希望配置客戶端上的基于主機的防火墻阻止這些端口，并且在組織中的移動客戶端處于網絡防護之外時為它們提供保護。

　　如果因為其他必需的應用程序使用這些端口或者需要文件傳輸，您的組織無法阻止這些端口，則應該確保在傳輸所有文件之前對其掃描以確定是否存在惡意軟件。如果客戶端工作站使用的不是實時防病毒掃描程序，則應該將即時消息應用程序配置為：一收到文件，就自動將傳輸的文件傳遞到防病毒應用程序進行掃描。例如，您可以將 MSN Messenger 配置為自動掃描傳輸的文件。以下步驟說明如何啟用此安全功能：

　　注意：Windows XP 附帶的 Windows Messenger 應用程序不支持此功能。對于此應用程序，應該使用實時防病毒掃描程序。

　　掃描 MSN Messenger 傳輸的文件

　　1. 在 MSN Messenger 主窗口中，單擊"工具"菜單，然后單擊"選項"。
 
　　2. 單擊"消息"選項卡。
 
　　3. 在"文件傳輸"下，選中"使用下列程序進行病毒掃描"（掃描病毒時使用）復選框。
 
　　4. 單擊"瀏覽"，選擇要使用的防病毒掃描軟件，然后單擊"確定"。

　　注意：在此處查找要使用的正確可執行文件和要包括的命令參數，可能需要防病毒掃描軟件供應商的另外輸入。

　　完成這些步驟之后，您的防病毒軟件將在客戶端上自動掃描通過 MSN Messenger 接收的所有文件。

　　注意：您的防病毒掃描工具可能需要另外的設置步驟。有關詳細信息，請查看防病毒掃描軟件的說明。

　　從 Internet 下載或執行代碼之前，您希望確保知道它來自已知的、可靠的來源。您的用戶不應該僅依賴于站點外觀或站點地址，因為網頁和網址都可以是偽造的。

　　已經開發了許多不同的方法和技術，來幫助用戶的 Web 瀏覽器應用程序確定用戶所瀏覽網站的可靠性。例如，Microsoft Internet Explorer 使用 Microsoft Authenticode? 技術驗證已下載代碼的身份。Authenticode 技術驗證代碼是否具有有效的證書、軟件發布者的身份是否與證書匹配以及證書是否仍然有效。如果通過了所有這些測試，將會降低攻擊者將惡意代碼傳輸到系統的可能性。

　　大多數主要的 Web 瀏覽器應用程序支持限制可用于從 Web 服務器執行的代碼的自動訪問級別的功能。Internet Explorer 使用安全區域幫助阻止 Web 內容在客戶端上執行有可能產生破壞的操作。安全區域基于 Web 內容的位置（區域）。

　　例如，如果確信在組織的 Intranet 中下載的任何內容都是安全的，則您可能將本地 Intranet 區域的客戶端安全設置配置為低級，以便允許用戶從 Intranet 下載內容時限制很少或沒有限制。但是，如果下載源位于 Internet 區域或"受限制的站點"區域，則您可能希望將客戶端的安全設置配置為中級或高級。這些設置將導致客戶端瀏覽器在用戶下載內容之前提示他們輸入有關內容證書的信息，或者完全阻止他們進行下載。

　　有關 Internet Explorer 安全相關問題的詳細信息，請參閱 Microsoft.com 上的 Internet Explorer 安全中心。

　　對等應用程序

　　Internet 范圍的對等 (P2P) 應用程序的出現，使得查找文件和與他人交換文件比以前任何時候都更為容易。不幸的是，此情況已經引發了許多惡意軟件攻擊，它們試圖使用這些應用程序將文件復制到其他用戶的計算機。蠕蟲（如 W32.HLLW.Sanker）已經將 P2P 應用程序（如 Kazaa）作為攻擊目標以達到復制目的。還有許多試圖使用其他對等應用程序（如 Morpheus 和 Grokster）的惡意軟件示例。

　　圍繞 P2P 應用程序的安全問題與客戶端程序本身幾乎沒有關系。這些問題與這些應用程序的以下功能有很大關系：提供從一臺計算機到另一臺計算機的直接路由。通過此功能，不經過適當的安全檢查即可傳輸內容。

　　如果可能，Microsoft 建議限制組織中使用這些應用程序的客戶端數量。您可以使用本章前面所述的 Windows 軟件限制策略，幫助阻止用戶運行對等應用程序。如果在您的環境中這是不可能的，請確保在制定防病毒策略時，將環境中客戶端因這些應用程序而面臨的更大風險考慮在內。