這里首先根據病毒的攻擊類型進行分析,指出了病毒的多樣性, 以及單機版防毒技術的局限性,并指出企業在構建網絡防病毒系統時, 應利用全方位的企業防毒產品,實施"層層設防、集中控制、以防為 主、防殺結合"的策略。具體而言,就是針對網絡中所有可能的病毒 攻擊設置對應的防毒軟件,通過全方位、多層次的防毒系統配置,使 網絡沒有薄弱環節成為病毒入侵的缺口。所以,應該在企業中設計一 種多層次,深入的防病毒安全解決方案。這種方法是根據安全威脅的 作用位置分層建立防病毒的模型,了解模型的每層以及每層的特定威 脅,以便利用這些信息實施自己的防病毒措施。在這里,我根據一般 企業所面臨的安全風險。建立了"七層安全防護體系"的模型。并針 對企業的實際情況,整合為單機客戶端級,服務器級,綜合網絡級, 物理安全級,以及策略、過程和意識層。集中了 VPN 技術,入侵檢測,郵件服務器,病毒掃描客戶端等技術。重點在客戶端級別,服務器級別,以及企業網絡搭建上給出詳細的配置方法以及拓撲圖。可基 本實現企業內部全方位、多層次、無縫隙的安全防病毒配置。最后, 本文對 Symantec 的企業級安全產品加以詳細的介紹。
計算機安全的威脅中,來自計算機病毒的威脅最為嚴重,因為病毒的出現頻 率高、損失大,而且潛伏性強,覆蓋面廣。目前,全球已經發現病毒 5 萬余種, 并且現在仍然以每天 10 余種的速度增長。那么對于企業來講,如何部署網絡的 軟硬件資源、制定相關規定,使企業內網成為一個高效的防病毒體系是企業的日 常管理工作的重中之重。
從目前來看,雖然每個單位都部署了防病毒軟件以及防火墻軟件,但是新的 病毒、蠕蟲和其他形式的惡意軟件仍在繼續快速地感染大量的計算機系統。對此, 企業管理人員都可能有這樣的抱怨:
"用戶執行其電子郵件的附件,盡管我們一再告訴他們不應該……"
"防病毒軟件本應可以捕獲此病毒,但是此病毒的簽名尚未安裝……"
"員工因為個人原因,甚至因為下載多媒體影音,關閉了殺毒軟件的定時更新系統……" "我們不知道我們的服務器需要安裝修補程序……"
…………
最近的攻擊研究表明,在組織的每臺計算機上部署殺毒軟件的這種標準方法。可能不足以防范多種的病毒的攻擊手段。從最近病毒爆發的傳播速度來看,軟件 行業檢測、識別和傳送可保護系統免受攻擊的防病毒工具的速度無法跟上病毒的 傳播速度。最新形式的惡意軟件所表現的技術也更加先進,使得最近的病毒爆發 可以躲避檢測而進行傳播。這些技術包括:
◆社會工程
許多攻擊試圖看上去好像來自系統管理員或官方服務,這樣就增加了最終用戶執行它們從而感染系統的可能性。
◆后門創建
最近大部分的病毒爆發都試圖對已感染系統打開某種形式的未經授權訪問,這樣黑客可以反復訪問這些系統。反復訪問用于在協調的拒絕服務攻擊中將系統用作"僵尸進程",然后使用新的惡意軟件感染這些系統,或者用于運行黑客希望運行的任何代碼。
◆電子郵件竊取
惡意軟件程序使用從受感染系統中獲取的電子郵件地址,將其自身轉發到其他受害者,并且惡意軟件編寫者也可能會收集這些地址。然后,惡意軟件編寫者可以使用這些地址發送新的惡意軟件變形體,通過它們與其 他惡意軟件編寫者交換工具或病毒源代碼,或者將它們發送給希望使用這 些地址制造垃圾郵件的其他人。
◆嵌入的電子郵件引擎 電子郵件是惡意軟件傳播的主要方式。現在,許多形式的惡意軟件都嵌
入電子郵件引擎,以使惡意代碼能更快地傳播,并減少創建容易被檢測出的 異常活動的可能性。非法的大量郵件程序現在利用感染系統的后門,以便利 用這些機會來使用此類電子郵件引擎。
◆可移動媒體
◆網絡掃描
惡意軟件的編寫者使用此機制來掃描網絡,以查找容易入侵的計算機,或隨意攻擊 IP 地址。
◆對等(P2P)網絡
要實現 P2P 文件傳輸,用戶必須先安裝 P2P 應用程序的客戶端組件,該應用程序將使用一個可以通過組織防火墻的網絡端口,例如,端口 80。
應用程序使用此端口通過防火墻,并直接將文件從一臺計算機傳輸到另一臺。這些應用程序很容易在 Internet 上獲取,并且惡意軟件編寫者可以直接使用它們提供的傳輸機制,將受感染的文件傳播到客戶端硬盤上。
◆遠程利用
惡意軟件可能會試圖利用服務或應用程序中的特定安全漏洞來進行復制。比如,Microsoft 發布的一些緩沖區溢出漏洞,用戶可能因為沒有及時的打補丁而被攻擊。(所以,及時的對 windows 系統進行更新很重要)
◆分布式拒絕服務 (DDoS)
這種類型的攻擊一般使用已感染的客戶端,而這些客戶端通常完全不知道它們在此類攻擊中的角色。DDoS 攻擊是一種拒絕服務攻擊,其中攻擊者使用各種計算機上安裝的惡意代碼來攻擊單個目標。攻擊者使用此方法對目標造成的影響很可能會大于使用單個攻擊計算機造成的影響。
由于病毒的復雜性,相應地企業在構建網絡防病毒系統時,應利用全方位的企業防毒產品,實施"層層設防、集中控制、以防為主、防殺結合"的策略。具體而言,就是針對網絡中所有可能的病毒攻擊設置對應的防毒軟件,通過全方位、多層次的防毒系統配置,使網絡沒有薄弱環節成為病毒入侵的缺口。所以,應該在企業中設計一種多層次,深入的防病毒安全解決方案。這種方法是根據安全威脅的作用位置分層建立防病毒的模型,了解模型的每層以及每層的特定威脅,這樣,就可以利用這些信息實施自己的防病毒措施。而這些優化解決方案設計所需要的信息只能通過完成完整的安全風險評估獲得。在這里,我根據一般企業所面臨的安全風險。建立了"七層安全防護體系"的模型,旨在確保每組上的安全防護措施能夠阻擋多種不同級別的攻擊。下面,簡單的對模型的各層進行定義:
1) 數據層
數據層上的風險源自這樣的漏洞:攻擊者有可能利用它們獲得對配置數據、組織數據或組織所用設備獨有的任何數據的訪問。例如,敏感數據(如機密的業務數據、用戶數據和私有客戶信息存儲)都應該視為此層的一部分。在模型的此層上,組織主要關注的是可能源自數據丟失或被盜的業務和法律問題,以及漏洞在主機層或應用程序層上暴露的操作問題。
2) 應用程序層
應用程序層上的風險源自這樣的漏洞:攻擊者有可能利用它們訪問運行 的應用程序。惡意軟件編寫者可以在操作系統之外打包的任何可執行代碼都 可能用來攻擊系統。在此層上組織主要關注的是:對組成應用程序的二進制 文件的訪問;通過應用程序偵聽服務中的漏洞對主機的訪問;不適當地收集 系統中特定數據,以傳遞給可以使用該數據達到自己目的的某個人。
3) 主機層
提供 Service Pack和修復程序以處理惡意軟件威脅的供應商通常將此層作為目標。此層上的風險源自利用主機或服務所提供服務中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統發動攻擊。緩沖區溢出攻擊就是其中一個典型的例子。在此層上組織主要關注的是阻止對組成操作系統的二進制文件的訪問,以及阻止通過操作系統偵聽服務中的漏洞對主機的訪問。
4) 內部網絡層
組織內部網絡所面臨的風險主要與通過此類型網絡傳輸的敏感數據有關。這些內部網絡上客戶端工作站的連接要求也具有許多與其關聯的風險。
5)外圍網絡層
與外圍網絡層(也稱為 DMZ、網絡隔離區域或屏幕子網)關聯的風險源自可以訪問廣域網 (WAN) 以及它們所連接的網絡層的攻擊者。模型此層上的主要風險集中于網絡可以使用的傳輸控制協議 (TCP) 和用戶數據報協議(UDP) 端口。
6)物理安全層
物理層上的風險源自可以物理訪問物理資產的攻擊者。此層包括前面的所有層,因為對資產的物理訪問又可以允許訪問深層防護模型中的所有其他層。使用防病毒系統的組織在模型的此層上主要關注的是阻止感染文件避開外圍網絡和內部網絡的防護。攻擊者可能只是通過某個物理可移動媒體(如USB 磁盤設備)將感染文件直接復制到主機,試圖做到這一點。
7)策略、過程和意識層
圍繞安全模型所有層的是,您的組織為滿足和支持每個級別的要求需要制定的策略和過程。最后,提高組織中對所有相關方的意識是很重要的。在許多情況下,忽視風險可以導致安全違反。由于此原因,培訓也應該是任何安全模型的不可缺少的部分。
當然,這樣的劃分是對一個組織完整的安全層次劃分。你可以根據不同企業的情況的不同,重新集中視圖以便將這些安全層級進行整合。重點是通過確保沒有從防護中排除任何安全層,來避免不完整的和弱化的防病毒設計。例如:可以將數據層、應用程序層和主機層組合到兩個防護策略中,以保護組織的客戶端和服務器。而內部網絡層和外圍層也可以組合到一個公共網絡防護策略中,因為這兩個層所涉及的技術是相同的。每個層中的實施細節將是不同的,具體取決于組織基礎結構中的設備位置和技術。下面針對各個層級確定安全解決方案:
一、客戶端防護
當病毒和惡意軟件到達主機時,防護系統必須集中于保護主機系統及其數 據,并停止感染的傳播。這些防護與環境中的物理防護和網絡防護一樣重要。您 應該根據以下假定來設計主機防護:惡意軟件已經通過前面所有的防護層,必須 在客戶機終端上遏制其傳播。以下是配置客戶端防毒的一些技術:
I.減小攻擊面
客戶端操作系統的第一道防護措施就是減小計算機的攻擊面。應該在計算機 上刪除或禁用所有不需要的應用程序和服務,最大限度的減少攻擊者可以利用的 系統的方法。(可以根據Microsoft提供的產品文檔找到windows服務的默認設置, 記住,盡量關閉不會用的的服務)
II.安裝防病毒掃描程序
許多公司推出防病毒應用程序,其中每個應用程序都試圖保護主機,同時對最終用戶產生最少的不便和交互。其中的大多數應用程序在提供此保護方面都 是很有效的,但是它們都要求經常更新以應對新的惡意軟件。任何防病毒解決方 案都應該提供快速的無縫機制,來確保盡快提供對處理新惡意軟件或變種所需的 簽名文件的更新。簽名文件包含防病毒程序在掃描過程中用來檢測惡意軟件的信 息。根據設計,簽名文件由防病毒應用程序供應商定期更新,需要下載到客戶端 計算機。
(注意:這樣的更新會帶來自身的安全風險,因為簽名文件是從防病毒程序的支 持站點發送到主機應用程序(通常通過 Internet)。例如,如果傳輸機制使用 文件傳輸協議 (FTP) 獲得文件,則組織的外圍防火墻必須允許對 Internet 上 所需 FTP 服務器進行此類型的訪問。請確保在防病毒風險評估過程中審查組織 的更新機制,而且此過程的安全性足以滿足組織的安全要求。)
由于惡意軟件的模式和技術快速變化,一些組織采用了以下方法:在"高風 險"用戶在同一計算機上運行多個防病毒程序包,以幫助將未能檢測到惡意軟件 的風險減到最小。下面的用戶就屬于此類別:
◆ Web管理員和管理Internet是內容的其他用戶。
◆發布實驗室工作人員或制作電子媒體(CD-ROM)的任何用戶。
◆創建或編譯文件活其他產品軟件的開發小組成員。
但是應該注意的是,在同一計算機上運行許多不同應用程序供應商推出的防病毒應用程序,可能會因防病毒應用程序之間的互操作性問題而產生問題。
但是特別指出的是,考慮的另一種方法是為組織中的客戶端、服務器和網絡防護使用來自不同供應商的防病毒軟件。此方法使用不同的掃描引擎提供對基礎結構的這些不同區域的一致掃描,這應該有助于在單個供應商的產品未能檢測到攻擊時減少對總體病毒防護的風險。
III.應用安全更新
由于連接到組織網絡的客戶端計算機的數目很大種類很多。所以很難提供快速而且可靠的安全更新管理服務。對此,我利用Microsoft和其他軟件公司已經開發出的解決工具。如下:
◆ Windows Update
對于小型組織和個人,Windows Update服務同時提供了手動過程和自動過程來檢測和下載windows平臺的最新安全和功能修改。但是在某些組織中使用此方法時出現的問題包括:在從此服務部署更新之前缺少對測試的支持、同時下載同一程序包時客戶端可能占用組織中一定量的網絡帶寬。
◆ Software Update service
此服務旨在為企業中的windows客戶端提供安全更新解決方案。通過既允許內部測試也允許分布式安全更新管理,此服務為更大組織克服了windows Update的兩項不足。
◆ Systems Management Server 2003
Systems Management Server 2003是一個完整的企業管理解決方案,它能夠提供綜合的安全更新服務以及更多功能。 在這里,特別要注重蠕蟲病毒的防治,蠕蟲病毒危害極大,極容易導致整個系統的崩潰,而大多數的蠕蟲病毒都是依靠系統漏洞進行傳播的。對企業而言, 系統漏洞修補不僅僅是安裝官方網站發布的補丁,在服務器或者網絡中大規模部 署補丁通常是一項十分重要的工作,必須先在環境中進行測試和分析。然后才可 以在網絡中大規模部署。而管理員可以利用組策略、sms、wsus等方法,將已獲 得的系統補丁發放到客戶端。這樣也解決了客戶終端因個人原因不更新系統和軟 件的問題。
而WSUS為微軟公司提供的專用補丁更新的服務組件。可以根據客戶端的實際 情況,自動將補丁程序發布到用戶計算機中。
其中的每種 Microsoft 安全更新工具都有特定的優點和用途。最佳方法很 可能是使用其中的一種或多種工具。為幫助評估組織的安全更新解決方案。
IV 啟動基于主機的防火墻
基于主機的防火墻或個人防火墻代表您應該啟用的重要客戶端防護層,尤其是在用戶可能帶到組織通常的物理和網絡防護之外的便攜式計算機上。這些防 火墻會篩選試圖進入或離開特定主機的所有數據。
V 測試漏洞掃描程序
在配置系統之后,應該定期檢查它以確保沒有留下安全漏洞。為了幫助你完成這個過程,許多應用程序可用作掃描程序來查找惡意軟件和黑客可能試圖利用 的漏洞。其中的大多數工具更新自己的掃描例程,以保護您的系統免受最新漏洞 的攻擊。(Microsoft 基準安全分析器 (MBSA) 是能夠檢查常見安全配置問題的 漏洞掃描程序的一個示例。此掃描程序還進行檢查,以確保您的主機配置了最新 的安全更新。)
VI 使用最小特權策略
在客戶端防護中不應忽視的另一區域是在正常操作下分配給用戶的特權。
Microsoft 建議采用這樣的策略:它提供可能的最少特權以幫助將在執行時依賴 利用用戶特權的惡意軟件的影響減到最小。對于通常具有本地管理特權的用戶, 這樣的策略尤其重要。請考慮對日常操作刪除這樣的特權,并在必要時改用 RunAs 命令啟動所需的管理工具。
VII 對客戶端上的應用程序進行配置
◆電子郵件客戶端
如果惡意軟件確實設法通過了網絡和電子郵件服務器級別上的病毒防護,則可能存在一些設置,您可以進行配置以便為電子郵件客戶端提供額外保護。通常,如果用戶能夠直接從電子郵件打開電子郵件附件,則為惡意軟件在客戶端上傳播提供了主要方式之一。如有可能,請考慮在組織的電子郵件系統中限制此能力。如果這是不可能的,一些電子郵件客戶端允許您配置另外的步驟,用戶將必須執行這些步驟才能打開附件。例如,在 Microsoft Outlook 和Outlook Express 中進行設置。
◆桌面應用程序
隨著桌面辦公應用程序的日益強大,它們也成為惡意軟件的攻擊目標宏病毒使用字處理器、電子表格或其他支持宏的應用程序創建的文件復制自身。您應該盡可能采取措施,以確保在環境中處理這些文件的所有應用程序上啟用最合適的安全設置。例如:對 Microsoft Office 2003 應用程序的安全防護。
◆即時消息應用程序
一般來說,文本消息不會構成直接的惡意軟件威脅,但是大多數即時Messenger 客戶端提供另外的文件傳輸功能以提高用戶的通信能力。允許文 件傳輸提供了進入組織網絡的直接路由,有可能受到惡意軟件的攻擊。對此,網絡防火墻只需篩選用于此通信的端口,即可阻止這些文件傳輸。 例如,Microsoft Windows 和 MSN Messenger 客戶端使用介于 6891 和6900 之間的 TCP 端口傳輸文件,因此,如果外圍防火墻阻止這些端口,則 通過 Instant Messenger 的文件傳輸就不會發生。但是,移動客戶端計算 機僅當在組織網絡上時才受到保護。因此,您可能希望配置客戶端上的基于 主機的防火墻阻止這些端口,并且在組織中的移動客戶端處于網絡防護之外 時為它們提供保護。
如果因為其他必需的應用程序使用這些端口或者需要文件傳輸,您的 組織無法阻止這些端口,則應該確保在傳輸所有文件之前對其掃描以確定是 否存在惡意軟件。如果客戶端工作站使用的不是實時防病毒掃描程序,則應 該將即時消息應用程序配置為:一收到文件,就自動將傳輸的文件傳遞到防 病毒應用程序進行掃描。例如,您可以將 MSN Messenger 配置為自動掃描 傳輸的文件。
◆Web 瀏覽器
從 Internet 下載或執行代碼之前,您希望確保知道它來自已知的、可靠的來源。您的用戶不應該僅依賴于站點外觀或站點地址,因為網頁和網址都可以是偽造的。已經開發了許多不同的方法和技術,來幫助用戶的 Web 瀏覽器應用程序確定用戶所瀏覽網站的可靠性。例如,Microsoft Internet Explorer 使用Microsoft Authenticode 技術驗證已下載代碼的身份。Authenticode 技術驗證代碼是否具有有效的證書、軟件發布者的身份是否與證書匹配以及證書是否仍然有效。如果通過了所有這些測試,將會降低攻擊者將惡意代碼傳輸到系統的可能性。
大多數主要的 Web 瀏覽器應用程序支持限制可用于從 Web 服務器執行的代碼的自動訪問級別的功能。Internet Explorer 使用安全區域幫助阻止 Web內容在客戶端上執行有可能產生破壞的操作。安全區域基于 Web 內容的位置(區域)。
◆對等應用程序
Internet 范圍的對等 (P2P) 應用程序的出現,使得查找文件和與他人交換文件比以前任何時候都更為容易。但是它已經引發了許多惡意軟件攻擊,它們試圖使用這些應用程序將文件復制到其他用戶的計算機。蠕蟲病毒已經將P2P 應用程序作為攻擊目標以達到復制目的。
如果可能,Microsoft 建議限制組織中使用這些應用程序的客戶端數量。您可以使用本章前面所述的 Windows 軟件限制策略,幫助阻止用戶運行對等應用程序。如果在您的環境中這是不可能的,請確保在制定防病毒策略時,將環境中客戶端因這些應用程序而面臨的更大風險考慮在內。
VIII 限制未授權的應用程序
如果應用程序為網絡提供一種服務,如 Microsoft Instant Messenger 或Web 服務,則在理論上它可能成為惡意軟件攻擊的目標。作為防病毒解決方案的一部分,您可能希望考慮為組織編寫已授權應用程序的列表。所以可以使用Windows 組策略限制用戶運行未授權軟件的能力。處理此功能的組策略的特定方 面稱為"軟件限制策略",可以通過標準組策略 MMC 管理單元訪問它。
二、服務器的病毒防護步驟
環境中的服務器防護與客戶端防護有許多共同之處;二者都試圖保護同一 基本個人計算機環境。兩者的主要差異在于,服務器防護在可靠性和性能方面的 預期級別通常高得多。此外,許多服務器在組織基礎結構中起到的專門作用通常 需要制定專門的防護解決方案。下面主要介紹服務器端的防毒和前面提到客戶端 的防毒的不同之處。
組織中防護服務器的四個基本防病毒步驟與防護客戶端的步驟相同:
1.減小攻擊面
從服務器中刪除不需要的服務和應用程序,將其攻擊面減到最小。
2.應用安全更新
如有可能,請確保所有服務器計算機運行的都是最新的安全更新。根據需要執行其他測試,以確保新的更新不會對關鍵任務服務器產生負面影響。
3.啟用基于主機的防火墻
Windows Server 2003 包括一個基于主機的防火墻,您可以使用它減小服務器的攻擊面以及刪除不需要的服務和應用程序。
4.使用漏洞掃描程序進行測試
使用 Windows Server 2003 上的 MBSA 幫助識別服務器配置中可能存在的漏洞。Microsoft 建議使用此漏洞掃描程序和其他專用漏洞掃描程序,幫助確保配置盡可能強大。除了這些常用的防病毒步驟之外,將以下服務器特定的軟件也用作總體服務器病毒防護的一部分。
現在,有許多可用于企業中特定服務器角色的專用防病毒配置、工具和應用程序。可以從此類型專用防病毒防護中獲益的服務器角色的示例有:Web 服務器(如 Microsoft Internet 信息服務 (IIS) 消息服務器如 Microsoft Exchange2003)、數據庫服務器(如運行 Microsoft SQL Server 2000 的服務器)、協作服務器(如運行 Microsoft Windows SharePoint Services 和 Microsoft Office SharePoint Portal Server 2003 的服務器)
應用程序特定的防病毒解決方案通常提供更佳的保護和性能,因為它們設計用于與特定服務集成在一起,而不是試圖在文件系統級服務的下面起作用。下面對這幾個角色特定的服務安全軟件做介紹:
1)Web 服務器
在一段時間內,所有類型的組織中的 Web 服務器都曾經是安全攻擊的目標。不管攻擊來自惡意軟件還是來自試圖破壞組織網站的黑客,充分配置 Web 服務器上的安全設置以最大限度地防御這些攻擊都是很重要的。
2)UrlScan
UrlScan是限制 IIS 要處理的 HTTP 請求類型的另一種安全工具。通過阻止特定的 HTTP 請求,UrlScan 可以幫助阻止可能有害的請求到達服務器。
3)消息郵件服務器
為組織中的電子郵件服務器設計有效的防病毒解決方案時,要牢記兩個目標。第一個目標是防止服務器本身受到惡意軟件的攻擊。第二個目標是阻止任何惡意軟件通過電子郵件系統進入組織中用戶的郵箱。務必確保在電子郵件服務器上安裝的防病毒解決方案能夠實現這兩個目標。 一般來說,標準文件掃描防病毒解決方案無法阻止電子郵件服務器將惡意軟件作為附件傳遞到客戶端。使防病毒解決方案與正使用的電子郵件解決方案匹配 是很重要的。許多防病毒供應商現在為特定電子郵件服務器提供其軟件的專用版 本,這些版本設計用于掃描經過電子郵件系統的電子郵件以確定是否包含惡意軟 件。以下兩種基本類型的電子郵件防病毒解決方案通常是可用的:
◆ SMTP 網關掃描程序。
這些基于簡單郵件傳輸協議 (SMTP) 的電子郵件掃描解 決方案通常稱為防病毒"網關"解決方案。這些解決方案的優點是:可以用于 所有的 SMTP 電子郵件服務,而不是僅用于特定電子郵件服務器產品。但是, 由于這些解決方案依賴于 SMTP 電子郵件協議,因此它們在可以提供的某些 更高級功能方面受到限制。
◆ 集成的服務器掃描程序。
這些專用防病毒應用程序直接與特定的電子郵件服 務器產品一起工作。這些應用程序確實有許多優點。例如,它們可以與高級 服務器功能直接集成在一起,它們設計為與電子郵件服務器使用相同的硬件。
4)數據庫服務器
在考慮數據庫服務器的病毒防護時,需要保護以下四個主要元素:
◆ 主機。運行數據庫的一個或多個服務器。
◆ 數據庫服務。在主機上運行的為網絡提供數據庫服務的各種應用程序。
◆ 數據存儲區。存儲在數據庫中的數據。
◆ 數據通信。網絡上數據庫主機和其他主機之間使用的連接和協議。
由于數據存儲區內的數據不能直接執行,因此通常認為數據存儲區本身不需要掃描。目前,沒有專為數據存儲區編寫的主要防病毒應用程序。但是,在進行防病毒配置時,應該仔細考慮數據庫服務器的主機、數據庫服務和數據通信這些元素。
應該專門為惡意軟件威脅檢查主機的位置和配置。一般說來,Microsoft 建議不要將數據庫服務器置于組織基礎結構的外圍網絡中(尤其當服務器存儲敏感數據時)。但是,如果必須在外圍網絡中放置這樣的數據庫服務器,請確保對它進行配置將感染惡意軟件的風險減到最小。比如:"Slammer"蠕蟲直接將 SQLServer 作為攻擊目標。此攻擊表明無論 SQL Server 數據庫計算機是位于外圍網絡還是內部網絡中,保護它們都是非常重要的。
5)協作服務器
協作服務器本身的特點使它們易受惡意軟件的攻擊。當用戶將文件復制到服務器和從服務器復制文件時,他們可能使網絡上的服務器和其他用戶受到惡意軟件的攻擊。Microsoft 建議使用可以掃描復制到協作存儲區和從協作存儲區復制的所有文件的防病毒應用程序,保護環境中的協作服務器
三、網絡防護層
在已記錄的惡意軟件事件中,通過網絡發動的攻擊是最多的。通常,發動 惡意軟件攻擊是為了利用網絡外圍防護中的漏洞允許惡意軟件訪問組織 IT 基 礎結構中的主機設備。這些設備可以是客戶端、服務器、路由器,或者甚至是防 火墻。在此層上進行病毒防護所面臨的最困難問題之一是,平衡 IT 系統用戶的 功能要求與創建有效防護所需的限制。例如,與許多最近的攻擊類似,MyDoom 蠕 蟲使用電子郵件附件復制自己。從 IT 基礎結構的角度來看,阻止所有傳入附件 是最簡單、最安全的選項。但是,組織中電子郵件用戶的需求可能不允許這樣做。
必須進行折衷,在組織的需求和它可以接受的風險級別之間達到平衡。 在網絡骨干接入處,安裝防毒墻(即安裝有網關殺毒軟件的獨立網關設備),由防毒墻實現網絡接入處的病毒防護。由于是安裝在網絡接入處,因此,對主要 網絡協議進行殺毒處理(SMTP、FTP、HTTP)。
在服務器上安裝單獨的服務器殺毒產品,對服務器進行病毒保護。 由于內部存在幾十個網絡客戶端,如采用普通殺毒軟件會造成升級麻煩、使用不便等問題。可在服務器上安裝客戶端防病毒產品(客戶端殺毒軟件的工作模 式是服務器端、客戶端的方式)的服務器端,由客戶端通過網絡與服務器端連接 后進行網絡化安裝。對產品升級,可通過在服務器端進行設置,自動通過 INETRNET 進行升級,再由客戶端到服務器端進行升級,大大簡化升級過程, 并且整個升級是自動完成,不需要人工操作。
對郵件系統,可采取安裝專用郵件殺毒產品,通過在郵件服務器上安裝郵件 殺毒程序,實現對內部郵件的殺毒,保證郵件在收、發時都是經過檢查的,確保 郵件無毒。
通過這種方法,可以達到層層設防的作用,最終實現病毒防護。 具體的拓撲圖如下:
[page]
這里首先根據病毒的攻擊類型進行分析,指出了病毒的多樣性, 以及單機版防毒技術的局限性,并指出企業在構建網絡防病毒系統時, 應利用全方位的企業防毒產品,實施"層層設防、集中控制、以防為 主、防殺結合"的策略。
另外也可以上圖進行簡化,如下圖
在這里特別提到的是存在一種日益增長的趨勢:將內部網絡分解為多個安 全區域,以便為每個安全區域建立外圍。Microsoft 也建議使用此方法,因為它 可幫助降低試圖訪問內部網絡的惡意軟件攻擊的總體風險。
組織的第一個網絡防護指外圍網絡防護。這些防護旨在防止惡意軟件通過 外部攻擊進入組織。如本章前面所述,典型的惡意軟件攻擊集中于將文件復制到 目標計算機。因此,您的病毒防護應該使用組織的常規安全措施,以確保只有經 過適當授權的人員才能以安全方式(如通過加密的虛擬專用網絡 (VPN) 連接。 下面給出一種三級VPN網絡的實現方法:
三級 VPN 設置拓撲圖 每一級的設置及管理方法相同。即在每一級的中心網絡安裝一臺 VPN 設備和一臺 VPN 認證服務器(VPN-CA),在所屬的直屬單位的網絡接入處安裝一臺 VPN 設備,由上級的 VPN 認證服務器通過網絡對下一級的 VPN 設備進行集中 統一的網絡化管理。可達到以下幾個目的:
◆ 網絡傳輸數據保護;
由安裝在網絡上的 VPN 設備實現各內部網絡之間的數據傳輸加密可同時采取加密或隧道的方式進行傳輸
◆ 網絡隔離保護;
與 INTERNET 進行隔離,控制內網與 INTERNET 的相互訪問
◆ 集中統一管理,提高網絡安全性;
◆ 降低成本(設備成本和維護成本);
其中,在各級中心網絡的 VPN 設備設置如下圖:
圖 4-2 中心網絡
[page]
一臺 VPN 管理機對 CA、中心 VPN 設備、分支機構 VPN 設備進行統一網絡管理。將對外服務器放置于 VPN 設備的 DMZ 口與內部網絡進行隔離,禁止外網直接訪問內網,控制內網的對外訪問、記錄日志。這樣即使服務器被攻破,內部網絡仍然安全。下級單位的 VPN 設備放置如下圖所示:
下面,根據上圖,對拓撲中每個部分做的安全說明:
1)網絡入侵檢測系統
因為外圍網絡是網絡中風險很大的部分,因此您的網絡管理系統能夠盡快檢測和報告攻擊是極其重要的。網絡入侵檢測 (NID) 系統的作用僅僅是提供:外部攻擊的快速檢測和報告。雖然 NID 系統是總體系統安全設計的一部分,而且不是特定的防病毒工具,但是系統攻擊和惡意軟件攻擊的許多最初跡象是相同的。例如,一些惡意軟件使用 IP 掃描來查找可進行感染的系統。由于此原因,應該將 NID 系統配置為與組織的網絡管理系統一起工作,將任何不尋常的網絡行為的警告直接傳遞給組織的安全人員。
對于任何 NID 實現,其保護僅相當于在檢測到入侵之后遵循的過程。此過程應該觸發可以用來阻止攻擊的防護,而且防護應該得到連續不斷的實時監視。只有在此時,才能認為該過程是防護策略的一部分。否則,NID 系統實際上更像一個在攻擊發生之后提供審核記錄的工具。有許多可供網絡設計人員使用的企業級網絡入侵檢測系統。它們可以是獨立的設備,也可以是集成到其他網絡服務(如組織的防火墻服務)中的其他系統。例如,Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 產品包含 NID 系統功能以及防火墻和代理服務。
下面給出了網絡入侵檢測系統的拓撲結構圖:
2)應用程序層篩選
在這里,再次提到了對應用程序的管理問題,這里主要是在網絡配置上通過
防火墻的"包過濾技術"對應用程序進行篩選。使用 Internet 篩選技術監視和 屏蔽網絡通信中的非法內容(如病毒)不僅是有用的,而且是必需的。在過去,曾經使用防火墻服務提供的數據包層篩選執行了此篩選,僅允許根據源或目標IP 地址或者特定的 TCP 或 UDP 網絡端口來篩選網絡流量。應用程序層篩選 (ALF) 在 OSI 網絡模型的應用程序層上工作,因此它允許根據數據的內容檢查 和篩選數據。如果除了使用標準數據包層篩選外還使用 ALF,則可以實現的安全 性要高得多。例如,使用數據包篩選可能允許您篩選通過組織防火墻的端口 80 網絡流量,以便它只能傳遞到 Web 服務器。但是,此方法可能不提供足夠的安 全性。通過將 ALF 添加到解決方案中,您可以檢查端口 80 上傳遞到 Web 服務 器的所有數據,以確保它是有效的且不包含任何可疑代碼。
ISA Server 可以在數據包通過組織防火墻時提供對它們的 ALF。可以掃描 Web 瀏覽和電子郵件,以確保特定于每個 Web 瀏覽和電子郵件的內容不包含可 疑數據,如垃圾郵件或惡意軟件。ISA Server 中的 ALF 功能啟用深層內容分析, 包括使用任何端口和協議檢測、檢查和驗證流量的功能。
3)內容掃描
內容掃描在更高級防火墻解決方案中作為一項功能提供,或者作為單獨服務(如電子郵件)的組件提供。內容掃描詢問允許通過有效數據通道進入或離開 組織網絡的數據。如果內容掃描是在電子郵件上執行的,則它通常與電子郵件服 務器協同工作以檢查電子郵件的特性(如附件)。此方法可以在數據通過服務時 實時掃描和識別惡意軟件內容。
[page]
4)URL 篩選
對于網絡管理員可能可用的另一個選項是 URL 篩選,您可以使用它阻止有問題的網站。例如,您可能使用 URL 篩選阻止已知的黑客網站、下載服務器和個人 HTTP 電子郵件服務。
注意:主要的 HTTP 電子郵件服務站點(如 Hotmail 和 Yahoo)提供防病毒掃描服務,但是有許多較小站點根本不提供防病毒掃描服務。對組織防護來說,這是嚴重的問題,因為這樣的服務會提供直接從 Internet 到客戶端的路由。
網絡管理員可以使用兩種基本的 URL 篩選方法:
◆阻止列表。防火墻先檢查有問題站點的預定義列表,然后才允許連接。允許用戶連接沒有專門在阻止列表中列出的站點。
◆允許列表。此方法僅允許與在組織已批準網站的預定義列表中輸入的網站進行通信。
總的來說,第一種方法依賴于識別可能存在問題的網站并將它們添加到列表中的主動過程。由于 Internet 的大小和可變特性,此方法需要自動化解決方案或很大的管理開銷,通常僅對阻止數目較小的已知有問題網站是有用的,無法提供綜合性保護解決方案。第二種方法提供了更好的保護,因為它的限制特性允許 控制可供系統用戶訪問的站點。但是,除非進行了正確調查以識別用戶所需的所 有站點,否則此方法可能對許多組織來說限制性太強。
Mcrosoft ISA Server 支持使用其"站點和內容規則"手動創建這兩個列表。 但是,直接用于 ISA Server 的增強型自動化解決方案可從 Microsoft 合作伙 伴處獲得,以確保可以根據需要阻止或允許 URL,同時將管理開銷減到最小。
5)隔離網絡
為保護網絡可以使用的另一種方法是:為不滿足組織最低安全要求的計算機建立隔離網絡。
(注意:不應該將此方法與某些防病毒應用程序中提供的隔離功能相混淆,后者將感染文件移動到計算機上的安全區域中,直到可以將其清除。)
隔離網絡應該限制(或者甚至阻止)對組織資源的內部訪問,但是提供一種連接級別(包括 Internet)允許臨時訪問者的計算機高效工作,而不會給內部網絡的安全帶來風險。如果訪問者的便攜式計算機感染了惡意軟件并連接到網絡,則隔離網絡可以限制其感染內部網絡上其他計算機的能力。
與此類似的方法成功應用于 VPN 類型的遠程連接,已經有一段時間了。在執行系統測試的同時,將 VPN 客戶端轉移到臨時隔離網絡。如果客戶端通過了測試(例如由于具有所需的安全更新和防病毒簽名文件),則將授予它們訪問組織內部網絡的權限。如果客戶端不滿足這些要求,則將斷開它們的連接或允許它們訪問隔離網絡,這可以用來獲得通過測試所必需的更新。現在,網絡設計人員正研究此技術以幫助改進內部網絡的安全性。
四、物理安全
物理安全性不僅僅是對于防病毒系統,它是一般的安全問題,但是如果沒有 用于組織基礎結構中所有客戶端、服務器和網絡設備的有效物理防護計劃,則無 法避免惡意軟件的攻擊。在有效的物理防護計劃中有許多關鍵元素,其中包括: 建筑安全性、人員安全性、網絡接入點、 服務器計算機、 工作站計算機、 移 動計算機和設備。在這里,加以討論的僅僅是移動設備對于病毒的巨大安全性隱 患。企業應采取以下措施:
◆新購置的計算機以及系統必須用檢測病毒的軟件檢測已知病毒,用人工檢測方 法檢查未知病毒。
◆新購置的硬盤都可能帶有病毒。需要對硬盤進行檢測和進行低級的格式化。
◆對于能用硬盤啟動的計算機,盡量不要用可移動設備去引導啟動。
◆永遠不要使用任何解密版的軟件。特別是反病毒軟件。
五、策略以及管理層安全方案
安全管理包括風險管理、信息安全策略、規程、標準、方針、基線、信息分 級、安全組織和安全教育。這些核心組成部分是企業安全計劃的基礎。在制定策 略時,首先應該確定的是管理者以及其他工作人員的安全職責,并且依賴于對公 司信息財產和附加財產的正確劃分。管理者保證安全策略能夠自頂向下的執行, 并對相關安全人員的工作給予資金、權限上的支持。規程中應該詳細說明企業中 安全問題扮演什么樣的角色。然后確定組織策略、針對專門問題的策略或是針對 系統的策略。由管理層規定如何建立安全計劃,制定安全計劃的目標,分配責任,
說明安全問題的戰略和戰術價值,并規定應該如何執行計劃,這種策略一定涉及 到法律、法規、責任以及如何遵守這些規定的問題。所有的雇員都知道他們應該 遵守這些規程,這就需要企業針對安全問題對員工進行專門的培訓。實施的過程 中也應該得到良好的員工反饋。具體來講,一個公司的安全策略應該包括以下方 面:
◆防病毒掃描例程。理想情況下,您的防病毒應用程序應該支持自動掃描和實時 掃描。但是,如果不是這樣,則您應該實施一個過程,以便提供有關組織中的用 戶應該在何時運行完整系統掃描的指導。
◆ 防病毒簽名更新例程。大多數的現代防病毒應用程序支持下載病毒簽名更新的 自動方法,您應該定期實施這樣的方法。
◆攻擊檢測過程。如果檢測到可疑的惡意軟件攻擊,則您的組織應該具有一組可 以遵循的明確定義并記錄的步驟,以確保攻擊得到確認、控制和清除,且對最終 用戶帶來最小的破壞。這里重點
◆家用計算機網絡訪問策略。應該建立一組最低要求,員工必須滿足這些要求才 能將家用計算機或網絡通過 VPN 連接連接到您組織的網絡。
◆訪問者網絡訪問策略。應該建立一組最低要求,僅允許滿足這些要求的訪問者 連接到您組織的網絡。這些要求應該同時適用于無線連接和有線連接。
◆無線網絡策略。連接到內部網絡的所有無線設備都應該先滿足最低安全配置要 求,才能進行連接。此策略應該為組織指定所需的最低配置。
◆安全更新策略 客戶端、服務器和網絡防護都應該已經具有某種形式的安全更新管理系統。
◆基于風險的策略 如果在深層病毒防護模型的外圍網絡層和內部網絡層上連接了太多的客戶
端、服務器和網絡設備,那么您可以用來組織策略的一種方法是,將組織中的主 機根據其類型和風險級別歸入不同類別:標準客戶端配置、高風險客戶端配置、 來賓客戶端配置、員工的家用計算機、合作伙伴或供應商的計算機、來賓計算機。
◆自動監視和報告策略。
◆支持小組的意識
小組意識和培訓應該針對組織中的管理和支持小組。重要 IT 專業人員的培訓是IT 所有領域的基本要求,但是對于病毒防護它尤其重要,因為惡意軟件攻擊和防護的特點可能會定期變化。一個新的惡意軟件攻擊可以在幾乎一夜之間損害有效的防護系統,而您組織的防護可能處于危險之中。如果這些防護的支持人員在如何識別和響應新的惡意軟件威脅方面沒有進行過培訓,則遲早會在病毒防護系統中發生嚴重的安全違反。
◆用戶意識
用戶培訓通常是組織在設計其病毒防護時最后考慮的事情之一。幫助用戶了解與惡意軟件攻擊有關的一些風險是緩解此類風險的重要部分,因為組織中使用IT 資源的任何人都在網絡安全性方面起著一定作用。由于這一原因,有必要使用戶了解他們可以緩解的更常見風險,例如:打開電子郵件附件。
使用弱密碼。
從不受信任的網站下載應用程序和 ActiveX 控件。
從未經授權的可移動媒體運行應用程序。
允許訪問組織的數據和網絡。
◆獲得用戶反饋 如果為意識到惡意軟件的用戶提供了報告所用系統上不尋常行為的簡單而有效 的機制,則他們可以提供極佳的預警系統。
總結:
病毒防護不再僅僅是安裝應用程序。最近的惡意軟件攻擊已經證明需要更 全面的防護方法。在這里集中說明如何應用防護安全模型形成防護方法的基礎, 為組織創建有效的防病毒解決方案。但是必須知道的是,惡意軟件編寫者持續不 斷地更新攻擊組織可能在使用的新 IT 技術的方法,而且防病毒技術不斷發展以 緩解這些新威脅。
這里給出的多層次病毒防護方法可以有助于確保您的 IT 基礎結構能夠應 對所有可能的惡意軟件攻擊方法。使用此分層方法,就可以更輕松地識別整個系 統中的任何薄弱點,從外圍網絡到整個環境中使用計算機的個人。如果未能處理 深層病毒防護方法中所述的任一層,都有可能使您的系統受到攻擊。
您應該經常復查防病毒解決方案,以便每當需要時都可以更新它。病毒防 護的所有方面都是重要的,從簡單的病毒簽名自動下載到操作策略的完全更改。
[page]
附: 利用 Symantec 相關軟件搭建企業的防病毒解決方案
病毒防御是網絡安全管理中的重中之重。網絡中的個別客戶端感染了病毒 之后,在極短的時間內就可能感染整個網絡,從而造成網絡服務中斷或癱瘓,所 以局域網的防病毒工作十分重要。最常見的方法就是在網絡中部署專業殺毒軟件, 如 Symantec antivirus,趨勢科技和瑞星等產品的企業版。在網絡中配置專業 防病毒服務器后,即可實現對所有客戶端的實時安全管理,包括病毒掃描查殺,
E-mail 實時檢測,病毒庫升級等。本方案中在選擇殺毒軟件時應當注意幾個方 面的要求:具有卓越的病毒防治技術、程序內核安全可靠、對付國產和國外病毒 能力超群、全中文產品,系統資源占用低,性能優越、可管理性高,易于使用、 產品集成度高、高可靠性、可調配系統資源占用率、便捷的網絡化自動升級等優 點。
在這里,利用 SymantecEndpoint Protection(端點保護)這個產品,它將 SymantecAntiVirus 與高級威脅防御功能相結合,可以為筆記本,臺式機,服務 器,提供全面的安全防護能力。 Symantec Endpoint Protection 在一個代理和管理 控制臺中無縫集成了基本安全技術,既節約成本又提高了網絡安全防護能力。
SymantecEndpoint Protection 可保護端點計算設備不受病毒威脅和風險 侵襲,并為端點計算機提供三層防護,分別為網絡威脅保護,主動型威脅保護以 及防病毒和放間諜軟件保護。 對于網絡威脅保護可以通過使用規則和特征,可 禁止威脅訪問被保護計算機。主動型威脅防護可根據威脅的行為,標示并降低威 脅。防病毒和放間諜軟件保護使用 symantec 創建的特征。識別并削弱嘗試訪問 或已訪問被保護計算機的威脅。
由于在大多數企業中,員工的操作系統均為 windows 系列,這里以 windows 系統為例配置相應的服務。為保障型局域網的安全與病毒庫的升級,在局域網中 應該有一臺 WindowServer 2008 服務器部署為防病毒服務器。為企業中的客戶 機提供病毒庫的升級服務。
在這里,我主要利用 SymantecEndpointProtection 來配置整個 windows
主機組成局域網的防病毒服務。Symantec Endpoint Protection 包括 Symantec Endpoint Protection Manager 控制臺,SymantecEndpoint Protection Manager, Symantec Endpoint Protection,SymantecNetworkAccessControl ,liveUpdate 服務器及中央隔離區等組件,其中較為核心的是 SymantecNetworkAccess Control 和 SymantecNetwork Protection Manager。
1. Symantec Network Access control 概述
Symantec Network Access Control 通過阻止未經授權、配置不當和受感染的端點計算機訪問網絡,從而保護網絡安全。其中包括:可以拒絕未運行特定版本的軟件和特征的計算機進行網絡訪問。如果客戶端計算機不符合要求,Symantec Network Access Control 可以隔離相應計算機并對其實施補救措施,如果客戶端的病毒庫不是最新版本,則將自動為其升級病毒庫,然后在允許計算機訪問網絡。
Symantec Network Access Control 允許用戶使用主機完整性策略來控制這項保護。在 Symantec Endpoint Protection Manager 控制臺中可以創建主機完整性策略,然后將這項策略應用于客戶端計算機組。如果只安裝了 Symantec Network AccessControl 客戶端軟件,則可以要求客戶端計算機運行防病毒,防間諜軟件和防火墻軟件。此外,還可以請求這些計算機運行最新的操作系統 Service Pack 和補丁程序,并創建自定義應用程序要求。如果客戶端計算機不符合策略,你可以在這些客戶端計算機上運行命令,以嘗試更新這些計算
機。
如 果 將 SymantecNetworkAccess Control 與 SymantecEndpoint Protection 集成,則可以將防火墻應用于不符合主機完整性策略的客戶端。此策略會限制客戶端可用于網絡訪問的端口,也可限制客戶端可訪問的 IP 地址。
例如,可以限制非遵從計算機只與包含所需軟件和更新的計算機通信。如果將 Symantec Network Access Control 與 Symantec Enforcer 可選硬件設備集成,則可以進一步限制不遵從的計算機訪問被保護網絡。用戶可以將非遵從計算機限制在特定的網絡區段以進行補救,也可以完全禁止非遵從計算機進行訪問。例如,使用 Symantec Gateway Enforce 時,可以控制外部計算機通過 VPN 訪問網絡。使用 Symantec DHCP 和 LAN Enforce,可以通過將不可路由的 IP 地址分配給非遵從計算機,控制內部計算機訪問網絡。
2. Symantec e Endpoint Protection Manager
Symantec e Endpoint Protection Manager 包括 一 個嵌 入 式數 據庫, 以 及Symantec Endpoint Protection Manager 控制臺。用戶既可以自動安裝嵌入式數據庫,也可以將數據庫指定到 Microsoft SQL Server2005 實例中。如果支持業務的網絡屬于小型網絡,且位于一個地理位置,那么只需要安裝一個 Symantec Endpoint Manager。如果網絡分散在不同的地點,則可能需要安裝額外的 symantec Endpoint Manager,以用于負載平衡和帶寬分配。
3. Symantec Endpoint Protection Manager 的工作方式
用戶可以根據需要講客戶端安裝為受管客戶端和非受管客戶端,受管客戶端可充分利用網絡的功能。網絡上的每個客戶端和服務器都可通過運行SymantecEndpoint Protection Manager 的一臺計算機進行監控、配置和更新。
用 戶 也 可 以 從 Symantec Endpoint Manager 控 制 臺 安 裝 和 升 級 SymantecEndpoint Protection 和 Symantec Network Access Control 客戶端。在非受管網絡中,必須單獨管理每臺計算機,或將管理職責轉交給計算機的主要用戶,對于信息技術資源有限或匱乏的小型網絡,應采用這種方法, 相關職責如下。
更新病毒及安全風險定義。 配置防病毒及防火墻設置。 定期升級或遷移客戶端軟件。
4. Symantec Endpoint Protection Manager 的功能
使用 Symantec Endpoint Protection Manager 可執行以下操作。
1)建立和強制實施安全策略。
2)防止受到病毒、混合性威脅以及安全風險(如廣告軟件和間諜軟件)的侵害。
3)利用集成的管理控制臺來管理病毒防護的部署、配置、更新和報告。
4)防止用戶訪問計算機的硬件設備。如 usb 驅動器
5)利用集成的管理控制臺管理病毒防護、防火墻保護盒入侵防護的部署、配置、更新和報告。
6)管理客戶端及其位置。
7)標示過期的客戶端,迅速應對病毒爆發,并部署更新的病毒定義。
8)創建和維護詳細描述網絡中發生的重要事件的報告。
9)為連接到網絡的所有用戶提供針對安全威脅的高級別的防護和集成響應。此防護覆蓋始終保持網絡連接的遠程辦公人員和間歇連接到網絡
的移動用戶。
10)獲得分布在網絡上的所有工作站的多個安全組建的合并視圖。
11)對所有安全組件執行可定制的,集成的安裝,并同時設置策略。
12)查看歷史記錄和日志數據。
5. 部署 SymantecEndpoint Protection 客戶端
SEP 客戶端可分為受管客戶端和非受管客戶端,其中受管理客戶端可以通過 Symantec Endpoint Protection Manager 遠程部署等方式安裝,也可以在客戶端上使用管理服務器創建的安裝包安裝,安裝完成后將自動添加到指定的組中,并接受服務器的統一管理。而受非受管客戶端則可以通過安裝光盤完成,雖然同樣可以被添加到服務器控制臺中,但不接受服務器的管理,
1)安裝受管理客戶端
主要有以下幾種方法:
◆遷移和部署向導的"推"式安裝
◆客戶端映射網絡驅動器安裝
◆使用"查找非受管計算機"的部署
◆客戶端手動安裝
◆使用 Altiris 安裝和部署軟件安裝
2)部署非受管客戶端
6. 病毒庫的升級
殺毒軟件是根據提取的病毒特征來判斷文件是否是病毒程序的,升級病毒庫就是不斷地更新能夠識別的病毒特征,增強殺毒軟件和系統應用程序之間的兼容性。通常情況下,非受管客戶端每天自動從 Symantec LiveUpdate 站點下載病毒庫。在新一代 Symantec 安全防御系統中,新增了 LiveUpdate 管理服務器,主要為大型網絡(5000 以上端點)提供客戶端病毒庫升級管理。
京公網安備 11010502049343號