Windows NT 4.0 與 Windows 98 降低安全性威脅指南

第 7 章:防毒保護

發佈日期: 2004 年 9 月 13 日 | 更新日期: 2006 年 3 月 30 日


上一章提到病毒和其他形式的惡意軟體為 Trey Research (本指南使用的案例) 帶來的風險。本章將針對惡意軟體的主題進行深入瞭解,探討 Trey 該如何保護使用 Microsoft® Windows® 的用戶端與伺服器規避此類風險。

本頁內容

簡介
解決方案設計
總結

簡介

在短短時間內,病毒和其他形式的惡意軟體,從當初微不足道的偶發干擾,已迅速發展成為重大安全性威脅。這些威脅的大量擴散在全球造成了相當嚴重的危害,甚至使一些措手不及的公司走向倒閉之路。因此,無論使用的是舊系統還是最新技術,有效抵禦這些威脅成為所有組織面臨的嚴峻問題。

病毒和蠕蟲可以透過多種管道感染組織的運算系統,因此您必須有效保護每個管道,避免惡意程式碼的入侵。本章探索 Trey 應該採取哪些病毒防範與回應措施,以保護檔案、郵件、網頁伺服器、工作站及其他網路裝置免受這些威脅。本章同時分析病毒和蠕蟲的潛在影響,為實作各種解決方案提供了理論依據。

背景

若要有效抵禦任何威脅,首先必須瞭解威脅的本質。瞭解越多,設計和實作有效回應的能力就越強。威脅可以分為三大類:特洛伊木馬程式、病毒及蠕蟲。瞭解這些威脅相互之間的不同之處至關重要:

  • 特洛伊木馬程式。一種看似很有用或無害的程式,但是實際上包含隱藏的程式碼 (惡意目的),執行時會利用或損毀系統。特洛伊木馬程式最常以偽裝的程式目的和功能,透過電子郵件訊息傳遞給使用者。特洛伊木馬程式也稱為「特洛伊程式碼」。

  • 蠕蟲。蠕蟲使用自動傳播的惡意程式碼,會透過網路連線,自動將本身從某部電腦散佈到另一部電腦。蠕蟲可以進行有害的動作,例如耗用網路或本機系統資源,甚至可能引起拒絕服務 (DoS) 攻擊。有些蠕蟲可以在不需使用者介入的情形下執行及傳播,而有些則需要使用者直接執行蠕蟲程式碼才會傳播。蠕蟲除了能自行複製外,還可以產生不良的後果。

  • 病毒。病毒使用明確為了自行複寫而寫成的程式碼。病毒會將自身附加到宿主程式,嘗試在電腦之間傳佈。它們可能會損壞硬體、軟體或資料。執行宿主程式時,也會執行病毒程式碼,影響新宿主,有時還會傳遞其他裝載。

注意:如需有關防毒術語和防禦策略的詳細背景資訊,請參閱本章結尾<其他資訊>部分中提到的《防毒措施深入探索指南》

營運問題

許多組織低估了惡意軟體的破壞力。有些組織從未受感染,因此不瞭解潛在的影響。而有些組織只受過輕微的感染。但是,即使是感染程度相對較小的病毒,也會產生嚴重的整體影響。可能的損害不限於檔案遺失或必須還原或重新安裝系統, 還包括:

  • 無法及時存取資料。如果整個網路受感染,在沒有最新或可用備份的情況下,文件、資料庫、電子郵件訊息或其他重要資料項目就可能會遺失。結果可能是必須花費大量時間重新建立遺失的資料,因此影響生產排程,挫傷員工士氣。即使只遺失一份重要文件,也可能會嚴重影響整個企業。工程師可能花了一整天的時間,好不容易對分析報告有了重大進展,沒想到卻因病毒導致文件損壞或損毀,使得一切努力付諸東流。

  • 降低生產力。重新建立因受惡意軟體攻擊而遺失的文件及其他檔案,對於組織來說可能是一場災難。最常見的情況是在嘗試進行緊急還原時,發現備份無法使用。在某些情況下,僅僅識別哪些內容遺失,就可能是一項艱鉅的任務。實際上,重新建立檔案只不過是修復過程的一部分。由於使用者必須集中精力重新建立資料,無法處理正常工作,因此最終期限一定需要延遲。在進行修復時,可能還需要臨時增加人手來重新建立資料。降低的生產力和額外的費用很容易使組織破產,尤其是對於利潤較低或市場競爭異常激烈的組織來說。

  • 洩露專屬或客戶資料。諸如原始程式碼、商業機密、甚至是機密備忘錄等專屬資訊的洩露,都會為組織帶來可怕的後果。對於本案例中的 Trey Research 來說,工程師收集的許多資料都具有商業價值。此外,用來從原始資料計算結果所用的部分分析方法和演算法也屬於公司專屬財產。遺失或洩露這類資料會導致嚴重的財務後果。

  • 承擔連帶責任。在使用法律或商業機密資料的環境中,可能會引發責任問題。例如,假設有家公司請 Trey 對學校某處的污染情況進行評估。如果提早洩露該客戶的資料,客戶可能必須承擔相應責任。在因此而提起的任何訴訟中,原告或被告可能會要求 Trey 承擔連帶責任。

技術問題

若要確定檔案、電子郵件訊息及網路流量中是否存在病毒,首先要確定掃描位置和掃描方式,這是防毒保護面臨的主要技術問題。考慮以下策略:

  • 首先應該執行伺服器的掃描。但是,在考慮任何保護措施之前,請先花時間評估並改進 (如有必要) 每台伺服器的損壞修復原則和程序。您不僅要評估目前的備份能力,還應該從還原所需時間的角度來評估修復程序。您必須將使用者閒置時間長短,與使用較新、較快硬體重建備份程序所需的成本進行比較。此外,您還必須建立在備份過程中執行選擇性測試還原的機制。無法成功還原的備份實際上毫無價值。

  • 每台檔案伺服器上都必須使用防毒解決方案來主動監視檔案系統,藉此保護伺服器。如果現有檔案遭到修改、或有新增檔案時,防毒應用程式會掃描檔案,並可隔離或修復受感染的檔案,防止感染進一步蔓延。

  • 電子郵件伺服器使用的掃描程式必須能夠正確掃描佇列、交易記錄檔,及訊息資料庫。無法正確掃描並對這些項目進行殺毒的防毒程式,可能會導致電子郵件服務中斷和資料遺失。

  • 所有用戶端都必須使用防毒軟體加以保護。無論選擇何種掃描工具,均必須使用可主動、即時掃描用戶端檔案系統的工具,以便在感染發生時及早發現。只有在應用程式支援即時掃描,並且強制將用戶端設定為啟用即時掃描時,對一次性和排定掃描的支援才顯得不那麼重要。如果不進行即時掃描,開機掃描和定期掃描是必要的手段。

  • 經常更新防毒掃描程式病毒碼非常重要,因為大多數廠商會在發現新病毒後迅速發佈病毒碼更新。防毒解決方案如果沒有最新的防毒病毒碼資料庫,只能發揮部分作用。由於每天都會有新的病毒產生,因此您必須隨時將防毒病毒碼資料庫保持在最新狀態,以確保掃描發揮效用。在計畫掃描策略時,請考慮對防毒更新的存取能力以及伺服器的更新頻率。

  • 當病毒在網路上發作時,防毒解決方案回應與通知系統管理員的方式是非常重要的。持續記錄和透過電子郵件、呼叫器或其他方式的通知,是在病毒發作時迅速通知系統管理團隊的重要功能。

安全性問題

防毒毫無疑問是管理和提高安全性的重要關鍵。但是,Trey 的安全性提升計畫的其他部分面臨著幾項額外的問題。

  • 持續關注補充程式管理有助於降低許多病毒和蠕蟲感染的機率。Trey 目前正積極實作一項補充程式管理計畫 (如第 6 章<補充程式管理>中所述),以確保必要補充程式可迅速套用於有弱點的電腦。

  • 除了部署防毒掃描程式外,可能還需要使用入侵偵測或網路監視軟體,以捕捉可能表示新病毒或蠕蟲的異常網路使用模式。

  • 如果 Windows 2000 或 Windows XP 是主要的桌上型作業系統,可以使用群組原則物件 (GPO) 強制安裝防毒軟體,並確保防毒軟體保持使用中狀態。但在 Microsoft Windows NT® 或 Windows 98 中,沒有特別有效的方法能夠達到此目的。

  • 減少用戶端的攻擊面可能需要採取更多措施,其中包括升級已安裝的 Microsoft Internet Explorer 版本,以及使用 Internet Explorer Administration Kit、群組原則或 Windows NT 系統原則,為瀏覽器設定適當的安全性原則。

解決方案需求

大多數防毒部署的解決方案需求都非常簡單。在案例中,Trey Research 的需求如下:

  • 為所有用戶端提供檔案層級的自動掃描。

  • 為所有檔案伺服器提供檔案層級的自動掃描。

  • 為所有 Exchange 信箱伺服器提供自動與指定掃描 (使用 Microsoft Exchange 對應掃描工具)。

  • 在廠商發佈後的 12 小時內,接收所有掃描程式的掃描病毒碼自動更新。

  • 研究卸除式媒體 (磁片、CD-ROM、USB 隨身碟) 的使用限制以防止病毒傳播。

針對 Trey 網路的目前結構,確定延後下列多個額外需求,直到桌上型電腦環境升級為止:

  • 自動執行防毒軟體的初次安裝。

  • 強制採用要求安裝並永遠執行防毒軟體的 Trey 安全性原則。

  • 使用獨立的周邊防毒/反垃圾郵件篩選功能,在電子郵件傳送到 Exchange 伺服器之前先進行篩選。


解決方案設計

Trey IT 主管希望迅速部署防毒解決方案,降低公司受病毒及其他形式惡意軟體攻擊的危險。

解決方案概念

Trey 的防毒解決方案分為兩層:用戶端保護和伺服器端保護。Trey 刻意選擇兩家不同廠商的掃描程式,以便在病毒發作時能確保迅速獲得病毒碼。

解決方案先決條件

本解決方案無先決條件。

解決方案架構

Trey 的防毒解決方案具有多個元件,這些元件必須互相配合才能提供有效的防毒保護。

伺服器保護

病毒防護並非一蹴可及,只安裝一個應用程式並不能迅速提供即時和完美的安全性。Trey 的第一步是為所有伺服器安裝補充程式,建立穩固的基準。由於許多形式的惡意軟體都利用作業系統中的已知弱點,因此抵禦威脅的第一步就是安裝最新的 Service Pack 和任何 Service Pack 後續補充程式。Microsoft Windows Server™ 2003 通常在更新後不須將伺服器重新開機,但舊版 Windows 通常需要重新開機。因此,升級伺服器需要精心計畫;在開始升級之前要對伺服器進行適當備份,同時還要確保在升級失敗時能夠回復升級。此外,還必須考慮最適合升級的時間,將停機降到最低。

為了將更新伺服器所需的時間降到最低,Trey IT 系統管理員使用 QChain.exe,只需重新開機一次即可安裝多個更新程式;此程式可從 Microsoft 知識庫文章 815062<當您鏈結多個 Hotfix 時並未安裝正確的檔案>中取得,文章網址是:http://support.microsoft.com/?kbid=815062。如需更多有關 QChain.exe 的資訊,請閱讀 Microsoft 知識庫文章 296861<如何只重新開機一次就能安裝多個 Windows 更新程式或 Hotfix>,文章網址是:http://support.microsoft.com/?id=296861。這次的補充程式安裝工作是在非上班時間完成的。

Trey 還增強了周邊保護 (如第 3 章<網路安全性與強化>中所述),為網路中的電腦加強安全性。

除了在檔案伺服器提供掃描功能外,您還必須分析伺服器的現有檔案系統安全性,識別出將伺服器受攻擊危險降至最低的方法。首先,伺服器應該全部使用 NTFS 檔案系統 (NTFS),因為 FAT 根本無法提供必要的安全性。使用 NTFS 讓系統管理員可以調整權限,確保只有作業系統才可以寫入核心目錄與檔案;即使伺服器不幸感染了病毒,這也有助於降低病毒造成的損害。

此外,Trey IT 系統管理員還檢查了所有的現有檔案伺服器共用區,以消除不必要的共用區。他們還為共用區新增適當的 NTFS 與共用權限,以防止匿名存取。這些措施可以抵禦蠕蟲與病毒,避免未受保護的共用區遭利用進行傳播。此外,您還可以使用隱藏共用區進一步降低伺服器受攻擊的危險。

所有檔案/列印、應用程式及成員伺服器都以相同的掃描產品保護。Exchange 伺服器使用相同廠商的 Exchange 對應產品進行保護。這個方法讓所有伺服器都能以廠商的企業管理工具集中管理。本機系統管理員無法設定掃描設定值,但可以起始手動掃描。

郵件伺服器保護

惡意軟體在網路中最常見的進入點是電子郵件系統。因此,為了使保護方案發揮效用,所有方案都必須包含電子郵件伺服器保護。雖然掃描檔案系統的防毒解決方案通常可以在病毒侵入電子郵件系統時偵測到病毒,但更有效的方法是安裝能夠主動與明確掃描訊息和附件的防毒解決方案。在裝有 Exchange Server 的網路中,您有多種防毒解決方案可以選擇。這些解決方案經過專門設計,可用在 Exchange 中,主動掃描內送與外寄郵件。這些防毒解決方案通常會使用內建於 Exchange Server 的防毒應用程式發展介面 (API) 存取和掃描訊息與附件。

如果網路中使用的是其他電子郵件伺服器,或使用者會連線到外部電子郵件伺服器,則可在閘道掃描簡易郵件傳送通訊協定 (SMTP) 流量的防毒解決方案是個有效的防毒方法,可以防止內送郵件受感染,並防止病毒透過外寄郵件離開網路。這些閘道解決方案並不會與電子郵件伺服器軟體整合,而是在 SMTP 流量進入網路時對其進行掃描。

在某些情況下,使用多個防毒引擎可增強保護效果。某些防毒解決方案支援同時執行來自不同防毒廠商的多個引擎,如 GFI MailSecurity 解決方案 (可透過 GFi 安全性與訊息軟體網站取得,網址是:www.gfi.com)。使用多個引擎可避免某個引擎因廠商未提供更新的防毒病毒碼資料庫檔案、或因 DoS 攻擊或網路中斷造成廠商的更新網站停機,而遺漏受感染的訊息。

如果您無法使用多個掃描引擎,請考慮組合使用不同的解決方案。例如,您可以部署 Exchange Server 式解決方案,使用一個或多個防毒引擎在伺服器上進行掃描,同時部署使用一個或多個其他防毒引擎的閘道式解決方案。

弱點偵測是為電子郵件系統評估與套用防毒解決方案時的另一個重要考量。掃描已知病毒當然重要,但掃描電子郵件弱點也同樣重要。電子郵件弱點可能是利用用戶端電子郵件應用程式或作業系統弱點的指令碼、可執行檔、錯誤的多用途網際網路郵件延伸標準 (MIME) 標頭或其他機制。Nimda 與 BadTrans.B 病毒是利用電子郵件弱點進行傳播並感染目標系統的典型病毒。

提供電子郵件弱點偵測的防毒解決方案會掃描訊息,尋找利用作業系統或電子郵件用戶端的方法。實際上,掃描電子郵件弱點可讓防毒解決方案掃描各種潛在的威脅。雖然每種病毒都具有獨特的特徵,並需要識別該特定的特徵,但同一個弱點可能會被許多病毒利用,包括嘗試利用現有弱點的新病毒。封鎖弱點後,您可以有效地封鎖許多病毒。

無論您為電子郵件伺服器和網路選擇哪個防毒解決方案,除了內送郵件以外,也應該掃描外寄郵件,主要原因有二。首先,如果外寄郵件受感染,表示用戶端受感染,這個情形可以及早警告病毒可能在網路上蔓延的危險。同樣地,掃描外寄郵件以尋找電子郵件弱點也很重要。其次,流出的病毒即使對內部網路沒有造成重大影響,但對組織的聲譽和客戶關係將帶來嚴重後果。如果來自您電子郵件伺服器的病毒感染客戶的網路,客戶對貴公司的信心就會受影響,這可能會嚴重損害商業關係。

即使沒有電子郵件解決方案,您也可以採取適當措施降低電子郵件傳播病毒感染的可能性。即使您已採用電子郵件掃描解決方案,仍可實作附件封鎖方案。封鎖附件不僅能防止使用者接收可執行檔和容易受感染的其他類型檔案,藉此消除病毒感染機率,還有助於封鎖電子郵件弱點;因為這些電子郵件弱點是透過指令碼或其他類型的檔案引發的。

http://support.microsoft.com/?kbid=235309 上的 Microsoft 知識庫文章 235309<Outlook 電子郵件附件安全性更新>提供有關 Microsoft Outlook® 增強安全性保護的相關資訊,例如:附件封鎖和其他功能,可避免使用者開啟特定類型附件而使得本機系統受感染,最終感染整個網路。此安全性更新也適用於 Outlook 98,且已併入 Outlook 2002 與更新版本中。Exchange Server 系統管理員可以在伺服器上設定附件封鎖及其他電子郵件安全性選項,包括在封鎖清單中新增或移除特定的檔案類型。Outlook Security Features Administrative Package (AdminPak) 包含於 Microsoft Office 2003 Resource Kit CD – ROM 中,在 Microsoft Office Online (http://office.microsoft.com/officeupdate/) 中亦有提供。除了為 Exchange Server 系統管理員提供設定附件封鎖選項的方法外,Administrative Package 還允許系統管理員設定哪些應用程式可以存取使用者的通訊錄、以程式方式傳送訊息,及執行其他動作。

如果您沒有使用 Exchange Server 或不想在伺服器上控制安全性選項,則可在本機設定 Outlook,修改附件封鎖。只要修改少數 Outlook 登錄設定,即可修改附件封鎖行為。如需在本機修改 Outlook 附件封鎖選項的相關資訊,請參閱 Microsoft 知識庫文章 829982<無法在 Microsoft Outlook 中開啟附件>(英文),網址是:http://support.microsoft.com/?id=829982。如果您的電子郵件用戶端是 Outlook Express,無論是單獨使用或是與 Outlook (或其他用戶端) 配合使用,都必須安裝 Outlook Express 補充程式,以防電子郵件病毒與弱點的影響。Outlook Express 安全性補充程式提供的大多數附件封鎖功能與 Outlook 安全性更新相同,並可以修正其他問題,包括利用 Outlook Express 郵件標頭弱點造成的緩衝區滿溢。

用戶端保護

所有用戶端 (Windows 98、Windows NT 4.0、Windows 2000 及 Windows XP) 均由相同掃描產品提供保護。群組原則已設定對 Windows 2000 及更新用戶端套用一致設定,而第 4 章<強化 Windows NT 4.0>中所說明的 Windows NT 系統原則機制,則用來為 Windows NT 及 Windows 98 用戶端套用一致設定。Trey Research 還更新書面的安全性原則,要求所有與公司網路連接的電腦都必須使用防毒軟體,包括透過公司虛擬私人網路 (VPN) 功能使用的家用電腦。

更新

防毒解決方案通常會提供動態更新排程,包括透過網際網路從廠商直接取得更新,或從公佈更新的本機網路伺服器取得更新。您可以選擇讓所有伺服器透過網際網路從廠商取得更新;或讓單一伺服器 (或多個選定伺服器) 先從廠商取得更新,再讓其餘伺服器從本機伺服器取得更新。適合的更新方法會因您是否要將網際網路流量降到最低而異。如果有上述需求,則從本機伺服器取得更新可減少網際網路流量。

更新的可用性高低也會影響您決定選擇單一廠商或單一引擎解決方案,還是選擇從多個廠商整合掃描引擎的解決方案。分散式 DoS 攻擊可能會在一段時間內成功擊垮單一廠商,使用多個廠商提供的解決方案有助於避免此潛在問題。

Trey 將伺服器設定為每隔兩小時更新一次病毒定義,用戶端每天會在美國東部時間早上 4:00 執行更新。選擇這個時段是為了制止在歐洲時間傳播的病毒 (過去幾種主要病毒傳播都是在該時段)。

解決方案運作方式

除了在用戶端、伺服器及郵件伺服器上採用防毒工具外,Trey 還採取了其他措施,作為整體安全性現代化計畫的一部分。這些措施都和防毒有關,能夠增強僅由防毒工具所提供的防範功能。

Trey 採取下列額外措施 (將在本指南其他部分中說明):

  • 以所有更新與補充程式更新用戶端和伺服器作業系統。

  • 使用最新版本的 Internet Explorer、Outlook Express 及 Outlook,並以補充程式加以更新。

  • 開發與實作程式,教育使用者瞭解感染的方式及必須採取的步驟,以降低網路弱點的影響。

  • 透過移除或停用可能會遭攻擊的多餘服務、移除共用區、鎖定 IIS 等服務來強化伺服器與用戶端。

  • 保護伺服器實體安全,防止他人未經授權或非專業使用者存取伺服器。

  • 使用防火牆實作周邊保護。

  • 部署 Internet Explorer 的安全性選項 (可透過 Internet Explorer Administration Kit (IEAK) 取得,網址是:http://www.microsoft.com/windows/ieak/evaluation/default.asp)、系統原則或群組原則,以避免指定安裝、Microsoft ActiveX® 指令碼及其他潛在威脅。


總結

防毒保護是保護網路電腦安全不可或缺的一部分。當您適當地選擇與部署正確的防毒解決方案後,配合其他已使用的安全措施,提供了更強大的保護效果。

本章說明 Trey Research 如何選擇實作防毒保護的基本原則。Trey 使用來自不同廠商的用戶端與伺服器端的防毒掃描程式,結合有效的掃描及病毒碼更新原則配合使用。這個部署方法變更了安全性與電腦使用原則:所有使用者都將必須隨時使用防毒軟體。

其他資訊

  • 如需有關 Exchange Server 與防毒解決方案的其他資訊,請參閱 http://support.microsoft.com/?kbid=823166 上的 Microsoft 知識庫文章 823166<Exchange Server 2003 與防毒軟體概觀>(英文)。

  • Microsoft 知識庫文章 267580<OLEXP:有關 Outlook Express 安全性補充程式的資訊>中提供了有關 Outlook Express 安全性補充程式的其他資訊;文章網址是:http://support.microsoft.com/?kbid=267580

  • Microsoft 的《防毒措施深入探索指南》提供設計深度防禦防毒解決方案的詳盡資訊。該指南網址是:http://go.microsoft.com/fwlink/?LinkId=28732


顯示: