如果將網(wǎng)絡(luò)比作人的神經(jīng)系統(tǒng),那么端點(diǎn)就是其神經(jīng)末梢���。端點(diǎn)包括PC����、筆記本電腦�、手持設(shè)備及其它的特定設(shè)備。服務(wù)器或網(wǎng)關(guān)主管著集中化的安全軟件��,在必要時(shí)���,還要驗(yàn)證終端用戶登錄�,并向終端發(fā)送更新和補(bǔ)丁等。我們可以將端點(diǎn)安全看成是一種戰(zhàn)略�����,其安全被分配到終端用戶設(shè)備���,但必須實(shí)施集中管理���。端點(diǎn)安全系統(tǒng)往往以客戶端/服務(wù)器模式運(yùn)行。
本文涉及到的關(guān)于端點(diǎn)安全的制勝之道全部來自于有著豐富實(shí)戰(zhàn)經(jīng)驗(yàn)的開發(fā)安全軟件公司�,作者擇其要旨與讀者分享它們關(guān)于反病毒、基于主機(jī)的入侵防御系統(tǒng)�����、行為保護(hù)�����、網(wǎng)絡(luò)訪問控制����、應(yīng)用程序控制等的技巧。
要選擇一種端點(diǎn)安全解決方案:無論你選擇什么工具���,都應(yīng)當(dāng)尋求對活動目錄的本地支持����,并且要能夠支持你所擁有的設(shè)備類型���。只有這樣�,才能更容易實(shí)施安全控制�����。第一步是確認(rèn)用戶或工作站�。一種簡單而基本的方法是在活動目錄中定義下面這兩個(gè)組,一是工作站(筆記本/桌面)����,二是安全組(IT 管理員/用戶/臨時(shí)用戶)。
當(dāng)然��,管理員可以根據(jù)需要定義其他的組����,用以提供更精細(xì)的控制��。
第二步��,闡述安全策略�。為此�,筆者提供了一些終端安全項(xiàng)目的制勝之道。記住���,你可能需要逐個(gè)檢查這些方法����,但需要將其整合為一套策略���,使其可以協(xié)同工作�����,以便于提供最佳的保護(hù)和控制�。
反病毒的制勝之道
1�、至少每周執(zhí)行一次掃描,最好在午飯時(shí)間進(jìn)行����。至于筆記本電腦��,在其每次連接到公司網(wǎng)絡(luò)時(shí)��,都應(yīng)當(dāng)激發(fā)并實(shí)施完全掃描。
2���、在移動設(shè)備插入到系統(tǒng)中時(shí)�,應(yīng)當(dāng)執(zhí)行完全掃描���。
3��、每三小時(shí)執(zhí)行一次反病毒簽名的更新�����。
4�����、需要配置工作站����,使其在內(nèi)部服務(wù)器發(fā)生硬件或軟件問題而導(dǎo)致反病毒服務(wù)器發(fā)生故障時(shí)��,能夠從反病毒廠商的公共服務(wù)器直接下載簽名更新。
設(shè)備控制的制勝之道
1���、公司內(nèi)部必須禁用Wi-Fi����。此規(guī)則還適用于所有的工作站���、筆記本電腦和服務(wù)器���。
2、為了阻止公司策略無法控制的通信����,應(yīng)當(dāng)禁用modem、藍(lán)牙及紅外線等���。
3���、必須禁用USB key中的U3特性,因?yàn)樗捎糜谔摷俚墓怛?qū)檢測����,使得惡意軟件能夠自動在工作站上運(yùn)行����。在瀏覽端點(diǎn)上的可移動設(shè)備時(shí)����,U3 CD-ROM會被誤認(rèn)為是真實(shí)的光驅(qū)。
4�����、在將文件寫入可移動設(shè)備時(shí)���,要審計(jì)插入的所有設(shè)備并捕獲所有的活動。這樣�,你就可以監(jiān)視信息的提取,并監(jiān)視USB設(shè)備的使用�。使用這些信息,就可以根據(jù)你的發(fā)現(xiàn)設(shè)置另外的策略��。
5����、阻止從可移動設(shè)備和CD或DVD訪問任何可執(zhí)行的文件和腳本。這會阻止未知的漏洞被攻擊者利用�����,從而防止惡意軟件的運(yùn)行。
6�、對寫在大容量可移動存儲設(shè)備(如CD、DVD和USB備份卷)上的所有數(shù)據(jù)進(jìn)行加密����。
主機(jī)IPS和行為保護(hù)的制勝之道
1、鍵盤記錄器保護(hù):多數(shù)惡意軟件都包括某種形式的鍵盤記錄器引擎�����,借以恢復(fù)口令�����、信用卡號和其它的個(gè)人數(shù)據(jù)���。一定要將鍵盤記錄器的防護(hù)作為主機(jī)IPS策略的一部分��。
2����、網(wǎng)絡(luò)監(jiān)視:建立策略,使其可以監(jiān)視任何企圖訪問網(wǎng)絡(luò)的應(yīng)用程序���。未授權(quán)的連接有助于檢測那些惡意軟件進(jìn)程�。
3�、Rootkit保護(hù):使用Windows所加載的驅(qū)動程序的預(yù)定義白名單,你可以檢測貌似合法的惡意軟件�,可以挫敗其盜用驅(qū)動程序的硬件廠商或軟件廠商授權(quán)證書進(jìn)而實(shí)施罪惡行徑的企圖。
4�、防止DLL(動態(tài)鏈接庫)注入:惡意軟件最喜歡的一種用來阻止反病毒產(chǎn)品將自己清除出去的技術(shù),即將其自身注入到一個(gè)正在運(yùn)行的動態(tài)鏈接庫中�。反病毒產(chǎn)品無法將已經(jīng)加載的動態(tài)鏈接庫清除或隔離。一般情況下���,惡意軟件會將其自身加載到winlogon.exe或explorer.exe等系統(tǒng)進(jìn)程中。
5�、使用入侵防御或行為保護(hù)的學(xué)習(xí)模式或測試模式應(yīng)當(dāng)成為一種強(qiáng)制要求。這樣做可以防止一些似是而非的現(xiàn)象���,而且有助于改善部署軟件時(shí)的信任水平�����,特別是在涉及到更新或安裝新的應(yīng)用程序時(shí)����,因?yàn)檫@通常是會導(dǎo)致假象的行動。
對緩沖區(qū)溢出的保護(hù)如今成為強(qiáng)制性要求����。一個(gè)很好的例子是前些日子針對微軟Windows和Adobe Acrobat的漏洞。須知���,收到修復(fù)的時(shí)間可能要達(dá)一個(gè)月之久���,而互聯(lián)網(wǎng)上對漏洞的利用在幾小時(shí)之內(nèi)就可實(shí)現(xiàn)。