1、简介
所有组织都应该开发将提供高级别保护的防病毒解决方案。但是，甚至是在安装了防病毒软件后，许多组织仍然感染了病毒。本指南提出了解决恶意软件（或 malware）问题的一种不同方法。与网络安全设计一样，Microsoft 建议设计防病毒解决方案时采用深层防护方法，以便帮助确保组织在设计时采用的安全措施将得到可能的维护。
这样的方法对于组织的计算机安全是极其重要的，因为不管计算机系统提供多少有用的功能或服务，都会有人（无论出于什么原因）将试图找到漏洞以便恶意利用它，这是一件不幸的事。
与在各种环境中实施了 Microsoft? Windows Server? 2003、Windows? XP Professional 和 Windows? 2000 的顾问和系统工程师协作，有助于建立保护运行这些操作系统的客户端和服务器免受恶意软件攻击的最新的最佳做法。本章为您提供此信息。
本章还提供指导以帮助您在为组织设计防病毒安全解决方案时使用深层防护方法。此方法的目的是确保您了解模型的每个层以及对应于每个层的特定威胁，以便您可以在实施自己的防病毒措施时使用此信息。
注意：Microsoft 建议在您组织的一般安全过程和策略中包括本指南中的某些步骤。在出现这样的情况时，本指南会指明要求组织的安全小组进一步定义。
要点：如果怀疑您的组织当前正受到攻击，请在阅读本章之前，先参考本指南中的第 4 章"突发控制和恢复"。
如果您是在遇到恶意软件的攻击并进行恢复之后阅读本指南，则提供的信息旨在帮助您防止再次发生这样的攻击以及更好地了解以前的攻击是如何发生的。
2、恶意软件的威胁方法
恶意软件可以通过许多方法来损害组织。这些方法有时称为"威胁方法"，它们代表在设计有效的防病毒解决方案时您的环境中最需要引起注意的区域。下面的列表包括典型组织中最容易受到恶意软件攻击的区域：
• 外部网络。没有在组织直接控制之下的任何网络都应该认为是恶意软件的潜在源。但是，Internet 是最大的恶意软件威胁。Internet 提供的匿名和连接允许心怀恶意的个人获得对许多目标的快速而有效访问，以使用恶意代码发动攻击。

• 来宾客户端。随着便携式计算机和移动设备在企业中的使用越来越广泛，设备经常移入和移出其他组织的基础结构。如果来宾客户端未采取有效的病毒防护措施，则它们就是组织的恶意软件威胁。

• 可执行文件。具有执行能力的任何代码都可以用作恶意软件。这不仅包括程序，而且还包括脚本、批处理文件和活动对象（如 Microsoft ActiveX? 控件）。

• 文档。随着文字处理器和电子表格应用程序的日益强大，它们已成为恶意软件编写者的目标。许多应用程序内支持的宏语言使得它们成为潜在的恶意软件目标。

• 电子邮件。恶意软件编写者可以同时利用电子邮件附件和电子邮件内活动的超文本标记语言 (HTML) 代码作为攻击方法。

• 可移动媒体。通过某种形式的可移动媒体进行的文件传输是组织需要作为其病毒防护的一部分解决的一个问题。其中一些更常用的可移动媒体包括：
• CD-ROM 或 DVD-ROM 光盘。廉价的 CD 和 DVD 刻录设备的出现使得所有计算机用户（包括编写恶意软件的用户）都可以容易地访问这些媒体。

• 软盘驱动器和 Zip 驱动器。这些媒体不再像以前那样流行了，原因是其容量和速度有限，但是如果恶意软件可以物理访问它们，则它们仍然会带来风险。

• USB 驱动器。这些设备具有多种形式，从经典的钥匙圈大小的设备到手表。如果可以将所有这些设备插入主机的通用串行总线 (USB) 端口，则这些设备都可以用于引入恶意软件。

• 内存卡。数字照相机和移动设备（如 PDA 和移动电话）已经帮助建立了数字内存卡。卡阅读器正日益成为计算机上的标准设备，使用户可以更轻松地传输内存卡上的数据。由于此数据是基于文件的，因此这些卡也可以将恶意软件传输到主机系统上。

3、恶意软件防护方法
在针对恶意软件尝试组织有效的防护之前，需要了解组织基础结构中存在风险的各个部分以及每个部分的风险程度。Microsoft 强烈建议您在开始设计防病毒解决方案之前，进行完整的安全风险评估。优化解决方案设计所需的信息只能通过完成完整的安全风险评估获得。
有关进行安全风险评估的信息和指导，请参阅"Microsoft Solution for Securing Windows 2000 Server"（保护 Windows 2000 Server 的 Microsoft 解决方案）指南，其网址为：
*****（英文）。此指南介绍了安全风险管理规则 (SRMD)，您可以使用它了解您的组织所面临风险的特性。
深层防护安全模型
在发现并记录了组织所面临的风险后，下一步就是检查和组织您将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护，它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。如果您不熟悉深层防护安全模型，Microsoft 建议您查看 Microsoft TechNet 上的"Security Content Overview"（安全内容概述）页，其网址为：
*****（英文）。
您还可以在 TechNet 上的"MSA Reference Architecture Kit"（MSA 参考体系结构工具包） 中找到此过程的其他信息和实用设计示例，其网址为：
*****（英文）。
您可以根据组织的安全优先级和要求，修改每层的详细定义。为了便于在本指南中讲述，下面的简单定义对模型的各层进行了定义：
• 数据层。数据层上的风险源自这样的漏洞：攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。例如，敏感数据（如机密的业务数据、用户数据和私有客户信息存储）都应该视为此层的一部分。在模型的此层上，组织主要关注的是可能源自数据丢失或被盗的业务和法律问题，以及漏洞在主机层或应用程序层上暴露的操作问题。

• 应用程序层。应用程序层上的风险源自这样的漏洞：攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。在此层上组织主要关注的是：对组成应用程序的二进制文件的访问；通过应用程序侦听服务中的漏洞对主机的访问；不适当地收集系统中特定数据，以传递给可以使用该数据达到自己目的的某个人。

• 主机层。提供 Service Pack 和修复程序以处理恶意软件威胁的供应商通常将此层作为目标。此层上的风险源自利用主机或服务所提供服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。缓冲区溢出（它是因添加到缓冲区的信息量比缓冲区的设计容量更大而产生的情况）就是一个良好的示例。在此层上组织主要关注的是阻止对组成操作系统的二进制文件的访问，以及阻止通过操作系统侦听服务中的漏洞对主机的访问。

• 内部网络层。组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要求也具有许多与其关联的风险。

• 外围网络层。与外围网络层（也称为 DMZ、网络隔离区域或屏幕子网）关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口。

• 物理安全层。物理层上的风险源自可以物理访问物理资产的攻击者。此层包括前面的所有层，因为对资产的物理访问又可以允许访问深层防护模型中的所有其他层。使用防病毒系统的组织在模型的此层上主要关注的是阻止感染文件避开外围网络和内部网络的防护。攻击者可能只是通过某个物理可移动媒体（如 USB 磁盘设备）将感染文件直接复制到主机，试图做到这一点。

• 策略、过程和意识层。围绕安全模型所有层的是，您的组织为满足和支持每个级别的要求需要制定的策略和过程。最后，提高组织中对所有相关方的意识是很重要的。在许多情况下，忽视风险可以导致安全违反。由于此原因，培训也应该是任何安全模型的不可缺少的部分。

通过将模型的安全层用作深层病毒防护方法的基础，您就可以重新集中视图以便将它们优化到组织中病毒防护的分组中。在组织中进行此优化的方式完全取决于组织指定的优先级和它所使用的特定防护应用程序。重点是通过确保没有从防护中排除任何安全层，来避免不完整的和弱化的防病毒设计。
可以将数据层、应用程序层和主机层组合到两个防护策略中，以保护组织的客户端和服务器。虽然这些防护共享许多公共策略，但是实施客户端和服务器防护方面的差异足以保证对于每个防护都是唯一的防护方法。
内部网络层和外围层也可以组合到一个公共网络防护策略中，因为这两个层所涉及的技术是相同的。每个层中的实施细节将是不同的，具体取决于组织基础结构中的设备位置和技术。

4、客户端防护
当恶意软件到达主机时，防护系统必须集中于保护主机系统及其数据，并停止感染的传播。这些防护与环境中的物理防护和网络防护一样重要。您应该根据以下假定来设计主机防护：恶意软件已经找到了通过前面的所有防护层的方法。此方法是达到最高保护级别的最佳方法。
客户端的病毒防护步骤
您可以使用许多方法和技术配置客户端病毒防护。以下各节详细说明 Microsoft 建议的注意事项。
步骤 1：减小攻击面
应用程序层上的第一道防护是减小计算机的攻击面。应该在计算机上删除或禁用所有不需要的应用程序或服务，以最大限度地减少攻击者可以利用系统的方法数。
在***** 上 Windows XP Professional 产品文档的"Default settings for services"（默认服务设置）页上，可以找到 Windows XP Professional 服务的默认设置，该页的网址为：*****（英文）。
在已经将攻击面减至最小，且不影响系统的所需功能后，要此层上使用的主要防护是防病毒扫描程序。扫描程序的主要作用是检测和阻止攻击，然后通知组织中的用户，还可能通知组织中的系统管理员。
步骤 2：应用安全更新
可能连接到组织网络的客户端计算机数量很大，而且种类很多，仅这一点就可以导致很难提供快速而可靠的安全更新管理服务。Microsoft 和其他软件公司已经开发了许多可用来帮助解决此问题的工具。下列修补程序管理和安全更新工具当前可以从 Microsoft 获得：
• Windows Update。对于小型组织或个人，Windows Update 服务同时提供了手动过程和自动过程来检测和下载 Windows 平台的最新安全和功能修改。在某些组织中使用此方法时出现的问题包括：在从此服务部署更新之前缺少对测试的支持、同时下载同一程序包时客户端可能占用组织中一定量的网络带宽。有关使用此服务的信息可从 Windows Update 主页获得，其网址为：
*****（英文）。

• Software Update Service。此服务旨在为企业中的 Windows 客户端提供安全更新解决方案。通过既允许内部测试也允许分布式安全更新管理，此服务为更大组织克服了 Windows Update 的这两项不足。有关使用此服务为您的组织开发解决方案的信息可从***** 上的 Software Update Service 主页获得，其网址为：
*****（英文）。

• Systems Management Server 2003。Microsoft Systems Management Server 2003 是一个完整的企业管理解决方案，它能够提供综合的安全更新服务以及更多功能。有关此解决方案的详细信息，请参阅***** 上的 Systems Management Server 主页，其网址为：
*****（英文）。

其中的每种 Microsoft 安全更新工具都有特定的优点和用途。最佳方法很可能是使用其中的一种或多种工具。为帮助评估组织的安全更新解决方案，请参阅***** 上"Choosing a Security Update Management Solution"（选择安全更新管理解决方案）页提供的功能比较，其网址为：
*****（英文）。
步骤 3：启用基于主机的防火墙
基于主机的防火墙或个人防火墙代表您应该启用的重要客户端防护层，尤其是在用户可能带到组织通常的物理和网络防护之外的便携式计算机上。这些防火墙会筛选试图进入或离开特定主机的所有数据。
Windows XP 包括名为"Internet 连接防火墙"(ICF) 的简单个人防火墙。ICF 在被启用后将监视通过它的通信的所有方面。ICF 还检查它处理的每个数据包的源地址和目标地址，以确保每个通信都是允许的通信。有关 ICF 的详细信息，请参阅 Windows XP 帮助系统以及***** 上的"Use the Internet Connection Firewall"（使用 Internet 连接防火墙）页，其网址为：
*****（英文）。
Windows XP Service Pack 2 引入了对 ICF（现在称为"Windows 防火墙"）的许多重要增强以及其他面向安全性的改进。Service Pack 是自产品发布以来经过测试的所有修复程序、安全更新、关键更新和为内部发现的缺陷创建的更新的累积集合。Service Pack 也可能包含少量客户请求的设计更改或功能。有关 Windows XP 的此更新的信息，请参阅 Microsoft TechNet 上的"Windows XP Service Pack 2"页，其网址为：
*****（英文）。
Windows XP 之前的 Windows 版本没有附带内置防火墙。可以安装基于主机的第三方防火墙解决方案，在更早版本的 Windows 上提供防火墙服务以及增强 Windows XP 客户端上的防火墙服务。有关这些防火墙产品的信息，请参阅 Microsoft Protect Your PC（保护您的 PC）网站上的"Frequently Asked Questions About Internal Firewalls"（内部防火墙常见问题解答）页，其网址为：
*****（英文）。
步骤 4：安装防病毒软件
许多公司推出防病毒应用程序，其中每个应用程序都试图保护主机，同时对最终用户产生最少的不便和交互。其中的大多数应用程序在提供此保护方面都是很有效的，但是它们都要求经常更新以应对新的恶意软件。任何防病毒解决方案都应该提供快速的无缝机制，来确保尽快提供对处理新恶意软件或变种所需的签名文件的更新。签名文件包含防病毒程序在扫描过程中用来检测恶意软件的信息。根据设计，签名文件由防病毒应用程序供应商定期更新，需要下载到客户端计算机。
注意：这样的更新会带来自身的安全风险，因为签名文件是从防病毒程序的支持站点发送到主机应用程序（通常通过 Internet）。例如，如果传输机制使用文件传输协议 (FTP) 获得文件，则组织的外围防火墙必须允许对 Internet 上所需 FTP 服务器进行此类型的访问。请确保在防病毒风险评估过程中审查组织的更新机制，而且此过程的安全性足以满足组织的安全要求。
由于恶意软件的模式和技术快速变化，一些组织采用了以下方法：建议要求某些"高风险"用户在同一计算机上运行多个防病毒程序包，以帮助将未能检测到恶意软件的风险减到最小。下列用户类型通常属于此类别：
• Web 管理员或管理 Internet 或 Intranet 上内容的任何用户。

• 发布实验室工作人员或制作电子媒体（如 CD-ROM）的任何用户。

• 创建或编译压缩文件或其他产品软件的开发小组成员。

应该注意，在同一计算机上运行许多不同应用程序供应商推出的防病毒应用程序，可能会因防病毒应用程序之间的互操作性问题而产生问题。在您的环境中同时运行多个防病毒应用程序可能导致的系统问题包括：
• 内存开销。许多防病毒应用程序使用驻留在内存中的活动代理程序，因而减少了可用的系统内存量。

• 系统崩溃或停止错误。这样的崩溃和错误可能是由于多个防病毒应用程序试图同时扫描同一文件导致的。

• 性能损失。当防病毒应用程序在文件中扫描恶意代码时，系统性能可能会下降。使用多个应用程序时，会重复执行扫描，这可能会将系统性能降低到不可接受的水平。

• 无法访问系统。试图同时运行的多个防病毒应用程序可能导致系统在启动过程中停止运行。在更早版本的 Windows（如 Microsoft Windows? NT 和 Windows 9x）上，此问题更为常见。

由于这些原因，不建议在同一计算机上使用多个防病毒应用程序，应该尽可能避免。
要考虑的另一种方法是为组织中的客户端、服务器和网络防护使用来自不同供应商的防病毒软件。此方法使用不同的扫描引擎提供对基础结构的这些不同区域的一致扫描，这应该有助于在单个供应商的产品未能检测到攻击时减少对总体病毒防护的风险。
有关防病毒供应商的详细信息，请参阅***** 上的"Microsoft Antivirus Partners"（Microsoft 防病毒合作伙伴），其网址为：
*****（英文）。
有关为 Windows XP 设计的防病毒软件的详细信息，请参阅***** 上的"Microsoft Windows Catalog Antivirus"（Microsoft Windows 目录防病毒）页，其网址为：*****（英文）。
步骤 5：测试漏洞扫描程序
在配置系统之后，应该定期检查它以确保没有留下安全漏洞。为了帮助您完成此过程，许多应用程序可用作扫描程序来查找恶意软件和黑客可能试图利用的漏洞。其中的大多数工具更新自己的扫描例程，以保护您的系统免受最新漏洞的攻击。
Microsoft 基准安全分析器 (MBSA) 是能够检查常见安全配置问题的漏洞扫描程序的一个示例。此扫描程序还进行检查，以确保您的主机配置了最新的安全更新。
有关此免费配置工具的详细信息，请参阅 TechNet 上的"Microsoft Baseline Security Analyzer V1.2"（Microsoft 基准安全分析器 V1.2）页，其网址为：*****（英文）。
步骤 6：使用最少特权策略
在客户端防护中不应忽视的另一区域是在正常操作下分配给用户的特权。Microsoft 建议采用这样的策略：它提供可能的最少特权以帮助将在执行时依赖利用用户特权的恶意软件的影响减到最小。对于通常具有本地管理特权的用户，这样的策略尤其重要。请考虑对日常操作删除这样的特权，并在必要时改用 RunAs 命令启动所需的管理工具。
例如，需要安装要求管理员特权的应用程序的用户可能在命令提示符下运行以下安装命令，以适当的特权启动安装程序：
runas /user:mydomainadmin "setup.exe"

您也可以直接从 Microsoft Windows 资源管理器访问此功能，方法是执行以下步骤：
以管理特权运行程序
1.在 Windows 资源管理器中，选择要打开的程序或工具（如 Microsoft 管理控制台 (MMC) 管理单元或控制面板）。

2.右键单击该程序或工具，然后选择"运行方式"。
注意：如果"运行方式"没有作为选项出现，请按住 Shift 键右键单击该工具。

3.在"运行方式"对话框中，选择"下列用户："选项。

4.在"用户名"和"密码"框中，键入要使用的管理员帐户的用户名和密码。
步骤 7：限制未授权的应用程序
如果应用程序为网络提供一种服务，如 Microsoft Instant Messenger 或 Web 服务，则在理论上它可能成为恶意软件攻击的目标。作为防病毒解决方案的一部分，您可能希望考虑为组织编写已授权应用程序的列表。将未授权应用程序安装在您的任一客户端计算机上的尝试，可能会使所有这些计算机及其包含的数据面临受到恶意软件攻击的更大风险。
如果您的组织希望限制未授权的应用程序，则您可以使用 Windows 组策略限制用户运行未授权软件的能力。如何使用组策略已经得到广泛的讨论，有关它的详细信息可以在***** 上的 Windows Server 2003 Group Policy Technology Center（英文）（Windows Server 2003 组策略技术中心）找到，其网址为：
*****。
处理此功能的组策略的特定方面称为"软件限制策略"，可以通过标准组策略 MMC 管理单元访问它。
要直接从 Windows XP 客户端访问此管理单元，请完成以下步骤：
1.单击"开始"、"运行"。

2.键入 secpol.msc，然后单击"确定"。
对所有可能的设置进行详细说明，超出了本指南的范围。但是，TechNet 上的文章"Using Software Restriction Policies to Protect Against Unauthorized Software"（使用软件限制策略防止未授权软件），其网址为：
*****（英文），将为您提供有关使用 Windows XP Professional 操作系统的这一强大功能的分步指导。
警告：组策略是功能极其强大的技术，需要仔细配置和详尽了解才能成功实施。在确信熟悉策略设置并在非产品系统上测试了结果之前，不要尝试直接更改这些设置。
客户端应用程序的防病毒设置
以下各节提供配置恶意软件可能作为攻击目标的特定客户端应用程序的准则。
电子邮件客户端
如果恶意软件确实设法通过了网络和电子邮件服务器级别上的病毒防护，则可能存在一些设置，您可以进行配置以便为电子邮件客户端提供额外保护。
通常，如果用户能够直接从电子邮件打开电子邮件附件，则为恶意软件在客户端上传播提供了主要方式之一。如有可能，请考虑在组织的电子邮件系统中限制此能力。如果这是不可能的，一些电子邮件客户端允许您配置另外的步骤，用户将必须执行这些步骤才能打开附件。例如，在 Microsoft Outlook? 和 Outlook Express 中，您能够：
• 使用 Internet Explorer 安全区域禁用 HTML 电子邮件中的活动内容。

• 启用一项设置以便用户只能以纯文本格式查看电子邮件。

• 阻止程序在未经特定用户确认的情况下发送电子邮件。

• 阻止不安全的电子邮件附件。

有关如何配置这些功能的信息，请参阅 Microsoft 知识库文章"291387 - OLEXP:在 Outlook Express 6 中使用病毒防护功能"，其网址为：
*****。
Microsoft Outlook 2003 包括防止恶意软件和垃圾邮件的附加功能。有关配置这些功能的信息，请参阅***** 上的 Customizing Outlook 2003 to Help Prevent Viruses（英文）（自定义 Outlook 2003 以帮助防护病毒）页，其网址为：
*****。
桌面应用程序
随着桌面办公应用程序的日益强大，它们也成为恶意软件的攻击目标。宏病毒使用字处理器、电子表格或其他支持宏的应用程序创建的文件复制自身。
您应该尽可能采取措施，以确保在环境中处理这些文件的所有应用程序上启用最合适的安全设置。有关保护 Microsoft Office 2003 应用程序的信息，请参阅***** 上的"Best practices for protection from viruses"（病毒防护的最佳做法）页，其网址为：
*****（英文）。
即时消息应用程序
非凡的即时消息技术帮助改进了全世界用户的通信。不幸的是，它还提供了有可能允许恶意软件进入系统的另一应用程序。虽然文本消息不会构成直接的恶意软件威胁，但是大多数即时 Messenger 客户端提供另外的文件传输功能以提高用户的通信能力。允许文件传输提供了进入组织网络的直接路由，有可能受到恶意软件的攻击。
网络防火墙只需筛选用于此通信的端口，即可阻止这些文件传输。例如，Microsoft Windows 和 MSN? Messenger 客户端使用介于 6891 和 6900 之间的 TCP 端口传输文件，因此，如果外围防火墙阻止这些端口，则通过 Instant Messenger 的文件传输就不会发生。但是，移动客户端计算机仅当在组织网络上时才受到保护。因此，您可能希望配置客户端上的基于主机的防火墙阻止这些端口，并且在组织中的移动客户端处于网络防护之外时为它们提供保护。
如果因为其他必需的应用程序使用这些端口或者需要文件传输，您的组织无法阻止这些端口，则应该确保在传输所有文件之前对其扫描以确定是否存在恶意软件。如果客户端工作站使用的不是实时防病毒扫描程序，则应该将即时消息应用程序配置为：一收到文件，就自动将传输的文件传递到防病毒应用程序进行扫描。例如，您可以将 MSN Messenger 配置为自动扫描传输的文件。以下步骤说明如何启用此安全功能：
注意：Windows XP 附带的 Windows Messenger 应用程序不支持此功能。对于此应用程序，应该使用实时防病毒扫描程序。
扫描 MSN Messenger 传输的文件
1.在 MSN Messenger 主窗口中，单击"工具"菜单，然后单击"选项"。

2.单击"消息"选项卡。

3.在"文件传输"下，选中"使用下列程序进行病毒扫描"（扫描病毒时使用）复选框。

4.单击"浏览"，选择要使用的防病毒扫描软件，然后单击"确定"。
注意：在此处查找要使用的正确可执行文件和要包括的命令参数，可能需要防病毒扫描软件供应商的另外输入。
完成这些步骤之后，您的防病毒软件将在客户端上自动扫描通过 MSN Messenger 接收的所有文件。
注意：您的防病毒扫描工具可能需要另外的设置步骤。有关详细信息，请查看防病毒扫描软件的说明。
Web 浏览器
从 Internet 下载或执行代码之前，您希望确保知道它来自已知的、可靠的来源。您的用户不应该仅依赖于站点外观或站点地址，因为网页和网址都可以是伪造的。
已经开发了许多不同的方法和技术，来帮助用户的 Web 浏览器应用程序确定用户所浏览网站的可靠性。例如，Microsoft Internet Explorer 使用 Microsoft Authenticode? 技术验证已下载代码的身份。Authenticode 技术验证代码是否具有有效的证书、软件发布者的身份是否与证书匹配以及证书是否仍然有效。如果通过了所有这些测试，将会降低攻击者将恶意代码传输到系统的可能性。
大多数主要的 Web 浏览器应用程序支持限制可用于从 Web 服务器执行的代码的自动访问级别的功能。Internet Explorer 使用安全区域帮助阻止 Web 内容在客户端上执行有可能产生破坏的操作。安全区域基于 Web 内容的位置（区域）。
例如，如果确信在组织的 Intranet 中下载的任何内容都是安全的，则您可能将本地 Intranet 区域的客户端安全设置配置为低级，以便允许用户从 Intranet 下载内容时限制很少或没有限制。但是，如果下载源位于 Internet 区域或"受限制的站点"区域，则您可能希望将客户端的安全设置配置为中级或高级。这些设置将导致客户端浏览器在用户下载内容之前提示他们输入有关内容证书的信息，或者完全阻止他们进行下载。
有关 Internet Explorer 安全相关问题的详细信息，请参阅***** 上的 Internet Explorer Security Center（英文）（Internet Explorer 安全中心）页，其网址为：
*****。
对等应用程序
Internet 范围的对等 (P2P) 应用程序的出现，使得查找文件和与他人交换文件比以前任何时候都更为容易。不幸的是，此情况已经引发了许多恶意软件攻击，它们试图使用这些应用程序将文件复制到其他用户的计算机。蠕虫（如 W32.HLLW.Sanker）已经将 P2P 应用程序（如 Kazaa）作为攻击目标以达到复制目的。还有许多试图使用其他对等应用程序（如 Morpheus 和 Grokster）的恶意软件示例。
围绕 P2P 应用程序的安全问题与客户端程序本身几乎没有关系。这些问题与这些应用程序的以下功能有很大关系：提供从一台计算机到另一台计算机的直接路由。通过此功能，不经过适当的安全检查即可传输内容。
如果可能，Microsoft 建议限制组织中使用这些应用程序的客户端数量。您可以使用本章前面所述的 Windows 软件限制策略，帮助阻止用户运行对等应用程序。如果在您的环境中这是不可能的，请确保在制定防病毒策略时，将环境中客户端因这些应用程序而面临的更大风险考虑在内。

服务器防护
环境中的服务器防护与客户端防护有许多共同之处；二者都试图保护同一基本个人计算机环境。两者的主要差异在于，服务器防护在可靠性和性能方面的预期级别通常高得多。此外，许多服务器在组织基础结构中起到的专门作用通常需要制定专门的防护解决方案。以下各节中的信息集中说明服务器防护和前面讨论的客户端防护之间的主要差异。
服务器的病毒防护步骤
服务器的防病毒配置有很大差异，具体取决于特定服务器的角色以及根据设计它所提供的服务。将攻击面减到最小的过程通常称为"强化"。您可以获取有关强化组织中用于各种典型角色的 Windows Server 2003 的最佳指南。有关本主题的详细信息，请参阅***** 上的"Server Security Index"（服务器安全性索引）页，其网址为：
*****（英文）。
在组织中防护服务器的四个基本防病毒步骤与防护客户端的步骤相同。
1.减小攻击面。从服务器中删除不需要的服务和应用程序，将其攻击面减到最小。

2.应用安全更新。如有可能，请确保所有服务器计算机运行的都是最新的安全更新。根据需要执行其他测试，以确保新的更新不会对关键任务服务器产生负面影响。

3.启用基于主机的防火墙。Windows Server 2003 包括一个基于主机的防火墙，您可以使用它减小服务器的攻击面以及删除不需要的服务和应用程序。

4.使用漏洞扫描程序进行测试。使用 Windows Server 2003 上的 MBSA 帮助识别服务器配置中可能存在的漏洞。Microsoft 建议使用此漏洞扫描程序和其他专用漏洞扫描程序，帮助确保配置尽可能强大。

除了这些常用的防病毒步骤之外，请考虑将以下服务器特定的软件用作总体服务器病毒防护的一部分。
一般的服务器防病毒软件
为客户端环境（如 Windows XP）设计的防病毒应用程序和为服务器环境（如 Windows Server 2003）设计的防病毒应用程序之间的主要差异在于，基于服务器的扫描程序和任何基于服务器的服务（如消息服务或数据库服务）之间的集成级别。许多基于服务器的防病毒应用程序还提供了远程管理功能，以最大限度地减少物理访问服务器控制台的需要。
在为服务器环境评估防病毒软件时应该考虑的其他重要问题包括：
• 扫描期间的 CPU 使用率。在服务器环境中，CPU 使用率是服务器在组织中发挥其主要作用的能力的关键组成部分。

• 应用程序可靠性。重要的数据中心服务器上的系统崩溃所产生的影响比单个工作站崩溃大得多。因此，Microsoft 建议全面测试所有基于服务器的防病毒应用程序，以确保系统可靠性。

• 管理开销。防病毒应用程序的自我管理能力可以帮助组织中的服务器管理小组减少管理开销。

• 应用程序互操作性。测试防病毒应用程序时使用的基于服务器的服务和应用程序应该与产品服务器将运行的相同，以确保不存在互操作性问题。

有关已经过认证可以在 Windows Server 2003 上使用的防病毒应用程序的列表，请单击 Windows Server Catalog（Windows Server 目录）的"Business Solutions, Security"（业务解决方案，安全性）页，其网址为 *****（英文）。
角色特定的防病毒配置和软件
现在，有许多可用于企业中特定服务器角色的专用防病毒配置、工具和应用程序。可以从此类型专用防病毒防护中获益的服务器角色的示例有：
• Web 服务器如 Microsoft Internet 信息服务 (IIS)。

• 消息服务器如 Microsoft Exchange 2003。

• 数据库服务器如运行 Microsoft SQL Server? 2000 的服务器。

• 协作服务器如运行 Microsoft Windows SharePoint? Services 和 Microsoft Office SharePoint Portal Server? 2003 的服务器。

应用程序特定的防病毒解决方案通常提供更佳的保护和性能，因为它们设计用于与特定服务集成在一起，而不是试图在文件系统级服务的下面起作用。本节讨论的所有服务器角色均负责有关在文件系统级运行的防病毒扫描程序无法访问的信息。还提供了有关其中每个服务器角色的信息，以及 Microsoft 建议如何将特定防病毒配置、工具和应用程序与它们一起使用。
Web 服务器
在一段时间内，所有类型的组织中的 Web 服务器都曾经是安全攻击的目标。不管攻击来自恶意软件（如 CodeRed）还是来自试图破坏组织网站的黑客，充分配置 Web 服务器上的安全设置以最大限度地防御这些攻击都是很重要的。Microsoft 在***** 上"Windows Server 2003 Security Guide"（Windows Server 2003 安全指南）的"Chapter 8 - Hardening IIS Servers"（第 8 章 - 强化 IIS 服务器）中专门为负责保护网络上运行 IIS 的服务器的系统管理员提供了指导，网址为：
*****（英文）。
除了此指导外，您还可以下载某些免费工具，它们将在 IIS 上自动执行许多安全配置。例如，可以从***** 上下载 IIS Lockdown Tool，网址为：
*****（英文）。
此工具用于调整 Web 服务器，以便仅提供其角色所需的那些服务，因此减小了任何恶意软件对服务器的攻击面。
UrlScan 是限制 IIS 要处理的 HTTP 请求类型的另一种安全工具。通过阻止特定的 HTTP 请求，UrlScan 可以帮助阻止可能有害的请求到达服务器。现在，您可以在运行 IIS 4.0 或更高版本的服务器上干干净净地安装 UrlScan 2.5。有关 UrlScan 的详细信息，请参阅***** 上的"UrlScan Security Tool"（UrlScan 安全工具）页，其网址为：
*****（英文）。
消息服务器
为组织中的电子邮件服务器设计有效的防病毒解决方案时，要牢记两个目标。第一个目标是防止服务器本身受到恶意软件的攻击。第二个目标是阻止任何恶意软件通过电子邮件系统进入组织中用户的邮箱。务必确保在电子邮件服务器上安装的防病毒解决方案能够实现这两个目标。
一般来说，标准文件扫描防病毒解决方案无法阻止电子邮件服务器将恶意软件作为附件传递到客户端。所有电子邮件服务（最简单的除外）都将电子邮件存储于某种类型的数据库（有时称为"邮件文件夹"）。典型的文件扫描防病毒解决方案无法访问此类数据库的内容。事实上，如果允许文件扫描防病毒解决方案通过驱动器映射（如 Exchange Server 5.5 和 Exchange Server 2000 上的 M: 驱动器）尝试扫描，则它可能会损坏邮件文件夹。
使防病毒解决方案与正使用的电子邮件解决方案匹配是很重要的。许多防病毒供应商现在为特定电子邮件服务器提供其软件的专用版本，这些版本设计用于扫描经过电子邮件系统的电子邮件以确定是否包含恶意软件。以下两种基本类型的电子邮件防病毒解决方案通常是可用的：
• SMTP 网关扫描程序。这些基于简单邮件传输协议 (SMTP) 的电子邮件扫描解决方案通常称为防病毒"网关"解决方案。这些解决方案的优点是：可以用于所有的 SMTP 电子邮件服务，而不是仅用于特定电子邮件服务器产品。但是，由于这些解决方案依赖于 SMTP 电子邮件协议，因此它们在可以提供的某些更高级功能方面受到限制。

• 集成的服务器扫描程序。这些专用防病毒应用程序直接与特定的电子邮件服务器产品一起工作。这些应用程序确实有许多优点。例如，它们可以与高级服务器功能直接集成在一起，它们设计为与电子邮件服务器使用相同的硬件。

Microsoft Exchange 提供了名为"病毒 API"(VAPI)（也称为防病毒 API (AVAPI) 或病毒扫描 API (VSAPI)）的特定防病毒应用程序编程接口 (API)。此 API 由专门的 Exchange Server 防病毒应用程序使用，以帮助在 Exchange 电子邮件服务器上以安全而可靠的方式提供完全的消息传递保护。有关此 API 的详细信息，请参阅***** 上的 Microsoft 知识库文章"328841 - XADM:Exchange 与防病毒软件"，其网址为：
*****。
数据库服务器
在考虑数据库服务器的病毒防护时，需要保护以下四个主要元素：
• 主机。运行数据库的一个或多个服务器。

• 数据库服务。在主机上运行的为网络提供数据库服务的各种应用程序。

• 数据存储区。存储在数据库中的数据。

• 数据通信。网络上数据库主机和其他主机之间使用的连接和协议。

由于数据存储区内的数据不能直接执行，因此通常认为数据存储区本身不需要扫描。目前，没有专为数据存储区编写的主要防病毒应用程序。但是，在进行防病毒配置时，应该仔细考虑数据库服务器的主机、数据库服务和数据通信这些元素。
应该专门为恶意软件威胁检查主机的位置和配置。一般说来，Microsoft 建议不要将数据库服务器置于组织基础结构的外围网络中（尤其当服务器存储敏感数据时）。但是，如果必须在外围网络中放置这样的数据库服务器，请确保对它进行配置将感染恶意软件的风险减到最小。
如果您的组织使用 SQL Server，请参阅以下指导以获得有关特定恶意软件攻击配置准则的详细信息：
•***** 上的 Microsoft 知识库文章"309422 - INF:Consideration for a Virus Scanner On a Computer That Is Running SQL Server"（309422 - INF：运行 SQL Server 的计算机上的病毒扫描程序注意事项），其网址为：
*****（英文）。

•***** 上 Microsoft SQL Server 的 Security Resources（英文）（安全资源）页，其网址为：
*****。

最近的"Slammer"蠕虫直接将 SQL Server 作为攻击目标。此攻击表明无论 SQL Server 数据库计算机是位于外围网络还是内部网络中，保护它们都是非常重要的。
有关可帮助确保您的 SQL Server 系统免受 Slammer 蠕虫攻击的信息和软件，请参阅***** 上的"Finding and Fixing Slammer Vulnerabilities"（查找和修复 Slammer 漏洞）页，其网址为：
*****（英文）。
协作服务器
协作服务器本身的特点使它们易受恶意软件的攻击。当用户将文件复制到服务器和从服务器复制文件时，他们可能使网络上的服务器和其他用户受到恶意软件的攻击。Microsoft 建议使用可以扫描复制到协作存储区和从协作存储区复制的所有文件的防病毒应用程序，保护环境中的协作服务器（如运行 SharePoint Services 和 SharePoint Portal Server 2003 的服务器）。有关保护这些服务的详细分步信息，请参阅***** 上"Administrators Guide for Windows SharePoint Services"（Windows SharePoint Services 管理员指南）的"Configuring Antivirus Protection"（配置病毒保护）页，其网址为：
*****（英文）。
有关为与 Windows SharePoint Services 和 SharePoint Portal Server 2003 集成而专门编写的防病毒软件的信息，请参阅 Microsoft Office Online 上的"Solutions Directory "（解决方案目录）页，其网址为：
*****（英文）。

6、网络防护层
在已记录的恶意软件事件中，通过网络发动的攻击是最多的。通常，发动恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织 IT 基础结构中的主机设备。这些设备可以是客户端、服务器、路由器，或者甚至是防火墙。在此层上进行病毒防护所面临的最困难问题之一是，平衡 IT 系统用户的功能要求与创建有效防护所需的限制。例如，与许多最近的攻击类似，MyDoom 蠕虫使用电子邮件附件复制自己。从 IT 基础结构的角度来看，阻止所有传入附件是最简单、最安全的选项。但是，组织中电子邮件用户的需求可能不允许这样做。必须进行折衷，在组织的需求和它可以接受的风险级别之间达到平衡。
许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。Microsoft 建议使用此方法，因为它正好符合深层防护安全模型。
注意：存在一种日益增长的趋势：将内部网络分解为多个安全区域，以便为每个安全区域建立外围。Microsoft 也建议使用此方法，因为它可帮助降低试图访问内部网络的恶意软件攻击的总体风险。但是，本指南仅对单个网络防护进行说明。如果您计划使用一个外围网络和多个内部网络，则可以将此指导直接应用于每个网络。
组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过外部攻击进入组织。如本章前面所述，典型的恶意软件攻击集中于将文件复制到目标计算机。因此，您的病毒防护应该使用组织的常规安全措施，以确保只有经过适当授权的人员才能以安全方式（如通过加密的虚拟专用网络 (VPN) 连接）访问组织的数据。有关创建安全的外围网络设计的详细信息，请参阅 TechNet 上的 Microsoft Systems Architecture 2.0 指导，其网址为：
*****（英文）。
注意：您也应该将任何无线局域网 (LAN) 和 VPN 视为外围网络。如果您的组织已经采用这些技术，则对其进行保护是很重要的。如果无法提供此安全性，则可能允许攻击者直接访问您的内部网络（避开标准的外围防护）以发动攻击。
有关保护 WLAN 的详细信息，请参阅 TechNet 上的以下文章：
• "Planning a Secure Wireless LAN using Windows Server 2003 Certificate Services"（使用 Windows Server 2003 证书服务规划安全的 Wireless LAN），其网址为：
*****（英文）。

• "Securing Wireless LANs - A Windows Server 2003 Certificate Services Solution"（保护 Wireless LAN - Windows Server 2003 证书服务解决方案），其网址为：
*****（英文）。

有关保护 VPN 网络的指导，请参阅***** 上的以下文章：
• "MSA Enterprise Design for Remote Access"（用于远程访问的 MSA 企业设计），其网址为：
*****（英文）。

在本指南中，假定网络安全设计为组织提供了所需的标识、授权、加密和保护级别，以防止未经授权的攻击者直接侵入。但是，此时病毒防护是不完整的。下一步是将网络层防护配置为检测和筛选使用允许的网络通信（如电子邮件、Web 浏览和即时消息）的恶意软件攻击。
网络防病毒配置
有许多专门设计用于为组织提供网络安全的配置和技术。虽然这些是组织安全设计的重要部分，但是本节仅集中说明与病毒防护有直接关系的区域。您的网络安全和设计小组应该确定在组织中如何使用以下每种方法。
网络入侵检测系统
因为外围网络是网络中风险很大的部分，因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测 (NID) 系统的作用仅仅是提供：外部攻击的快速检测和报告。虽然 NID 系统是总体系统安全设计的一部分，而且不是特定的防病毒工具，但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如，一些恶意软件使用 IP 扫描来查找可进行感染的系统。由于此原因，应该将 NID 系统配置为与组织的网络管理系统一起工作，将任何不寻常的网络行为的警告直接传递给组织的安全人员。
要了解的一个关键问题是：对于任何 NID 实现，其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护，而且防护应该得到连续不断的实时监视。只有在此时，才能认为该过程是防护策略的一部分。否则，NID 系统实际上更像一个在攻击发生之后提供审核记录的工具。
有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备，也可以是集成到其他网络服务（如组织的防火墙服务）中的其他系统。例如，Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 产品包含 NID 系统功能以及防火墙和代理服务。
有关为 ISA Server 提供其他 NID 服务的 Microsoft ISA Server 合作伙伴的列表，请参阅***** 上的"Intrusion Detection"（入侵检测）页，其网址为：
*****（英文）。
应用程序层筛选
组织意识到使用 Internet 筛选技术监视和屏蔽网络通信中的非法内容（如病毒）不仅是有用的，而且是必需的。在过去，曾经使用防火墙服务提供的数据包层筛选执行了此筛选，仅允许根据源或目标 IP 地址或者特定的 TCP 或 UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) 在 OSI 网络模型的应用程序层上工作，因此它允许根据数据的内容检查和筛选数据。如果除了使用标准数据包层筛选外还使用 ALF，则可以实现的安全性要高得多。例如，使用数据包筛选可能允许您筛选通过组织防火墙的端口 80 网络流量，以便它只能传递到 Web 服务器。但是，此方法可能不提供足够的安全性。通过将 ALF 添加到解决方案中，您可以检查端口 80 上传递到 Web 服务器的所有数据，以确保它是有效的且不包含任何可疑代码。
ISA Server 可以在数据包通过组织防火墙时提供对它们的 ALF。可以扫描 Web 浏览和电子邮件，以确保特定于每个 Web 浏览和电子邮件的内容不包含可疑数据，如垃圾邮件或恶意软件。ISA Server 中的 ALF 功能启用深层内容分析，包括使用任何端口和协议检测、检查和验证流量的功能。有关提供筛选器以提高不同协议和 Web 通信的安全性和互操作性的供应商的列表，请参阅***** 上的"Partner Application Filters"（合作伙伴应用程序筛选器）页，其网址为：
*****（英文）。
有关 ALF 如何在 ISA Server 2000 中工作的详细说明，请参阅"Introducing the ISA Server 2000 Application Layer Filtering Kit"（ISA Server 2000 应用程序层筛选工具包简介）页，其网址为：
*****（英文）。

内容扫描
内容扫描在更高级防火墙解决方案中作为一项功能提供，或者作为单独服务（如电子邮件）的组件提供。内容扫描询问允许通过有效数据通道进入或离开组织网络的数据。如果内容扫描是在电子邮件上执行的，则它通常与电子邮件服务器协同工作以检查电子邮件的特性（如附件）。此方法可以在数据通过服务时实时扫描和识别恶意软件内容。有许多与 Microsoft 协作为 Microsoft Exchange Server 和 ISA Server 提供增强安全功能（如实时防病毒内容扫描）的合作伙伴。
有关可用于 Microsoft Exchange Server 2003 的合作伙伴防病毒产品的更多详细信息，请参阅***** 上的 Microsoft 知识库文章"823166 - 与 Exchange Server 2003 配合使用的防病毒软件概述"，其网址为：
*****。
有关已经开发了用于 ISA Server 的内容扫描产品的 Microsoft 合作伙伴的列表，请参阅***** 上的"Partners"（合作伙伴）页，其网址为：
*****（英文）。
URL 筛选
对于网络管理员可能可用的另一个选项是 URL 筛选，您可以使用它阻止有问题的网站。例如，您可能使用 URL 筛选阻止已知的黑客网站、下载服务器和个人 HTTP 电子邮件服务。
注意：主要的 HTTP 电子邮件服务站点（如 Hotmail 和 Yahoo）提供防病毒扫描服务，但是有许多较小站点根本不提供防病毒扫描服务。对组织防护来说，这是严重的问题，因为这样的服务会提供直接从 Internet 到客户端的路由。
网络管理员可以使用两种基本的 URL 筛选方法：
• 阻止列表。防火墙先检查有问题站点的预定义列表，然后才允许连接。允许用户连接没有专门在阻止列表中列出的站点。

• 允许列表。此方法仅允许与在组织已批准网站的预定义列表中输入的网站进行通信。

第一种方法依赖于识别可能存在问题的网站并将它们添加到列表中的主动过程。由于 Internet 的大小和可变特性，此方法需要自动化解决方案或很大的管理开销，通常仅对阻止数目较小的已知有问题网站是有用的，无法提供综合性保护解决方案。第二种方法提供了更好的保护，因为它的限制特性允许控制可供系统用户访问的站点。但是，除非进行了正确调查以识别用户所需的所有站点，否则此方法可能对许多组织来说限制性太强。
Microsoft ISA Server 支持使用其"站点和内容规则"手动创建这两个列表。但是，直接用于 ISA Server 的增强型自动化解决方案可从 Microsoft 合作伙伴处获得，以确保可以根据需要阻止或允许 URL，同时将管理开销减到最小。这些解决方案的列表可以从***** 上的"Microsoft Internet Security and Acceleration (ISA) Server Partners URL Filtering"（Microsoft Internet Security and Acceleration (ISA) Server 合作伙伴 URL 筛选）页获得，其网址为：
*****（英文）。
仅当客户端处于组织防护内时，这两种方法才会提供保护。移动客户端在办公室外直接连接到 Internet 时，将不提供此保护，这意味着您的网络可能会受到攻击。如果组织中的移动客户端需要 URL 筛选解决方案，则您应该考虑使用基于客户端的防护系统。但是，此方法可能会带来很大的管理开销，尤其是在具有大量移动客户端的环境中。
隔离网络
为保护网络可以使用的另一种方法是：为不满足组织最低安全要求的计算机建立隔离网络。
注意：不应该将此方法与某些防病毒应用程序中提供的隔离功能相混淆，后者将感染文件移动到计算机上的安全区域中，直到可以将其清除。
隔离网络应该限制（或者甚至阻止）对组织资源的内部访问，但是提供一种连接级别（包括 Internet）允许临时访问者的计算机高效工作，而不会给内部网络的安全带来风险。如果访问者的便携式计算机感染了恶意软件并连接到网络，则隔离网络可以限制其感染内部网络上其他计算机的能力。
与此类似的方法成功应用于 VPN 类型的远程连接，已经有一段时间了。在执行系统测试的同时，将 VPN 客户端转移到临时隔离网络。如果客户端通过了测试（例如由于具有所需的安全更新和防病毒签名文件），则将授予它们访问组织内部网络的权限。如果客户端不满足这些要求，则将断开它们的连接或允许它们访问隔离网络，这可以用来获得通过测试所必需的更新。现在，网络设计人员正研究此技术以帮助改进内部网络的安全性。
有关此方法的详细信息，请参阅***** 上"Microsoft Windows Server 2003 Deployment Kit"（Microsoft Windows Server 2003 部署工具包）的"Planning for Network Access Quarantine Control"（规划网络访问的隔离控制）页，其网址为：
*****（英文）。
ISA Server Feature Pack
如果您的组织使用 ISA Server 2000，则 Microsoft 还建议您使用在 ISA Server Feature Pack 1 中提供的其他功能。此免费附件提供其他安全功能，您可以使用这些功能提高网络防护中跨防火墙的通信（包括电子邮件）的安全性。您可以用来改进防病毒网络防护的功能包括：
• 增强的 SMTP 筛选器。此功能有助于以增强的可靠性和安全性筛选电子邮件。筛选基于附件的名称、大小或扩展名，以及发件人、域、关键字和任何 SMTP 命令及其长度。

• 增强的 Exchange 远程过程调用 (RPC) 筛选器。此功能保护通过不受信任的网络与 Exchange Server 计算机进行的 Outlook 电子邮件通信，而不要求您建立 VPN。为此，在 ISA Server Feature Pack 1 中还附带了以下额外功能：
• 管理员能够在 Outlook 和 Exchange Server 之间强制 RPC 加密。

• 出站 RPC 通信可以安全地通过 ISA Server，这又允许连接到 ISA Server 计算机的 Outlook 客户端访问外部 Exchange Server 计算机。


• UrlScan 2.5。此工具有助于在 ISA Server 计算机上的恶意 Web 请求能够进入网络和访问 Web 服务器之前，阻止这些请求。

• Outlook Web Access (OWA) 向导。您可以使用此向导快速而轻松地配置 ISA Server 以帮助保护 OWA 部署。

• RPC 筛选器配置向导。您可以使用此向导仅允许对内部网络上的 RPC 服务进行精确级别的访问，而不是访问所有的 RPC 通信。

要获得此 Feature Pack，请参阅***** 上的"How to Obtain Feature Pack 1"（如何获得 Feature Pack 1）页，其网址为：
*****（英文）。
有关使用这些功能保护外围 ISA Server 防火墙的详细信息，请参阅***** 上的"ISA Server Feature Pack 1"页，其网址为：
*****（英文）。

7、物理安全性
与其说物理安全性是特定的恶意软件问题，不如说它是一般的安全问题，但是如果没有用于组织基础结构中所有客户端、服务器和网络设备的有效物理防护计划，则无法避免恶意软件的攻击。在有效的物理防护计划中有许多关键元素，其中包括：
• 建立安全性

• 人员安全性

• 网络接入点

• 服务器计算机

• 工作站计算机

• 移动计算机和设备

在组织的安全风险评估中，应该评估其中的每个元素。如果攻击者损害其中的任一元素，则风险级别增加，恶意软件可以绕过外部和内部网络防护边界感染网络上的主机。
保护对您的工具和计算系统的访问应该是组织总体安全策略的基本元素。这些注意事项的详细说明已经超出了此解决方案的范围。但是，有关可靠的物理安全性计划的基本元素的信息可从 Microsoft TechNet 上的"5-Minute Security Advisor - Basic Physical Security"（5 分钟安全顾问 - 基本物理安全性）文章中获得，网址为：
*****（英文）。
8、策略、过程和意识
客户端、服务器和网络的操作策略及过程是组织中病毒防护层的基本方面。Microsoft 建议将以下策略和过程视为组织深层病毒防护解决方案的一部分：
• 防病毒扫描例程。理想情况下，您的防病毒应用程序应该支持自动扫描和实时扫描。但是，如果不是这样，则您应该实施一个过程，以便提供有关组织中的用户应该在何时运行完整系统扫描的指导。

• 防病毒签名更新例程。大多数的现代防病毒应用程序支持下载病毒签名更新的自动方法，您应该定期实施这样的方法。但是，如果您的组织要求在部署这些更新之前先对其进行测试，则通常将无法使用这样的方法。如果是这样，请确保您的支持人员尽快识别、下载、测试和更新签名文件。

• 允许的应用程序和服务的相关策略。应该存在明确传达的策略，以说明在组织的计算机上允许使用哪些应用程序以及哪些可以访问组织资源。可以导致问题的应用程序的示例包括：对等网络应用程序和用户可能直接从恶意网站下载的应用程序。

Microsoft 建议至少对组织网络防护层中的所有设备应用以下策略和过程。
• 变更控制。网络设备的重要安全过程是控制影响它们的变更。理想情况下，应该以可控和记录的方式提议、测试和实施所有变更。因一时冲动对外围网络中设备进行的变更，很可能引入攻击可以利用的配置错误或缺陷。

• 网络监视。正确地配置网络设备以优化其安全性，并不意味着可以忽视其他防病毒过程。持续监视网络中的所有设备是尽快检测出恶意软件攻击所必需的。监视是一个复杂的过程，它要求从许多源（如防火墙、路由器和交换机）收集信息，以编辑可以用来识别异常行为的"正常"行为基准。

• 攻击检测过程。如果检测到可疑的恶意软件攻击，则您的组织应该具有一组可以遵循的明确定义并记录的步骤，以确保攻击得到确认、控制和清除，且对最终用户带来最小的破坏。有关此主题的详细信息，请参阅第 4 章"突发控制和恢复"。

• 家用计算机网络访问策略。应该建立一组最低要求，员工必须满足这些要求才能将家用计算机或网络通过 VPN 连接连接到您组织的网络。

• 访问者网络访问策略。应该建立一组最低要求，仅允许满足这些要求的访问者连接到您组织的网络。这些要求应该同时适用于无线连接和有线连接。

• 无线网络策略。连接到内部网络的所有无线设备都应该先满足最低安全配置要求，才能进行连接。此策略应该为组织指定所需的最低配置。

您可以实施许多其他策略和过程提高网络设备的安全性；应该将本节列出的策略和过程视为一个良好的起点。但是，由于其他策略提供常规安全设置而不是防病毒特定的设置，因此它们超出了本指南的范围。
安全更新策略
客户端、服务器和网络防护都应该已经具有某种形式的安全更新管理系统。这样的系统可以作为范围更广的企业修补程序管理解决方案的一部分提供。应该定期检查主机和设备的操作系统是否有供应商提供的更新。这些安全更新策略还应该为用于将安全更新应用到组织系统的过程提供操作准则。此过程应该包括以下阶段：
1.
检查更新。某种类型的自动通知过程应该已经存在，以通知用户可用的更新。

2.
下载更新。系统应该能够下载更新，且对用户和网络产生最小影响。

3.
测试更新。如果更新要应用于关键任务主机，则您应该确保在产品环境中部署每个更新之前，在合适的非产品系统上对其进行测试。

4.
部署更新。在测试和验证更新之后，应该可以使用简单的部署机制帮助分发它。

如果在您环境中被更新的系统不需要此列表中的测试阶段，则您的组织可能希望考虑自动为系统执行整个过程。例如，使用 Microsoft Windows Update 网站上的"Automated Updates"（自动更新）选项，可以通知并更新您的客户端计算机，而无须用户干预。使用此选项，有助于确保您的系统尽快运行最新的安全更新。但是，此方法在安装更新之前不测试它。如果这是您组织的要求，则不建议使用此选项。
确保使用最新的安全更新维护您组织的系统，应该成为组织系统管理的常规部分。
基于风险的策略
如果在深层病毒防护模型的外围网络层和内部网络层上连接了太多的客户端、服务器和网络设备，则创建单个有效的安全策略来管理组织中的所有要求和配置就会很困难。您可以用来组织策略的一种方法是，将组织中的主机根据其类型和风险级别归入不同类别。
为帮助确定分配给主机或设备的风险级别，请考虑对每个主机或设备进行风险评估。有关执行这样的风险评估的一组详细指导，请参阅 TechNet 上"Microsoft Solution for Securing Windows 2000 Server"（保护 Windows 2000 Server 的 Microsoft 解决方案）的"Chapter 3 - Understanding the Security Risk Management Discipline"（第 3 章 - 了解安全风险管理规则），其网址为：
*****（英文）。
Microsoft 建议对于组织的以客户端为中心的风险评估策略考虑以下配置类别：
• 标准客户端配置。此配置类别通常适用于基于办公室的台式计算机，它们物理摆放在办公室建筑物中的地点。这些台式机客户端受到现有的外部和内部网络防护的持续保护，而且在组织建筑物内是受保护的。

• 高风险客户端配置。此配置类别旨在满足移动计算机用户和移动设备（如 PDA 和移动电话）的需要。这些设备经常移动到组织网络防护的保护之外，因此风险级别较高。

• 来宾客户端配置。此配置类别设计用于您的组织并不拥有或支持的客户端计算机。管理这些计算机的配置也许是不可能的，因为您不大可能具有其配置的控制权。但是，您可以设置策略，以限制这些计算机连接到组织网络的能力。来宾客户端计算机通常是以下类型之一：
• 员工的家用计算机。

• 合作伙伴或供应商的计算机。

• 来宾计算机。

Microsoft 还建议为服务器角色建立风险类别，并建议对服务器也进行与客户端一样的风险评估。作为服务器策略的起点，您可能考虑以下配置类别：
• 标准服务器配置。此配置类别旨在作为您环境中多数服务器配置的共同点。它提供最低级别的安全性，但不限制常用的服务。此后，您可以将高风险和角色特定的配置类别策略修改为包括相应级别的所有策略要求。

• 高风险服务器配置。处于外围网络中的服务器或直接暴露于外部连接和文件的服务器应该在此配置类别中考虑。例如，此类别可能包括外围 Web 服务器、防火墙服务器和消息服务器。包含特别敏感数据的服务器（如 HR 数据库服务器）也可能需要采用此配置，而不管其网络位置。

• 角色特定的配置。您的组织也可能选择将特定的服务器角色组织到不同的配置中，以便更加符合服务器应用程序的要求。例如，您可能选择将角色特定的配置用于消息服务器、数据库服务器或防火墙。除了根据需要使用标准配置类别或高风险配置类别外，您还可以选择使用此方法。
使用基于风险的策略是组织中规划小组的最终选择，并且您可以将引用的配置分类用作进一步开发的基础。最终目标是减少管理系统必须支持的配置数。通常，标准化方法比分别配置环境中每个主机的安全性更有可能产生安全的配置。
自动监视和报告策略
如果您的组织使用可以向中心位置报告可疑恶意软件感染的自动监视系统或防病毒应用程序，则有可能自动执行此过程以便任何警报都自动通知组织 IT 基础结构中的所有用户。自动警报系统将最大限度地减少初始警报和知道恶意软件威胁的用户之间的延迟，但是此方法存在的问题是它可以生成许多"假阳性"警报。如果没有人筛选警报和检查不寻常的活动报告检查表，则警报很可能警告不存在的恶意软件。此情况可能导致对威胁估计不足，因为太频繁地生成警报，用户将会很快对警报不那么敏感了。

Microsoft 建议指定网络管理小组的成员负责接收来自所有系统监视软件或您组织使用的防病毒程序包的所有自动恶意软件警报。之后，小组先从自动系统中筛选出假阳性警报，再向用户发出警报。为了使此方法得以成功，小组需要每周 7 天、每天 24 小时地监视警报，以确保检查所有的警报，如果需要则向网络用户发布。
用户和支持小组的意识
小组意识和培训应该针对组织中的管理和支持小组。重要 IT 专业人员的培训是 IT 所有领域的基本要求，但是对于病毒防护它尤其重要，因为恶意软件攻击和防护的特点可能会定期变化。一个新的恶意软件攻击可以在几乎一夜之间损害有效的防护系统，而您组织的防护可能处于危险之中。如果这些防护的支持人员在如何识别和响应新的恶意软件威胁方面没有进行过培训，则迟早会在病毒防护系统中发生严重的安全违反。
用户意识
用户培训通常是组织在设计其病毒防护时最后考虑的事情之一。帮助用户了解与恶意软件攻击有关的一些风险是缓解此类风险的重要部分，因为组织中使用 IT 资源的任何人都在网络安全性方面起着一定作用。由于这一原因，有必要使用户了解他们可以缓解的更常见风险，例如：
• 打开电子邮件附件。

• 使用弱密码。

• 从不受信任的网站下载应用程序和 ActiveX 控件。

• 从未经授权的可移动媒体运行应用程序。

• 允许访问组织的数据和网络。

当恶意软件所用方法改变时，必须更新病毒防护。不管防病毒程序的签名文件或程序本身是否需要更新，创建和部署更新都需要时间。创建更新所需的时间在最近几年得到了大幅度的减少，这些更新通常在数小时内即可用。但是，在更少见的情况下，从新的恶意软件攻击的发动时间到可以提供有效的病毒防护，仍然可能需要数天的时间。
在此时间内，您组织具有的最好防护可能是意识到恶意软件及其风险的用户。为用户提供基本的防病毒准则和培训，可以帮助阻止经过 IT 防护的新型恶意软件在整个环境中传播。
培训用户不必是一个复杂的过程。基本的防病毒准则主要基于常识性原则，但是确保明确强制和传达这样的准则可能是一个难题。Windows XP 基准安全检查表 - 可以从 Microsoft TechNet 上的以下网址下载：
*****（英文）- 可以帮助您确定要传达给用户的与防病毒和安全性相关的常见问题。
负责移动设备的用户很可能需要进行其他培训，以帮助他们了解与将设备带到组织的物理防护和网络防护之外关联的风险。很可能将需要专用于保护这些移动设备的其他防护。由于这一原因，您可能需要为管理这些设备的用户指定其他配置和培训。
注意：在***** 上的 Protect your PC（英文）（保护您的 PC）指南中提供了一些有用的最终用户配置信息，网址为：
*****。此站点是一个良好的信息资源，它可以帮助您的用户自学如何保护其家用计算机和网络。
支持小组意识
负责组织的服务器、客户端和网络设备的配置和支持的 IT 专业人员将需要进行防病毒培训，帮助他们确保最佳地配置和维护其系统，以阻止恶意软件的攻击。其中任何计算机或设备的配置错误都可以打开恶意软件攻击的路由。例如，如果缺乏培训的防火墙管理员在外围防火墙设备上默认打开了所有网络端口，则将带来严重的安全风险和恶意软件风险。负责连接到组织外围网络的设备的管理员应该接受特定的安全培训，以帮助他们了解可以影响网络设备攻击的范围。
有关安全主题的许多事件、动手实验和 Web 广播可以直接从 Microsoft 获得。有关这些主题的详细信息，请参阅***** 上的"Your Security Program Guide"（您的安全程序指南），其网址为：
*****（英文）。
安全培训和书籍也可以从 Microsoft Learning 获得。有关这些出版物的详细信息，请参阅***** 上的"Microsoft Learning Security Resources"（Microsoft Learning 安全资源）页，其网址为：
*****（英文）。
获得用户反馈
如果为意识到恶意软件的用户提供了报告所用系统上不寻常行为的简单而有效的机制，则他们可以提供极佳的预警系统。这样的机制可以采用电话热线号码、电子邮件别名或从组织支持人员的快速升级过程的形式。
主动内部通信
如有可能，IT 部门的成员应该建立主动防病毒响应小组，该小组负责监视外部的恶意软件警报站点以预警恶意软件的攻击。这种站点的良好示例包括：
• 防病毒应用程序供应商网站。

• Anti-Virus Information Exchange Network (AVIEN) 网站，其网址为：www.avien.org（英文）。

• 防病毒警报服务，如 AVIEN 推出的 Antivirus Information Early Warning System (AVI-EWS)（您可以订阅这些服务）。

•***** 上的"Microsoft Security Antivirus Information"（Microsoft 安全防病毒信息）网站，其网址为：*****（英文）。

定期检查类似这些站点的参考站点，应该使支持人员可以在最新的恶意软件威胁渗透到组织网络之前，将这些威胁通知系统管理员和用户。确定进行这些检查的时间是至关重要的。确保系统用户在检查早上的电子邮件之前收到主动的警告，他们可能只需要删除几封可疑的电子邮件，而不会导致恶意软件的爆发。如果多数系统用户在上午 9 点登录，则建立一种在此时间之前报告新的恶意软件威胁的方法可以视为最佳做法。
内部的恶意软件警报
以及时和全面的方式找出通知所有用户可能发生的恶意软件攻击的最有效机制，是至关重要的。可用的通信系统差异很大，具体取决于组织的基础结构；提供适合于所有组织的恶意软件警报系统是不可能的。但是，本节提供组织为了达到此目的可能希望考虑的机制的以下示例：
• 组织布告牌。不应忘记的低技术方法是使用内部的办公室门、布告牌或员工易于理解的纸质信息点。虽然此过程涉及一些要维护的开销，但是它具有重要的优点：当网络区域因受到攻击而不可用时，可以将重要信息传达给用户。

• 语音邮件系统。如果组织的语音邮件系统支持它，则为所有用户留下一条消息的能力可以是传达恶意软件警报的有效机制。但是，应该注意此方法依赖于在访问电子邮件之前访问语音邮件以获得电子邮件威胁警告的用户。

• 登录消息。您可以将 Windows 操作系统配置为在登录过程中将消息直接传递到用户的屏幕。此机制提供了一种使用户注意恶意软件警报的好方法。

• Intranet 门户。用户设置为主页的公共 Intranet 门户可用于提供恶意软件警报。要使此警报机制生效，需要建议用户在访问电子邮件之前查看此门户。

• 电子邮件系统。使用电子邮件系统将恶意软件警报传达给用户时，请务必谨慎。因为攻击可能会影响您的电子邮件服务器，所以此机制可能不是在所有情况下都有效。此外，由于收件箱排队过程的特性所致，可能会在已经将包含恶意软件的电子邮件传递到用户之后，传递恶意软件警告。由于这一原因，您可能需要建议用户在第一次登录到计算机时，在查看任何电子邮件之前首先查找高优先级恶意软件警告。

9、小结
病毒防护不再仅仅是安装应用程序。最近的恶意软件攻击已经证明需要更全面的防护方法。本章集中说明如何应用深层防护安全模型形成深层防护方法的基础，为组织创建有效的防病毒解决方案。请务必了解恶意软件编写者持续不断地更新攻击组织可能在使用的新 IT 技术的方法，而且防病毒技术不断发展以缓解这些新威胁。
深层病毒防护方法应该有助于确保您的 IT 基础结构能够应对所有可能的恶意软件攻击方法。使用此分层方法，就可以更轻松地识别整个系统中的任何薄弱点，从外围网络到整个环境中使用计算机的个人。如果未能处理深层病毒防护方法中所述的任一层，都有可能使您的系统受到攻击。
您应该经常复查防病毒解决方案，以便每当需要时都可以更新它。病毒防护的所有方面都是重要的，从简单的病毒签名自动下载到操作策略的完全更改。
同样，因为本指南中提供的信息也会更新，请务必经常访问***** 上的 Microsoft Security Antivirus Information（Microsoft 安全防病毒信息）网站（其网址为：*****（英文）），以接收最新的防病毒信息和指导。
Microsoft 认识到恶意软件可以产生巨大的破坏和惊人的损失，因此投入了大量精力以便使创建和分发恶意软件的人更难得逞。Microsoft 还在努力使网络设计人员、IT 专业人员和最终用户可以更轻松地配置系统，使其满足安全要求且对业务操作产生很小影响。
尽管彻底根除恶意代码也许是不可能的，但是持续关注此深层病毒防护方法中重点说明的方面将有助于将恶意软件攻击可以对组织的业务操作产生的影响减到最小。

慢慢学习!!