[转载]深层病毒防护指南

信息来源：微软
发布日期： 2004年07月08日
Microsoft 安全解决方案组 (MSS) 感谢编写《深层病毒防护指南》的工作组。以下列出的人员或直接负责编写、开发和测试此解决方案，或对此解决方案的编写、开发和测试提供了极大帮助。

本页内容
作者
编者
测试人员
安全内容评审委员会
项目经理
审查者（按字母顺序）
参与者（按字母顺序）

作者
Richard Harrison – Content Master Ltd

返回页首
编者
John Cobb – Volt Information Sciences

Steve Wacker – Volt Information Sciences

返回页首
测试人员
Gaurav Singh Bora – Infosys Technologies Ltd

Balkrishnan Venkiteswaran – Infosys Technologies Ltd

返回页首
安全内容评审委员会
Rich Benack，安全支持工程师 – Microsoft 产品支持服务 (PSS)

Matt Braverman，项目经理 – Microsoft 安全商务和技术组 (SBTU)

Martin Fallenstedt，开发领导 – Microsoft Windows 安全核心

Robert Hensing，技术领导 – Microsoft 产品支持服务 (PSS)

Daryl Pecelj，高级防病毒技术人员– Microsoft IT

Randy Treit，项目经理 – Microsoft SBTU

Jeff Williams，安全保密官 – Microsoft PSS（高级审查者）

返回页首
项目经理
Jeff Coon – Volt Information Sciences

返回页首
审查者（按字母顺序）
Ken Anderson，安全解决方案技术帐户管理员 – Microsoft Consulting

Ignacio Ayerbe，战略联盟主管 – Panda Software

Steve Clark，系统设计工程师 – MSS

J.P. Duan，防病毒安全响应组经理 – Microsoft SBTU

Marius Gheorghescu，软件设计工程师 – Microsoft SBTU

Yolanda Ruiz Hervas – Panda Software

Mikko Hypponen，防病毒研究主管 – F-Secure Corporation

Maxim Kapteijns，高级项目经理 – Microsoft 咨询

Mady Marinescu，开发领导– Microsoft SBTU

Brian May，系统设计工程师 – MSS

Sami Rautiainen，防病毒研究员 – F-Secure Corporation

Anil Francis Thomas，开发经理 – Microsoft SBTU

Jessica Zahn，国际项目经理 – Microsoft 出版

返回页首
参与者（按字母顺序）
Eric Cameron，SCRB 项目经理 – Volt Information Sciences

Philippe Goetschel – 产品组经理 SBTU

Joanne Kennedy，组项目经理 – MSS

Kelly McMahon，用户体验 – Content Master Ltd

Jeff Newfeld，产品组经理 – MSS

Rob Oikawa，建筑师 – MSS

Adrien Ransom，业务开发经理 – Microsoft SBTU

Bill Reid，组产品经理 – MSS

Bomani Siwatu，测试领导 – MSS

本页内容
简介
指南各章摘要
欢迎您提供反馈信息

简介
虽然许多组织已经开发了防病毒软件，但恶意软件（例如，计算机病毒、蠕虫和特洛伊木马）仍在继续感染着世界各地的计算机系统。关于这个显而易见的矛盾产生的根源，不是几句话就可以解释清楚的；但目前情况却表明，在环境中的每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。

《深层病毒防护指南》针对不同类型的恶意软件提供了简明易懂的概述，包括与恶意软件所带来的风险、恶意软件特征、复制方法和负载有关的信息。本指南详细说明了为组织规划和实现全面的病毒防护时应该注意的事项，并提供了关于深层病毒防护规划和可用于降低感染风险的相关工具的信息。本指南在最后一章中提供了一种综合方法，可帮助您快速而有效地应对恶意软件爆发或事件，并从中恢复。

返回页首
指南各章摘要
《深层病毒防护指南》包括四章：

第 1 章：简介
本章提供了本指南的简介、每章的概述以及本指南的目标读者。

第 2 章：恶意软件威胁
本章定义了主要的恶意软件类型，并指定了此类别中所包含的程序类型（以及排除的类型）。 本章还提供了有关恶意软件特征、攻击方法、传播方法和负载的信息。

第 3 章：深层病毒防护
本章详细说明了为客户端、服务器和网络基础结构建立全面的病毒防护时应该注意的事项。本章还讨论了 Microsoft 建议的、应在构建整体安全规划时考虑的用户策略和常规安全措施。

第 4 章：突发控制和恢复
本章提供了一种循序渐进的方法，用来基于行业最佳做法和 Microsoft 内部运作来解决恶意攻击并从中恢复。

深层病毒防护指南
第 1 章：简介
发布日期： 2004年07月08日
虽然许多组织已经部署了防病毒软件，但是新的病毒、蠕虫和其他形式的恶意软件仍在继续快速地感染大量的计算机系统。关于这个显而易见的矛盾产生的根源，不是几句话就可以解释清楚的；但是根据 Microsoft 从系统已被感染的公司内的 IT 专业人员和安全人员的反馈来看，基本趋势非常明显，这些反馈信息中包括如下评论：

• "用户执行其电子邮件的附件，尽管我们一再告诉他们不应该……"

• "防病毒软件本应可以捕获此病毒，但是此病毒的签名尚未安装。"

• "本来根本不会攻破防火墙，我们甚至都没有意识到这些端口会被攻击。"

• "我们不知道我们的服务器需要安装修补程序。"


最近攻击的成功表明，在组织的每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。最近病毒爆发的传播速度令人担忧，软件行业检测、识别和传送可保护系统免受攻击的防病毒工具的速度无法跟上病毒的传播速度。最新形式的恶意软件所表现的技术也更加先进，使得最近的病毒爆发可以躲避检测而进行传播。这些技术包括：

• 社会工程。许多攻击试图看上去好像来自系统管理员或官方服务，这样就增加了最终用户执行它们从而感染系统的可能性。

• 后门创建。最近大部分的病毒爆发都试图对已感染系统打开某种形式的未经授权访问，这样黑客可以反复访问这些系统。反复访问用于在协调的拒绝服务攻击中将系统用作"僵尸进程"，然后使用新的恶意软件感染这些系统，或者用于运行黑客希望运行的任何代码。

• 电子邮件窃取。恶意软件程序使用从受感染系统中获取的电子邮件地址，将其自身转发到其他受害者，并且恶意软件编写者也可能会收集这些地址。然后，恶意软件编写者可以使用这些地址发送新的恶意软件变形体，通过它们与其他恶意软件编写者交换工具或病毒源代码，或者将它们发送给希望使用这些地址制造垃圾邮件的其他人。

• 嵌入的电子邮件引擎。电子邮件是恶意软件传播的主要方式。现在，许多形式的恶意软件都嵌入电子邮件引擎，以使恶意代码能更快地传播，并减少创建容易被检测出的异常活动的可能性。非法的大量邮件程序现在利用感染系统的后门，以便利用这些机会来使用此类电子邮件引擎。由此可以相信，去年制造的大部分垃圾邮件都是通过这种受感染系统发送的。

• 利用产品漏洞。恶意软件更经常利用产品漏洞进行传播，这可使恶意代码传播得更快。

• 利用新的 Internet 技术。当新的 Internet 工具面世之后，恶意软件编写者会快速检查这些工具，以确定如何利用它们。目前，即时消息传递和对等 (P2P) 网络在这种作用力下已经成为攻击媒介。

上述恶意软件术语和技术将在本指南的下面章节中进行详细讨论。


Microsoft 仍致力于确保其提供的应用程序的安全，同时致力于与公司的合作伙伴一起来应对恶意软件的威胁。目前，Microsoft 正努力降低这些威胁产生的影响，其中包含：

• 与防病毒供应商紧密合作，一起构建病毒信息联盟 (VIA)。联盟成员交换新发现的恶意软件的技术信息，这样可以快速地将目标、影响和补救信息传递给客户。有关 VIA 的详细信息，请参阅 Microsoft? TechNet 上的"Virus Information Alliance (VIA)"页，其网址为：http://www.microsoft.com/technet/security/topics/virus/via.mspx（英文）。

• 研究新的安全技术（例如，活动保护技术和动态系统保护），来确保 Microsoft Windows? 平台的安全。有关这些措施的详细信息，请参阅 Microsoft.com 上的"Bill Gates' Remarks at the RSA Conference 2004"，其网址为：
http://www.microsoft.com/billgates/speeches/2004/02-24rsa.asp（英文）。

• 支持法规来消除垃圾邮件，和法律执行官员和 Internet 服务提供商 (ISP) 一起来起诉垃圾邮件。有关致力于此方面的联盟的信息，请参见 America Online、Microsoft 和 Yahoo！Microsoft.com 上"Join Forces Against Spam"，其网址为：http://www.microsoft.com/presspa ... orcesAntispamPR.asp（英文）。

• 宣布防病毒奖励计划，并与法律执行机构紧密合作，以减少来自恶意软件编写者的威胁。有关防病毒奖励计划的详细信息，请参阅 Microsoft.com 上的"Microsoft Announces Antivirus Reward Program"页，其网址为：http://www.microsoft.com/presspa ... iVirusRewardsPR.asp（英文）。


Microsoft 提供了此安全指南，以便帮助您识别基础结构中所有应考虑实现病毒防护的地方。此外，还提供了有关如何在感染（如果您的环境中发生了感染）后进行补救和恢复的信息。

本页内容
概述
读者
本指南中使用的样式惯例

概述
《深层病毒防护指南》包括以下几章：

第 1 章：简介
此章提供了本指南的简介，涉及恶意软件的术语和技术，并包含每章的概述及其目标读者。

第 2 章：恶意软件威胁
本章定义了各种恶意软件，并指定了此类别中包含的程序类型（以及不包含的类型）。 此外，还提供了有关恶意软件特征、攻击方法和传播方法的信息。

第 3 章：深层病毒防护
本章详细说明了 Microsoft 建议的、为客户端、服务器和网络基础结构建立全面的病毒防护时应该注意的事项。此外还讨论了 Microsoft 建议的、应为整体安全规划考虑的用户策略和其他常规安全措施。

第 4 章：突发控制和恢复
本章提供了一种循序渐进的方法，用于基于行业最佳做法和 Microsoft 内部运作来解决恶意软件攻击，然后从中恢复。

返回页首
读者
本指南主要用于帮助 IT 人员和安全人员更好地了解恶意软件所带来的威胁，并了解如何对这些威胁进行防卫，以及在恶意软件攻击发生时如何快速适当地进行响应。

虽然本指南详细说明了涉及各种客户端和服务器的病毒防护的注意事项，它也适用于在一台服务器上运行整个业务的组织。每个防护注意事项都旨在保护您的环境免受某种类型的恶意软件所带来的威胁，因此它们适用于任何规模的组织。某些推荐的措施（例如，系统监视和管理）可能超出了某些组织的需求范围。但编写本指南的工作组坚信，尽管如此，仔细查看这些措施，从而更好地了解恶意软件给当今世界各地的计算机系统所带来的风险的本质，这一点是非常有用的。

返回页首
本指南中使用的样式惯例
下表说明了《深层病毒防护指南》中使用的样式约定。

表 1.1：样式惯例

元素 含义
粗体
文件名和用户界面元素以粗体显示。

斜体
或
<斜体>
斜体应用于用户键入的、且可能更改的字符。显示在尖括号中的斜体字符表示用户必须提供特定值的变量占位符。示例：

<Filename.ext> 表示应该将斜体的
filename.ext 替换为另一个适用于您的
配置
的文件名。

斜体也用于表示新的术语。示例：

数字身份 — 一个人、组、设备或服务的唯一
标识符和描述性属性。

屏幕文本字体
此字体定义显示在屏幕上的输出文本。

固定宽度代码字体
此字体用于定义代码样例。示例：
public override void Install(IDictionary savedState)

固定宽度命令字体
此字体用于定义用户在命名提示时键入的命令、开关和属性。示例：
在命令提示下，键入下列命令：
CScript SetUrlAuth.vbs

%SystemRoot%
安装 Windows 操作系统的文件夹。

注意
提醒读者阅读补充信息。

重要
提醒读者阅读补充信息，该信息对完成任务非常重要。

小心
提醒读者操作失败，或避免可能导致数据丢失的特定操作。

警告
提醒读者操作失败，或避免可能对用户或硬件造成物理损害的特定操作。

深层病毒防护指南
第 2 章：恶意软件威胁
发布日期： 2004年07月08日
本页内容
简介
计算机病毒的演变
什么是恶意软件？
恶意软件的特征
什么不是恶意软件？
防病毒软件
"处于疯狂状态"恶意软件的典型时间线
小结

简介
《深层病毒防护指南》在本章中简要介绍了计算机病毒的演变，从最初相对简单的病毒到如今存在的各种各样的恶意软件。本章定义了已知恶意软件类型和技术的分类，同时提供了与恶意软件传播及其给各种规模的组织所带来的风险有关的信息。

由这个主题不断发展的本质所决定，本指南并不旨在记录和解释所有恶意软件元素及其可能的变体。然而，本指南的确在尝试了解包含恶意软件的各种元素的本质方面迈出了意义重大的第一步。本指南还讨论并定义了恶意软件之外的其他内容，如间谍软件（在没有获取用户相应许可的情况下就在计算机上执行某些活动的程序）、垃圾邮件（未经请求的电子邮件）和广告软件（集成到软件中的广告）。

返回页首
计算机病毒的演变
20 世纪 80 年代早期出现了第一批计算机病毒。这些早期的尝试大部分是试验性的，并且是相对简单的自行复制的文件，它们仅在执行时显示简单的恶作剧而已。

注意： 值得注意的是，提供病毒演变的明确历史几乎是不可能的。恶意软件的非法本质意味着，作恶者关注的是如何隐藏恶意代码的来源。本指南介绍病毒研究人员和防病毒行业普遍认可的恶意软件历史。

1986 年，报道了攻击 Microsoft? MS-DOS? 个人计算机的第一批病毒；人们普遍认为 Brain 病毒是这些计算机病毒中的第一种病毒。然而，1986 年出现的其他首批病毒还包括 Virdem（第一个文件病毒）和 PC-Write（第一个特洛伊木马病毒，此程序看上去有用或无害，但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。）在 PC-Write 中，特洛伊木马程序伪装成一个同名的流行共享软件：字处理器应用程序。

随着更多的人开始研究病毒技术，病毒的数量、被攻击的平台数以及病毒的复杂性和多样性都开始显著提高。病毒在某一时期曾经着眼于感染启动扇区，然后又开始感染可执行文件。1988 年出现了第一个 Internet 蠕虫病毒（一种使用自行传播恶意代码的恶意软件，它可以通过网络连接，自动将其自身从一台计算机分发到另一台计算机）。Morris Worm 导致 Internet 的通信速度大大地降低。为了应对这种情况以及病毒爆发次数的不断增长，出现了 CERT Coordination Center（网址：http://www.cert.org/），通过协调对病毒爆发和事件的响应来确保 Internet 的稳定性。

1990 年，网上出现了病毒交流布告栏，成为病毒编写者合作和共享知识的平台。此外，还出版了第一本关于病毒编写的书籍，并且开发出了第一个多态病毒（通常称为 Chameleon 或 Casper）。多态病毒是一种恶意软件，它使用不限数量的加密例程以防止被检测出来。多态病毒具有在每次复制时都可以更改其自身的能力，这使得用于"识别"病毒的基于签名的防病毒软件程序很难检测出这种病毒。此后不久，即出现了 Tequila 病毒，这是出现的第一个比较严重的多态病毒攻击。接着在 1992 年，出现了第一个多态病毒引擎和病毒编写工具包。

自那时起，病毒就变得越来越复杂：病毒开始访问电子邮件通讯簿，并将 其自身发送到联系人；宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件；此外还出现了专门利用操作系统和应用程序漏洞的病毒。电子邮件、对等 (P2P) 文件共享网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。在已感染系统上创建的后门（由恶意软件引入的秘密或隐藏的网络入口点）使得病毒编写者（或黑客）可以返回和运行他们所选择的任何软件。本指南上下文中的黑客是试图非法访问计算机系统或网络的程序员和计算机用户。本章的下一部分将详细讨论恶意软件。

有些病毒附带其自身的嵌入式电子邮件引擎，可以使已感染的系统直接通过电子邮件传播病毒，而绕过此用户的电子邮件客户端或服务器中的任何设置。病毒编写者还开始认真地设计病毒攻击的结构并使用社会工程，来开发具有可信外观的电子邮件。这种方法旨在获取用户的信任，使其打开附加的病毒文件，来显著地增加大规模感染的可能性。

恶意软件演变的同时，防病毒软件也处在不断的发展之中。但是，当前大多数防病毒软件几乎完全依赖于病毒签名或恶意软件的识别特性来识别潜在有害的代码。从一个病毒的初始版本到此病毒的签名文件被防病毒供应商广泛分发之间，仍然存在存活机会。因此，现在发布的许多病毒在最初的数天内感染速度极快，之后一旦分发了应对病毒的签名文件，感染速度则迅速降低。

返回页首
什么是恶意软件？
本指南将术语"恶意软件"用作一个集合名词，来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。

那么，计算机病毒或蠕虫的确切含义是什么？它们和特洛伊木马之间有哪些不同之处？防病毒应用程序是仅对蠕虫和特洛伊木马有效，还是仅对病毒有效？

所有这些问题都起源于令人迷惑且通常被曲解的恶意代码世界。现有恶意代码的数目和种类繁多，因此很难为每个恶意代码类别提供一个准确的定义。

对于笼统的防病毒讨论，可使用以下简单的恶意软件类别定义：

• 特洛伊木马。该程序看上去有用或无害，但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。特洛伊木马程序通常通过没有正确说明此程序的用途和功能的电子邮件传递给用户。它也称为特洛伊代码。特洛伊木马通过在其运行时传递恶意负载或任务达到此目的。

• 蠕虫。蠕虫使用自行传播的恶意代码，它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。蠕虫会执行有害操作，例如，消耗网络或本地系统资源，这样可能会导致拒绝服务攻击。某些蠕虫无须用户干预即可执行和传播，而其他蠕虫则需用户直接执行蠕虫代码才能传播。除了复制，蠕虫也可能传递负载。

• 病毒病毒代码的明确意图就是自行复制。病毒尝试将其自身附加到宿主程序，以便在计算机之间进行传播。它可能会损害硬件、软件或数据。宿主程序执行时，病毒代码也随之运行，并会感染新的宿主，有时还会传递额外负载。


对于本指南的用途而言，负载是一个集合术语，表示恶意软件攻击在已感染计算机上执行的操作。各种恶意软件类别的上述定义使得可以通过一个简单的流程图来说明这些类别之间的不同之处。下图说明了可用来确定程序或脚本是否属于这些类别的元素：

图 2.1 恶意代码决策树


通过此图，可以区分对于本指南用途而言的每种常见恶意代码类别。但是，了解单个攻击所引入的代码可能适合一个或多个类别是非常重要的。这些类型的攻击（称作混合威胁，包含使用多种攻击方法的多个恶意软件类型）会以极快的速度传播。攻击方法是恶意软件可用于发起攻击的例程。由于这些原因，混合威胁特别难以应对。

以下部分对每种恶意软件类别进行了更为详细的解释，以帮助说明每种类别的一些主要元素。

特洛伊木马
特洛伊木马不被认为是计算机病毒或蠕虫，因为它不自行传播。但是，病毒或蠕虫可用于将特洛伊木马作为攻击负载的一部分复制到目标系统上，此过程称为"发送"。特洛伊木马的通常意图是中断用户的工作或系统的正常运行。例如，特洛伊木马可能在系统中提供后门，使黑客可以窃取数据或更改配置设置。

在提及特洛伊木马或特洛伊类型活动时，还有两个经常使用的术语，其识别方法和解释如下：

• 远程访问特洛伊。某些特洛伊木马程序使黑客或数据窃取者可以远程地控制系统。此类程序称为"远程访问特洛伊"(RAT) 或后门。RAT 的示例包括 Back Orifice、Cafeene 和 SubSeven。

有关此类特洛伊木马的详细说明，请参阅 Microsoft TechNet 网站上的文章"Danger:Remote Access Trojans"，网址为
http://www.microsoft.com/technet ... virus/virusrat.mspx（英文）。

• Rootkit。Rootkit 是软件程序集，黑客可用来获取计算机的未经授权的远程访问权限，并发动其他攻击。这些程序可能使用许多不同的技术，包括监视击键、更改系统日志文件或现有的系统应用程序、在系统中创建后门，以及对网络上的其他计算机发起攻击。Rootkit 通常被组织到一组工具中，这些工具被细化为专门针对特定的操作系统。第一批 Rootkit 是在 20 世纪 90 年代被识别出来的，当时 Sun 和 Linux 操作系统是它们的主要攻击对象。目前，Rootkit 可用于许多操作系统，其中包括 Microsoft? Windows? 平台。

注意：请注意，RAT 和某些包含 Rootkit 的工具具有合法的远程控制和监视使用。但是，这些工具引入的安全性和保密性问题给使用它们的环境带来了整体风险。


蠕虫
如果恶意代码进行复制，则它不是特洛伊木马，因此为了更精确地定义恶意软件而要涉及到的下一个问题是："代码是否可在没有携带者的情况下进行复制？"即，它是否可以在无须感染可执行文件的情况下进行复制？如果此问题的答案为"是"，则此代码被认为是某种类型的蠕虫。

大多数蠕虫试图将其自身复制到宿主计算机上，然后使用此计算机的通信通道来进行复制。例如，Sasser 蠕虫依赖服务的安全漏洞最初感染一个系统，然后使用已感染系统的网络连接来试图进行复制。如果已安装最新的安全更新（来停止感染），或已在环境中启用防火墙来阻止蠕虫所用的网络端口（来停止复制），则攻击将会失败。

病毒
如果恶意代码将其自身的副本添加到文件、文档或磁盘驱动器的启动扇区来进行复制，则认为它是病毒。此副本可以是原始病毒的直接副本，也可以是原始病毒的修改版本。有关详细信息，请参阅本章后面的"防护机制"部分。正如前面所提及的，病毒通常会将其包含的负载（例如，特洛伊木马）放置在一个本地计算机上，然后执行一个或多个恶意操作（例如，删除用户数据）。但是，仅进行复制且不具有负载的病毒仍是恶意软件问题，因为该病毒自身在其复制时可能会损坏数据、消耗系统资源并占用网络带宽。

返回页首
恶意软件的特征
每类恶意软件可以表现出来的各种特征通常非常类似。例如，病毒和蠕虫可能都会使用网络作为传输机制。然而，病毒会寻找文件以进行感染，而蠕虫仅尝试复制其自身。以下部分说明了恶意软件的典型特征。

目标环境
恶意软件试图攻击宿主系统时，可能需要许多特定的组件，攻击才能成功。下面是一个典型示例，说明恶意软件在攻击宿主系统时所需的组件：

• 设备。某些恶意软件将一种设备类型作为专门的攻击目标，例如，个人计算机、Apple Macintosh 计算机甚至个人数字助理 (PDA)，但是请注意，PDA 恶意软件目前非常少见。

• 操作系统。恶意软件可能需要特殊的操作系统才会有效。例如，20 世纪 90 年代后期出现的 CIH 或 Chernobyl 病毒仅攻击运行 Microsoft Windows? 95 或 Windows? 98 的计算机。

• 应用程序。恶意软件可能需要在目标计算机上安装特定的应用程序，才能传递负载或进行复制。例如，2002 出现的 LFM.926 病毒仅在 Shockwave Flash (.swf) 文件可在本地计算机上执行时才能进行攻击。


携带者对象
如果恶意软件是病毒，它会试图将携带者对象作为攻击对象（也称为宿主）并感染它。目标携带者对象的数量和类型随恶意软件的不同而大不相同，以下列表提供了最常用的目标携带者的示例：

• 可执行文件。这是通过将其自身附加到宿主程序进行复制的"典型"病毒类型的目标对象。除了使用 .exe 扩展名的典型可执行文件之外，具有以下扩展名的文件也可用作此用途：.com、.sys、.dll、.ovl、.ocx 和 .prg。

• 脚本。将脚本用作携带者目标文件的攻击，这些文件使用诸如 Microsoft Visual Basic? Script、javascript、AppleScript 或 Perl Script 之类的脚本语言。此类文件的扩展名包括：.vbs、.js、.wsh 和 .prl。

• 宏。这些携带者是支持特定应用程序（例如，字处理器、电子表格或数据库应用程序）的宏脚本语言的文件。例如，病毒可以在 Microsoft Word 和 Lotus Ami Pro 中使用宏语言来生成许多效果，从恶作剧效果（在文档四处改变单词或更改颜色）到恶意效果（格式化计算机的硬盘驱动器）。

• 启动扇区。计算机磁盘（硬盘和可启动的可移动媒体）上的特定区域（例如，主启动记录 (MBR) 或 DOS 启动记录）也可被认为是携带者，因为它们可以执行恶意代码。当某个磁盘被感染时，如果使用该磁盘来启动其他计算机系统，将会复制病毒。

注意：如果病毒同时将文件和启动扇区作为感染目标，可称其为"多部分"病毒。


传输机制
攻击可以使用一个或多个不同方法，在计算机系统之间尝试并复制。本部分提供了与恶意软件使用的几个比较常见的传输机制有关的信息。

• 可移动媒体。计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器（至少到当前为止）是文件传输。此机制开始于软盘，然后移动到网络，目前正在寻找新的媒体，例如，通用串行总线 (USB) 设备和火线。感染速度并不像基于网络的恶意软件那样快，但安全威胁却始终存在，而且难以完全消除，因为系统之间需要交换数据。

• 网络共享一旦为计算机提供了通过网络彼此直接连接的机制，就会为恶意软件编写者提供另一个传输机制，而此机制所具有的潜力可能会超出可移动媒体的能力，从而可以传播恶意代码。由于在网络共享上实现的安全性级别很低，因此会产生这样一种环境，其中恶意软件可以复制到大量与网络连接的计算机上。这在很大程度上替代了使用可移动媒体的手动方法。

• 网络扫描。恶意软件的编写者使用此机制来扫描网络，以查找容易入侵的计算机，或随意攻击 IP 地址。例如，此机制可以使用特定的网络端口将利用数据包发送到许多 IP 地址，以查找容易入侵的计算机进行攻击。

• 对等 (P2P) 网络。要实现 P2P 文件传输，用户必须先安装 P2P 应用程序的客户端组件，该应用程序将使用一个可以通过组织防火墙的网络端口，例如，端口 80。应用程序使用此端口通过防火墙，并直接将文件从一台计算机传输到另一台。这些应用程序很容易在 Internet 上获取，并且恶意软件编写者可以直接使用它们提供的传输机制，将受感染的文件传播到客户端硬盘上。

• 电子邮件。电子邮件已成为许多恶意软件攻击所选择的传输机制。电子邮件可以很容易地传送到几十万人，而恶意软件作恶者又无须留下自己的计算机，这使得电子邮件成为一种非常有效的传输方式。使用此方式哄骗用户打开电子邮件附件要相对容易一些（使用社会工程技术）。因而，许多最多产的恶意软件爆发已使用电子邮件作为它们的传输机制。有两种使用电子邮件作为传输机制的基本类型的恶意软件：

• 邮件程序。这种类型的恶意软件通过使用宿主上安装的邮件软件（例如，Microsoft Outlook? Express），或使用其自身的内置简单邮件传输协议 (SMTP) 引擎，将其自身作为邮件发送到限定数量的电子邮件地址。

• 大量邮件程序。这种类型的恶意软件使用宿主上安装的邮件软件或其自身的内置 SMTP 引擎，在受感染的计算机上搜索电子邮件地址，然后将其自身作为邮件大量发送到这些地址。


• 远程利用。恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制。此行为通常可以在蠕虫中见到；例如， Slammer 蠕虫利用 Microsoft SQL Server? 2000 中的漏洞。此蠕虫生成了一个缓冲区溢出，允许一部分系统内存被可在和 SQL Server 服务相同的安全上下文中运行的代码覆盖。缓冲区溢出这种情况的出现，是因为向缓冲区添加的信息多于其可以存储的信息量。攻击者可能会利用此漏洞来占用系统。Microsoft 在 Slammer 发布的数月之前即识别并修复了此漏洞，但是由于有少数系统未被更新，使得此蠕虫得以传播。


负载
一旦恶意软件通过传输到达了宿主计算机，它通常会执行一个称为"负载"的操作，负载可以采用许多形式。在本部分中识别的某些常见负载类型包括：

• 后门。这种类型的负载允许对计算机进行未经授权的访问。它可能提供完全访问权限，但也可能仅限于某些访问权限，例如，通过计算机上的端口 21 启用文件传输协议 (FTP) 访问。如果攻击可以启用 Telnet，黑客则可以将已感染计算机用作 Telnet 攻击在其他计算机上的临时区域。正如前面所述，后门有时也称为"远程访问特洛伊"。

• 数据损坏或删除。一种最具破坏性的负载类型应该是损坏或删除数据的恶意代码，它可以使用户计算机上的信息变得无用。此处恶意软件编写者具有两个选项：第一个选项是将负载设计为快速执行。尽管对于它所感染的计算机而言极具潜在破坏性，但是此恶意软件的设计会导致其很快被发现，从而减少了其复制操作不被发现的可能性。另一个选项是将负载在本地系统上（以特洛伊木马的形式）保留一段时间（有关其示例的信息，请参阅本章后面的"触发机制"部分），这样会使恶意软件在尝试传递负载之前进行传播，从而使用户警觉到它的存在。

• 信息窃取。一种特别令人担心的恶意软件负载类型是旨在窃取信息的负载。如果负载会损害宿主计算机的安全，则它可能会提供一种将信息传回恶意软件作恶者的机制。这种情况可以多种形式发生；例如，传输可以自动进行，从而使恶意软件可以很容易地获取本地文件或信息，例如，用户所按的键（以便获取用户名和密码）。另一种机制是在本地宿主上提供一种环境，使攻击者可以远程控制该宿主，或直接获取对系统上文件的访问权限。

• 拒绝服务 (DoS)。可以传递的一种最简单的负载类型是拒绝服务攻击。DoS 攻击是由攻击者发起的一种计算机化的袭击，它使网络服务超负荷或停止网络服务，如 Web 服务器或文件服务器。DoS 攻击的唯一目的是使特定服务在一段时间内不可用。

• 分布式拒绝服务 (DDoS)。这种类型的攻击一般使用已感染的客户端，而这些客户端通常完全不知道它们在此类攻击中的角色。DDoS 攻击是一种拒绝服务攻击，其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标。攻击者使用此方法对目标造成的影响很可能会大于使用单个攻击计算机造成的影响。关于攻击怎样发生的语义根据攻击的不同而不尽相同，但是它们通常都涉及将大量数据发送到特定的宿主或网站，使其停止对合法通信的响应（或者无法响应）。这样会完全占用受害站点的可用带宽，并且会有效地使此站点脱机。

这种类型的攻击极难进行防护，因为应为此类攻击负责的宿主实际上其自身已成为不知情的受害者。DDoS 攻击通常由 bots（执行重复任务的程序）执行（例如，Internet 中继聊天 (IRC) Eggdrop bots），黑客可以使用 bots 通过 RC 通道来控制"受害"计算机。一旦这些计算机处于黑客的控制之中，它们就会成为"僵尸进程"，并会在接到攻击者的命令之后影响目标，而计算机的所有者对此不会有任何察觉。


DoS 和 DDoS 方法都涉及到了许多不同的攻击技术，包括：

• 系统关闭。如果恶意软件可以关闭宿主系统或使其崩溃，则它可以成功地中断一项或多项服务。攻击宿主系统需要恶意软件找到应用程序的漏洞，或可以导致系统关闭的操作系统。

• 带宽充满。提供给 Internet 的大多数服务都通过带宽有限的网络连接进行链接，而网络又将它们连接到客户端。如果恶意软件编写者传递的负载使用虚假的网络通信填满带宽，则仅通过阻止客户端使其无法直接连接到服务即可生成 DoS。

• 网络 DoS。这种类型的负载试图使本地宿主可用的资源超负载。诸如微处理器和内存能力的资源因 SYN 洪水攻击而溢出；在此类攻击中，攻击者使用某个程序发送大量的 TCP SYN 请求，以填满服务器上挂起的连接队列，并拒绝来自宿主的合法网络通信和到宿主的合法网络通信。电子邮件炸弹攻击也通过填满存储资源来创建 DoS 攻击；在这种攻击中，过分庞大的电子邮件数据会发送到电子邮件地址，并试图中断电子邮件程序或使接收者无法再收到合法的信息。

• 服务中断。这种类型的负载也会导致 DoS。例如，如果域名系统 (DNS) 服务器上的攻击禁用了 DNS 服务，则此 DoS 攻击技术已经实现。但是，系统上的所有其他服务可能仍保持未感染状态。



触发机制
触发机制是恶意软件的一个特征，恶意软件使用此机制启动复制或负载传递。典型的触发机制包括以下内容：

• 手动执行。这种类型的触发机制只是执行由受害者直接执行的恶意软件。

• 社会工程。恶意软件通常使用某种形式的社会工程，来欺骗受害者手动执行恶意代码。这种方法可能相对简单，例如在大量邮件蠕虫中使用的那些方法，其中社会工程元素主要在电子邮件的主题字段中选择最有可能使受害者打开邮件的文本。 恶意软件编写者也可能使用电子邮件欺骗，以试图欺骗受害者并使其相信电子邮件来自可信源。欺骗是模拟网站或数据传输的行为，以使其看起来可信。例如，最早出现在 2003 年的原始 Dumaru 蠕虫修改了电子邮件的"收件人："字段，使其错误地声称自己来自于 security@microsoft.com。（有关此特征的详细信息，请参阅本章中下一部分中的"恶作剧"）。


• 半自动执行。这种类型的触发机制最初由受害者启动，之后则自动执行。

• 自动执行。这种类型的触发机制根本无须手动执行。恶意软件执行攻击，而无须受害者运行目标计算机上的任何恶意代码。

• 时间炸弹。这种类型的触发机制在一段时间之后执行操作。这段时间可能是自第一次执行感染或某个预先规定日期或日期范围之后的一段时间延迟。例如，MyDoom.B 蠕虫将仅在 2004 年 2 月 3 日对于 Microsoft.com 网站启动其负载例程，并仅在 2004 年 2 月 1 日对 SCO Group 网站启动其负载例程。然后，此蠕虫会在 2004 年 3 月 1 日停止所有复制，尽管此时间炸弹的后门组件在此时间之后仍处于激活状态。

• 条件。这种类型的触发机制使用某个预先确定的条件作为触发器来传递其负载。例如，一个重命名的文件、一组击键或一个启动的应用程序。使用此类触发器的恶意软件有时称为"逻辑炸弹"。


防护机制
许多恶意软件示例使用某种类型的防护机制，来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例：

• 装甲。这种类型的防护机制使用某种试图防止对恶意代码进行分析的技术。这种技术包括检测调试程序何时运行并试图阻止恶意代码正常工作，或添加许多无意义的代码，使人很难判断恶意代码的用途。

• 窃取。恶意软件使用此类技术，通过截获信息请求并返回错误数据来隐藏其自身。例如，病毒可能会存储未受感染的启动扇区的图像，并在有人尝试查看受感染的启动扇区时显示此图像。1986 年，最早被人们知道的计算机病毒（称为"Brain"）便使用了这种技术。

• 加密。使用此防护机制的恶意软件加密其自身或负载（有时甚至加密其他系统数据），以防止检测或数据检索。加密的恶意软件包含静态的解密例程、加密密钥和加密的恶意代码（其中包含加密例程）。执行时，恶意软件使用解密例程和密钥来解密恶意代码。然后，恶意软件创建其代码的副本，并生成新的加密密钥。它使用该密钥及其加密例程来加密自身的新副本，然后使用解密例程添加新的密钥来启动新副本。与多态病毒不同，加密恶意软件总是使用相同的解密例程，因此尽管密钥值（以及加密的恶意代码签名）通常在不同的感染之间进行更改，但防病毒软件也可以搜索静态的解密例程，来检测出使用此防护机制的恶意软件。

• 寡态。显示此特征的恶意软件使用加密防护机制进行自身防护，并且可以将加密例程更改为只能使用固定的次数（通常数目很小）。例如，可生成两个不同解密例程的病毒将被划分到寡态。

• 多态。这种类型的恶意软件使用加密防护机制更改其自身，以免被检测出来，它通常采用如下方式：使用加密例程加密恶意软件自身，然后为每个变形提供不同的解密密钥。因此，多态恶意软件使用不限数量的加密例程来防止自身被检测出来。恶意软件复制时，解密代码中的一部分将被修改。根据特定的恶意代码，所执行的负载或其他操作可能使用加密，也可能不使用加密。通常情况下有一个变形引擎，它是生成随机加密例程的加密恶意软件的自包含组件。此引擎和恶意软件都将被加密，并且新的解密密钥会同它们一起传送。


返回页首
什么不是恶意软件？
有许多存在的威胁并不被认为是恶意软件，因为它们不是具有邪恶意图的计算机程序。但是，这些威胁对于一个组织而言仍具有安全和经济上的影响。因此，您可能希望了解您组织的 IT 基础结构和 IT 用户工作效率所面临的威胁。

玩笑软件
玩笑应用程序旨在生成一个微笑，或在最糟糕的情况下浪费某人的时间。这些应用程序自从人们开始使用计算机以来就一直存在。它们不是出于邪恶的目的而被开发的，而且很明白地标识为玩笑，因此对于本指南的用途而言，它们并不被认为是恶意软件。有许多玩笑应用程序的示例，从有趣的屏幕效果到逗人开心的动画或游戏，应有尽有。

恶作剧
通常情况下，欺骗某人为您做事要比编写软件使人在不知情的情况下做事容易。因此，在 IT 行业可以看到大量的恶作剧。

与其他形式的恶意软件一样，恶作剧也使用社会工程来试图欺骗计算机用户执行某些操作。但是，在恶作剧中并不执行任何代码；恶作剧者通常只尝试欺骗受害者。至今恶作剧已经采用了多种形式。但特别常见的一个示例为，某个电子邮件声称发现了一种新的病毒类型，并要您通过转发此邮件来通知您的朋友。这些恶作剧会浪费人们的时间，消耗电子邮件资源并占用网络带宽。

欺诈
实际上，违法者已经使用过各种通信形式（在这一次或那一次），试图欺骗人们执行会给其带来某些经济利益的操作。Internet、网站和电子邮件都不例外。一个比较常见的示例是，违法者发送电子邮件，试图欺骗收件人透露个人信息（例如，银行帐户信息），然后将这些信息用于非法用途。有一种特殊类型的欺诈称为"phishing"（发音同"fishing"，也称为"品牌欺骗"或"carding"）。

phishing 的示例包括发件人伪装知名公司（例如，eBay）试图获取用户帐户信息这种情况。Phishing 欺诈通常使用一个模仿某公司官方网站外观的网站。电子邮件用于将用户指向虚假站点，并欺骗用户输入其用户帐户信息，而这些信息将被保存并用于非法用途。这些案例类型应认真处理，并要报告给本地的法律执行机构。

垃圾邮件
垃圾邮件是未经请求的电子邮件，用于为某些服务或产品做广告。它通常被认做是讨厌的东西，但是垃圾邮件不是恶意软件。但是，所发送的垃圾邮件数量的飞速增长已经成为 Internet 基础结构的一个问题，这可导致员工工作效率的降低，因为他们每天必须费力查看并删除此类邮件。

术语"垃圾邮件"的来源尚在讨论之中，但是无论它的来源是什么，有一点是可以肯定的，那就是垃圾邮件已经成为 Internet 通信中最让人头痛的、长久存在的问题之一。许多人认为垃圾邮件问题如此严重，以至于它现在威胁到了世界各地的电子邮件通信的健康状况。但是，我们应该注意到，除了电子邮件服务器和防垃圾邮件软件所承担的负载之外，垃圾邮件实际上并不能复制或威胁某个组织 IT 系统的健康和运作。

恶意软件经常被垃圾软件的始发者（因此称为"垃圾邮件制造者"）使用，以在宿主计算机上安装一个小型 SMTP 电子邮件服务器服务，然后通过该服务将垃圾邮件转发到另一个电子邮件收件人。

间谍软件
此类软件有时也称为"spybot"或"跟踪软件"。间谍软件使用其他形式的欺骗性软件和程序，它们在没有获取用户相应许可的情况下即在计算机上执行某些活动。这些活动可以包括收集个人信息，以及更改 Internet 浏览器配置设置。除了令人讨厌之外，间谍软件还会导致各种问题，从降低计算机的总体性能到侵犯个人隐私。

分发间谍软件的网站使用各种诡计，使用户下载并将其安装在他们的计算机上。这些诡计包括创建欺骗性的用户体验，以及隐蔽地将间谍软件和用户可能需要的其他软件（例如，免费的文件共享软件）捆绑在一起。

广告软件
广告软件通常与宿主应用程序组合在一起，只要用户同意接受广告软件即可免费提供宿主应用程序。因为广告软件应用程序通常在用户接受说明应用程序用途的许可协议之后进行安装，因而不会给用户带来任何不快。但是，弹出式广告会非常令人讨厌，并且在某些情况下会降低系统性能。此外，有些用户原来并没有完全意识到许可协议中的条款，这些应用程序收集的信息可能会导致他们担心隐私问题。

注意： 尽管术语"间谍软件"和"广告软件"经常交替使用，但只有未经授权的广告软件才等同于间谍软件。为用户提供适当的通知、选择和控制的广告软件并不是欺骗性的，不应划分为间谍软件。还要注意到，声称执行特定功能（实际上执行其他任务）的间谍软件应用程序实际上起到了特洛伊木马的作用。

Internet Cookie
Internet Cookie 是由用户所访问的网站放置在用户计算机上的文本文件。Cookie 包含与用户相关的标识信息，并将该信息提供给网站，然后网站将这些信息（连同站点要保留的、与用户访问相关的任何其他信息）放置在用户计算机上。

Cookie 是合法工具，许多网站使用它们跟踪访问者的信息。例如，用户可能要在网上商店中购买商品，但是在将商品放置在网上购物车中后，他们可能由于某些原因要转到另一个网站。此商店可选择在用户计算机上的 Cookie 中保存关于购物车中有哪些商品的信息，这样当用户返回该站点后，商品仍在购物车中，并且已经准备好可供用户购买（如果他/她希望完成购买）。

人们认为，网站开发人员只能检索他们创建的 Cookie 中所存储的信息。此方法通过阻止这些站点的开发人员之外的其他人员访问用户计算机上的 Cookie，应该可以确保用户的隐私。

不幸的是，据悉某些网站的开发人员在用户不知情的情况下使用 Cookie 收集信息。某些人可能会欺骗用户或违反政策。例如，他们可能跨多个不同的网站跟踪 Web 冲浪习惯，而不通知用户。然后，站点开发人员可以使用此信息自定义用户在网站上看到的广告，这将被视为一种侵犯隐私的行为。这种目标广告形式以及其他形式的"Cookie 滥用"很难识别，从而使得确定是否在系统上阻止它们、什么时间以及怎样阻止它们变得非常困难。另外，可接受级别的共享信息随计算机用户的不同而不同，因此很难创建一个能满足环境中所有计算机用户的需求的"防 Cookie"程序。

返回页首
防病毒软件
防病毒软件专门用于防护系统，使其免受来自恶意软件的威胁。Microsoft 强烈推荐使用防病毒软件，因为它会保护您的计算机系统，使其免受任何形式的恶意软件（而不仅仅是病毒）的侵害。

防病毒软件可以使用许多技术来检测恶意软件。本部分将讨论某些技术的工作原理，包括：

• 签名扫描。目前大多数防病毒软件程序都使用此技术，它通过搜索目标（宿主计算机、磁盘驱动器或文件）来查找表示恶意软件的模式。这些模式通常存储在被称为"签名文件"的文件中，签名文件由软件供应商定期更新，以确保防病毒扫描器能够尽可能多地识别已知的恶意软件攻击。此技术的主要问题是，防病毒软件必须已更新为应对恶意软件，之后扫描器才可识别它。

• 启发式扫描。此技术通过查找通用的恶意软件特征，来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是，它并不依赖于签名文件来识别和应对恶意软件。但是，启发式扫描具有许多特定问题，包括：

• 错误警报。此技术使用通用的特征，因此如果合法软件和恶意软件的特征类似，则容易将合法软件报告为恶意软件。

• 慢速扫描。查找特征的过程对于软件而言要比查找已知的恶意软件模式更难。因此，启发式扫描所用的时间要比签名扫描的时间长。

• 新特征可能被遗漏。如果新的恶意软件攻击所显示的特征以前尚未被识别出，则启发式扫描器可能会遗漏它，直至扫描器被更新。


• 行为阻止。此技术着重于恶意软件攻击的行为，而不是代码本身。例如，如果应用程序尝试打开一个网络端口，则行为阻止防病毒程序会将其检测为典型的恶意软件行为，然后将此行为标记为可能的恶意软件攻击。


现在，许多防病毒供应商在他们的解决方案中混合使用这些技术，以尝试提高客户计算机系统的整体保护级别。

可从多个 Microsoft 合作伙伴那里获取防病毒软件。关于完整的最新列表，请参阅 Microsoft.com 中的"Microsoft Antivirus Partners"页，网址为：http://www.microsoft.com/security/partners/antivirus.asp（英文）。

返回页首
"处于疯狂状态"恶意软件的典型时间线
已经出现了一种模式，用来定义可作用于公共网络的新恶意软件攻击的生存期，或者定义恶意软件进入疯狂状态的时间。学习此模式有助于您了解新的恶意软件攻击发布后所带来的风险。

新的时间线从恶意软件最初开发时开始，到它的所有痕迹已从被监视网络中删除为止。时间线阶段定义如下：

1.
构思。恶意软件开发通常从新的攻击或利用方法被提出并且在黑客间共享开始。这些方法将被讨论或研究，直至发现一个方法可以开发为攻击。

2.
开发。在过去，要创建恶意软件必须了解计算机汇编语言以及要攻击的系统的复杂工作原理。但工具包和 Internet 聊天室的出现使几乎每个心怀歹意的人都可以创建恶意软件。

3.
复制。新的恶意软件开发并发布为疯狂状态之后，它通常必须复制到可能的宿主设备一段时间，然后才能执行主要功能或传递负载。

注意： 尽管有成千上万个已知的恶意软件程序，但仅有极小一部分目前处于疯狂状态。极大多数的恶意软件程序从未发布给大众，它们通常被称为"动物园病毒"。

4.
传送负载。恶意软件成功地感染了一个宿主之后，它可能会传递负载。如果代码具有用于负载的条件触发器，则此阶段是满足传递机制条件的时候。例如，某些恶意软件负载会在用户执行特定操作或在宿主计算机上的时钟到达特定日期时被触发。如果恶意软件有一个直接操作触发器，则它仅会在感染完成后开始传递负载。例如，在数据记录负载的情况下，恶意软件程序将仅开始记录所需的数据。

5.
识别。在时间线的这一点上，恶意软件被防病毒团体识别出来。在极大多数情况下，此步骤将会在阶段 4 或甚至阶段 3 之前发生，但情况并非总是如此。

6.
检测。威胁被识别出来之后，防病毒软件开发人员需要分析代码来确定可靠的检测方法。一旦他们确定了方法，则会更新防病毒签名文件，以使现有的防病毒应用程序可以检测出新的恶意软件。此过程所用的时间对于控制病毒爆发至关重要。

7.
删除。在发布更新之后，防病毒应用程序的用户有责任及时应用更新，以保护其计算机免受攻击（或者清理已感染的系统）。

注意： 如果没有及时更新本地签名文件，则会导致出现以下极其危险的情况：用户会认为已处于防病毒产品的保护之下，但实际上并没有。


随着越来越多的用户更新防病毒软件，恶意软件的威胁性将会慢慢地变小。此过程基本不会删除处于疯狂状态的恶意软件的所有实例，因为某些连接到 Internet 的计算机只有极少或根本没有防病毒保护，而恶意软件会驻留在这些计算机中。但总体而言，来自攻击的威胁已经减弱。

尽管此时间线对于每个新开发的恶意软件攻击都会重复一遍，但是它并不代表所有的攻击。许多攻击仅是恶意代码原始部分的修改版本。这样，基础代码和方法是相同的，但是进行了很小的更改，以免攻击在检测到之后被删除。通常，成功的恶意代码攻击会随着星期和月份的推移而产生多个版本。这种情况将导致一种"军备竞赛"，恶意软件编写者为了自身利益（可能是为了经济利益，也可能是为了扬名，或仅仅出于好奇）将努力避免程序被检测出来。而病毒防护将根据需要再次被更新、修补或更改，以减轻恶意软件更新后带来的威胁。

返回页首
小结
恶意软件是计算机技术中一个复杂并且不断发展的领域。在 IT 业面临的所有问题中，几乎没有比恶意软件攻击更具普遍性，也几乎没有比处理恶意软件的相关费用更昂贵的了。了解恶意软件的工作原理、随时间推移的演变方式以及它们所使用的攻击方法，将有助于您以主动的方式处理此问题。反过来，如果恶意软件的确影响了您或您的组织，这将为您提供一种更为有效且效率更高的应对过程。

由于恶意软件使用如此之多的技术进行创建、分发和利用计算机系统，因此很难知道如何保护系统才足以抵挡这样的攻击。但是，一旦了解了风险和漏洞，则可以通过使成功攻击基本不可能发生这种方式来管理系统。

下一步是分析 IT 基础结构中各个点的风险，然后设计合适的防护措施，这是下一章的主题。设计有效的恢复计划是本指南最后一章的主题。

深层病毒防护指南
第 3 章：深层病毒防护
发布日期： 2004年07月08日
本页内容
简介
恶意软件的威胁方法
恶意软件防护方法
客户端防护
服务器防护
网络防护层
物理安全性
策略、过程和意识
小结

简介
所有组织都应该开发将提供高级别保护的防病毒解决方案。但是，甚至是在安装了防病毒软件后，许多组织仍然感染了病毒。本指南提出了解决恶意软件（或 malware）问题的一种不同方法。与网络安全设计一样，Microsoft 建议设计防病毒解决方案时采用深层防护方法，以便帮助确保组织在设计时采用的安全措施将得到可能的维护。

这样的方法对于组织的计算机安全是极其重要的，因为不管计算机系统提供多少有用的功能或服务，都会有人（无论出于什么原因）将试图找到漏洞以便恶意利用它，这是一件不幸的事。

与在各种环境中实施了 Microsoft? Windows Server? 2003、Windows? XP Professional 和 Windows? 2000 的顾问和系统工程师协作，有助于建立保护运行这些操作系统的客户端和服务器免受恶意软件攻击的最新的最佳做法。本章为您提供此信息。

本章还提供指导以帮助您在为组织设计防病毒安全解决方案时使用深层防护方法。此方法的目的是确保您了解模型的每个层以及对应于每个层的特定威胁，以便您可以在实施自己的防病毒措施时使用此信息。

注意：Microsoft 建议在您组织的一般安全过程和策略中包括本指南中的某些步骤。在出现这样的情况时，本指南会指明要求组织的安全小组进一步定义。

要点：如果怀疑您的组织当前正受到攻击，请在阅读本章之前，先参考本指南中的第 4 章"突发控制和恢复"。

如果您是在遇到恶意软件的攻击并进行恢复之后阅读本指南，则提供的信息旨在帮助您防止再次发生这样的攻击以及更好地了解以前的攻击是如何发生的。

返回页首
恶意软件的威胁方法
恶意软件可以通过许多方法来损害组织。这些方法有时称为"威胁方法"，它们代表在设计有效的防病毒解决方案时您的环境中最需要引起注意的区域。下面的列表包括典型组织中最容易受到恶意软件攻击的区域：

• 外部网络。没有在组织直接控制之下的任何网络都应该认为是恶意软件的潜在源。但是，Internet 是最大的恶意软件威胁。Internet 提供的匿名和连接允许心怀恶意的个人获得对许多目标的快速而有效访问，以使用恶意代码发动攻击。

• 来宾客户端。随着便携式计算机和移动设备在企业中的使用越来越广泛，设备经常移入和移出其他组织的基础结构。如果来宾客户端未采取有效的病毒防护措施，则它们就是组织的恶意软件威胁。

• 可执行文件。具有执行能力的任何代码都可以用作恶意软件。这不仅包括程序，而且还包括脚本、批处理文件和活动对象（如 Microsoft ActiveX? 控件）。

• 文档。随着文字处理器和电子表格应用程序的日益强大，它们已成为恶意软件编写者的目标。许多应用程序内支持的宏语言使得它们成为潜在的恶意软件目标。

• 电子邮件。恶意软件编写者可以同时利用电子邮件附件和电子邮件内活动的超文本标记语言 (HTML) 代码作为攻击方法。

• 可移动媒体。通过某种形式的可移动媒体进行的文件传输是组织需要作为其病毒防护的一部分解决的一个问题。其中一些更常用的可移动媒体包括：

• CD-ROM 或 DVD-ROM 光盘。廉价的 CD 和 DVD 刻录设备的出现使得所有计算机用户（包括编写恶意软件的用户）都可以容易地访问这些媒体。

• 软盘驱动器和 Zip 驱动器。这些媒体不再像以前那样流行了，原因是其容量和速度有限，但是如果恶意软件可以物理访问它们，则它们仍然会带来风险。

• USB 驱动器。这些设备具有多种形式，从经典的钥匙圈大小的设备到手表。如果可以将所有这些设备插入主机的通用串行总线 (USB) 端口，则这些设备都可以用于引入恶意软件。

• 内存卡。数字照相机和移动设备（如 PDA 和移动电话）已经帮助建立了数字内存卡。卡阅读器正日益成为计算机上的标准设备，使用户可以更轻松地传输内存卡上的数据。由于此数据是基于文件的，因此这些卡也可以将恶意软件传输到主机系统上。



返回页首
恶意软件防护方法
在针对恶意软件尝试组织有效的防护之前，需要了解组织基础结构中存在风险的各个部分以及每个部分的风险程度。Microsoft 强烈建议您在开始设计防病毒解决方案之前，进行完整的安全风险评估。优化解决方案设计所需的信息只能通过完成完整的安全风险评估获得。

有关进行安全风险评估的信息和指导，请参阅"Microsoft Solution for Securing Windows 2000 Server"（保护 Windows 2000 Server 的 Microsoft 解决方案）指南，其网址为：
http://www.microsoft.com/technet ... cwin2k/default.mspx（英文）。此指南介绍了安全风险管理规则 (SRMD)，您可以使用它了解您的组织所面临风险的特性。

深层防护安全模型
在发现并记录了组织所面临的风险后，下一步就是检查和组织您将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护，它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。如果您不熟悉深层防护安全模型，Microsoft 建议您查看 Microsoft TechNet 上的"Security Content Overview"（安全内容概述）页，其网址为：
http://www.microsoft.com/technet/security/bestprac/overview.mspx（英文）。

您还可以在 TechNet 上的"MSA Reference Architecture Kit"（MSA 参考体系结构工具包） 中找到此过程的其他信息和实用设计示例，其网址为：
http://www.microsoft.com/resourc ... sa20rak/vmhtm1.mspx（英文）。

下图说明为深层防护安全模型定义的各层：

图 3.1 深层防护安全模型的各层
请参阅完整大小的图像


图中的各层提供了在为网络设计安全防护时，环境中应该考虑的每个区域的视图。

您可以根据组织的安全优先级和要求，修改每层的详细定义。为了便于在本指南中讲述，下面的简单定义对模型的各层进行了定义：

• 数据层。数据层上的风险源自这样的漏洞：攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。例如，敏感数据（如机密的业务数据、用户数据和私有客户信息存储）都应该视为此层的一部分。在模型的此层上，组织主要关注的是可能源自数据丢失或被盗的业务和法律问题，以及漏洞在主机层或应用程序层上暴露的操作问题。

• 应用程序层。应用程序层上的风险源自这样的漏洞：攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。在此层上组织主要关注的是：对组成应用程序的二进制文件的访问；通过应用程序侦听服务中的漏洞对主机的访问；不适当地收集系统中特定数据，以传递给可以使用该数据达到自己目的的某个人。

• 主机层。提供 Service Pack 和修复程序以处理恶意软件威胁的供应商通常将此层作为目标。此层上的风险源自利用主机或服务所提供服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。缓冲区溢出（它是因添加到缓冲区的信息量比缓冲区的设计容量更大而产生的情况）就是一个良好的示例。在此层上组织主要关注的是阻止对组成操作系统的二进制文件的访问，以及阻止通过操作系统侦听服务中的漏洞对主机的访问。

• 内部网络层。组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要求也具有许多与其关联的风险。

• 外围网络层。与外围网络层（也称为 DMZ、网络隔离区域或屏幕子网）关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口。

• 物理安全层。物理层上的风险源自可以物理访问物理资产的攻击者。此层包括前面的所有层，因为对资产的物理访问又可以允许访问深层防护模型中的所有其他层。使用防病毒系统的组织在模型的此层上主要关注的是阻止感染文件避开外围网络和内部网络的防护。攻击者可能只是通过某个物理可移动媒体（如 USB 磁盘设备）将感染文件直接复制到主机，试图做到这一点。

• 策略、过程和意识层。围绕安全模型所有层的是，您的组织为满足和支持每个级别的要求需要制定的策略和过程。最后，提高组织中对所有相关方的意识是很重要的。在许多情况下，忽视风险可以导致安全违反。由于此原因，培训也应该是任何安全模型的不可缺少的部分。


通过将模型的安全层用作深层病毒防护方法的基础，您就可以重新集中视图以便将它们优化到组织中病毒防护的分组中。在组织中进行此优化的方式完全取决于组织指定的优先级和它所使用的特定防护应用程序。重点是通过确保没有从防护中排除任何安全层，来避免不完整的和弱化的防病毒设计。下图显示更集中的深层病毒防护视图：

图 3.2 集中的深层病毒防护视图
请参阅完整大小的图像


可以将数据层、应用程序层和主机层组合到两个防护策略中，以保护组织的客户端和服务器。虽然这些防护共享许多公共策略，但是实施客户端和服务器防护方面的差异足以保证对于每个防护都是唯一的防护方法。

内部网络层和外围层也可以组合到一个公共网络防护策略中，因为这两个层所涉及的技术是相同的。每个层中的实施细节将是不同的，具体取决于组织基础结构中的设备位置和技术。

返回页首
客户端防护
当恶意软件到达主机时，防护系统必须集中于保护主机系统及其数据，并停止感染的传播。这些防护与环境中的物理防护和网络防护一样重要。您应该根据以下假定来设计主机防护：恶意软件已经找到了通过前面的所有防护层的方法。此方法是达到最高保护级别的最佳方法。

客户端的病毒防护步骤
您可以使用许多方法和技术配置客户端病毒防护。以下各节详细说明 Microsoft 建议的注意事项。

步骤 1：减小攻击面
应用程序层上的第一道防护是减小计算机的攻击面。应该在计算机上删除或禁用所有不需要的应用程序或服务，以最大限度地减少攻击者可以利用系统的方法数。

在 Microsoft.com 上 Windows XP Professional 产品文档的"Default settings for services"（默认服务设置）页上，可以找到 Windows XP Professional 服务的默认设置，该页的网址为：http://www.microsoft.com/resourc ... fault_settings.mspx（英文）。

在已经将攻击面减至最小，且不影响系统的所需功能后，要此层上使用的主要防护是防病毒扫描程序。扫描程序的主要作用是检测和阻止攻击，然后通知组织中的用户，还可能通知组织中的系统管理员。

步骤 2：应用安全更新
可能连接到组织网络的客户端计算机数量很大，而且种类很多，仅这一点就可以导致很难提供快速而可靠的安全更新管理服务。Microsoft 和其他软件公司已经开发了许多可用来帮助解决此问题的工具。下列修补程序管理和安全更新工具当前可以从 Microsoft 获得：

• Windows Update。对于小型组织或个人，Windows Update 服务同时提供了手动过程和自动过程来检测和下载 Windows 平台的最新安全和功能修改。在某些组织中使用此方法时出现的问题包括：在从此服务部署更新之前缺少对测试的支持、同时下载同一程序包时客户端可能占用组织中一定量的网络带宽。有关使用此服务的信息可从 Windows Update 主页获得，其网址为：
www.windowsupdate.com（英文）。

• Software Update Service。此服务旨在为企业中的 Windows 客户端提供安全更新解决方案。通过既允许内部测试也允许分布式安全更新管理，此服务为更大组织克服了 Windows Update 的这两项不足。有关使用此服务为您的组织开发解决方案的信息可从 Microsoft.com 上的 Software Update Service 主页获得，其网址为：
http://www.microsoft.com/windowsserversystem/sus/（英文）。

• Systems Management Server 2003。Microsoft Systems Management Server 2003 是一个完整的企业管理解决方案，它能够提供综合的安全更新服务以及更多功能。有关此解决方案的详细信息，请参阅 Microsoft.com 上的 Systems Management Server 主页，其网址为：
http://www.microsoft.com/smserver/default.asp（英文）。


其中的每种 Microsoft 安全更新工具都有特定的优点和用途。最佳方法很可能是使用其中的一种或多种工具。为帮助评估组织的安全更新解决方案，请参阅 Microsoft.com 上"Choosing a Security Update Management Solution"（选择安全更新管理解决方案）页提供的功能比较，其网址为：
http://www.microsoft.com/windowsserversystem/sus/suschoosing.mspx（英文）。

步骤 3：启用基于主机的防火墙
基于主机的防火墙或个人防火墙代表您应该启用的重要客户端防护层，尤其是在用户可能带到组织通常的物理和网络防护之外的便携式计算机上。这些防火墙会筛选试图进入或离开特定主机的所有数据。

Windows XP 包括名为"Internet 连接防火墙"(ICF) 的简单个人防火墙。ICF 在被启用后将监视通过它的通信的所有方面。ICF 还检查它处理的每个数据包的源地址和目标地址，以确保每个通信都是允许的通信。有关 ICF 的详细信息，请参阅 Windows XP 帮助系统以及 Microsoft.com 上的"Use the Internet Connection Firewall"（使用 Internet 连接防火墙）页，其网址为：
http://www.microsoft.com/windows ... /networking/icf.asp（英文）。

Windows XP Service Pack 2 引入了对 ICF（现在称为"Windows 防火墙"）的许多重要增强以及其他面向安全性的改进。Service Pack 是自产品发布以来经过测试的所有修复程序、安全更新、关键更新和为内部发现的缺陷创建的更新的累积集合。Service Pack 也可能包含少量客户请求的设计更改或功能。有关 Windows XP 的此更新的信息，请参阅 Microsoft TechNet 上的"Windows XP Service Pack 2"页，其网址为：
http://www.microsoft.com/technet ... pro/sp2preview.mspx（英文）。

Windows XP 之前的 Windows 版本没有附带内置防火墙。可以安装基于主机的第三方防火墙解决方案，在更早版本的 Windows 上提供防火墙服务以及增强 Windows XP 客户端上的防火墙服务。有关这些防火墙产品的信息，请参阅 Microsoft Protect Your PC（保护您的 PC）网站上的"Frequently Asked Questions About Internal Firewalls"（内部防火墙常见问题解答）页，其网址为：
http://www.microsoft.com/security/protect/firewall.asp（英文）。

步骤 4：安装防病毒软件
许多公司推出防病毒应用程序，其中每个应用程序都试图保护主机，同时对最终用户产生最少的不便和交互。其中的大多数应用程序在提供此保护方面都是很有效的，但是它们都要求经常更新以应对新的恶意软件。任何防病毒解决方案都应该提供快速的无缝机制，来确保尽快提供对处理新恶意软件或变种所需的签名文件的更新。签名文件包含防病毒程序在扫描过程中用来检测恶意软件的信息。根据设计，签名文件由防病毒应用程序供应商定期更新，需要下载到客户端计算机。

注意：这样的更新会带来自身的安全风险，因为签名文件是从防病毒程序的支持站点发送到主机应用程序（通常通过 Internet）。例如，如果传输机制使用文件传输协议 (FTP) 获得文件，则组织的外围防火墙必须允许对 Internet 上所需 FTP 服务器进行此类型的访问。请确保在防病毒风险评估过程中审查组织的更新机制，而且此过程的安全性足以满足组织的安全要求。

由于恶意软件的模式和技术快速变化，一些组织采用了以下方法：建议要求某些"高风险"用户在同一计算机上运行多个防病毒程序包，以帮助将未能检测到恶意软件的风险减到最小。下列用户类型通常属于此类别：

• Web 管理员或管理 Internet 或 Intranet 上内容的任何用户。

• 发布实验室工作人员或制作电子媒体（如 CD-ROM）的任何用户。

• 创建或编译压缩文件或其他产品软件的开发小组成员。


应该注意，在同一计算机上运行许多不同应用程序供应商推出的防病毒应用程序，可能会因防病毒应用程序之间的互操作性问题而产生问题。在您的环境中同时运行多个防病毒应用程序可能导致的系统问题包括：

• 内存开销。许多防病毒应用程序使用驻留在内存中的活动代理程序，因而减少了可用的系统内存量。

• 系统崩溃或停止错误。这样的崩溃和错误可能是由于多个防病毒应用程序试图同时扫描同一文件导致的。

• 性能损失。当防病毒应用程序在文件中扫描恶意代码时，系统性能可能会下降。使用多个应用程序时，会重复执行扫描，这可能会将系统性能降低到不可接受的水平。

• 无法访问系统。试图同时运行的多个防病毒应用程序可能导致系统在启动过程中停止运行。在更早版本的 Windows（如 Microsoft Windows? NT 和 Windows 9x）上，此问题更为常见。


由于这些原因，不建议在同一计算机上使用多个防病毒应用程序，应该尽可能避免。

要考虑的另一种方法是为组织中的客户端、服务器和网络防护使用来自不同供应商的防病毒软件。此方法使用不同的扫描引擎提供对基础结构的这些不同区域的一致扫描，这应该有助于在单个供应商的产品未能检测到攻击时减少对总体病毒防护的风险。

有关防病毒供应商的详细信息，请参阅 Microsoft.com 上的"Microsoft Antivirus Partners"（Microsoft 防病毒合作伙伴），其网址为：
http://www.microsoft.com/security/partners/antivirus.asp（英文）。

有关为 Windows XP 设计的防病毒软件的详细信息，请参阅 Microsoft.com 上的"Microsoft Windows Catalog Antivirus"（Microsoft Windows 目录防病毒）页，其网址为：http://go.microsoft.com/fwlink/?LinkId=28506（英文）。

步骤 5：测试漏洞扫描程序
在配置系统之后，应该定期检查它以确保没有留下安全漏洞。为了帮助您完成此过程，许多应用程序可用作扫描程序来查找恶意软件和黑客可能试图利用的漏洞。其中的大多数工具更新自己的扫描例程，以保护您的系统免受最新漏洞的攻击。

Microsoft 基准安全分析器 (MBSA) 是能够检查常见安全配置问题的漏洞扫描程序的一个示例。此扫描程序还进行检查，以确保您的主机配置了最新的安全更新。

有关此免费配置工具的详细信息，请参阅 TechNet 上的"Microsoft Baseline Security Analyzer V1.2"（Microsoft 基准安全分析器 V1.2）页，其网址为：http://www.microsoft.com/technet/security/tools/mbsahome.mspx（英文）。

步骤 6：使用最少特权策略
在客户端防护中不应忽视的另一区域是在正常操作下分配给用户的特权。Microsoft 建议采用这样的策略：它提供可能的最少特权以帮助将在执行时依赖利用用户特权的恶意软件的影响减到最小。对于通常具有本地管理特权的用户，这样的策略尤其重要。请考虑对日常操作删除这样的特权，并在必要时改用 RunAs 命令启动所需的管理工具。

例如，需要安装要求管理员特权的应用程序的用户可能在命令提示符下运行以下安装命令，以适当的特权启动安装程序：

runas /user:mydomain\admin "setup.exe"
您也可以直接从 Microsoft Windows 资源管理器访问此功能，方法是执行以下步骤：

以管理特权运行程序

1.
在 Windows 资源管理器中，选择要打开的程序或工具（如 Microsoft 管理控制台 (MMC) 管理单元或控制面板）。

2.
右键单击该程序或工具，然后选择"运行方式"。

注意：如果"运行方式"没有作为选项出现，请按住 Shift 键右键单击该工具。

3.
在"运行方式"对话框中，选择"下列用户："选项。

4.
在"用户名"和"密码"框中，键入要使用的管理员帐户的用户名和密码。


步骤 7：限制未授权的应用程序
如果应用程序为网络提供一种服务，如 Microsoft Instant Messenger 或 Web 服务，则在理论上它可能成为恶意软件攻击的目标。作为防病毒解决方案的一部分，您可能希望考虑为组织编写已授权应用程序的列表。将未授权应用程序安装在您的任一客户端计算机上的尝试，可能会使所有这些计算机及其包含的数据面临受到恶意软件攻击的更大风险。

如果您的组织希望限制未授权的应用程序，则您可以使用 Windows 组策略限制用户运行未授权软件的能力。如何使用组策略已经得到广泛的讨论，有关它的详细信息可以在 Microsoft.com 上的 Windows Server 2003 Group Policy Technology Center（英文）（Windows Server 2003 组策略技术中心）找到，其网址为：
www.microsoft.com/windowsserver2 ... gement/grouppolicy/。

处理此功能的组策略的特定方面称为"软件限制策略"，可以通过标准组策略 MMC 管理单元访问它。下图显示组策略 MMC 屏幕，其中显示可以同时为计算机和用户设置软件限制策略的路径：

图 3.3 组策略 MMC 管理单元中软件限制策略文件夹的路径
请参阅完整大小的图像


要直接从 Windows XP 客户端访问此管理单元，请完成以下步骤：

1.
单击"开始"、"运行"。

2.
键入 secpol.msc，然后单击"确定"。


对所有可能的设置进行详细说明，超出了本指南的范围。但是，TechNet 上的文章"Using Software Restriction Policies to Protect Against Unauthorized Software"（使用软件限制策略防止未授权软件），其网址为：
http://www.microsoft.com/technet ... ntain/rstrplcy.mspx（英文），将为您提供有关使用 Windows XP Professional 操作系统的这一强大功能的分步指导。

警告：组策略是功能极其强大的技术，需要仔细配置和详尽了解才能成功实施。在确信熟悉策略设置并在非产品系统上测试了结果之前，不要尝试直接更改这些设置。

客户端应用程序的防病毒设置
以下各节提供配置恶意软件可能作为攻击目标的特定客户端应用程序的准则。

电子邮件客户端
如果恶意软件确实设法通过了网络和电子邮件服务器级别上的病毒防护，则可能存在一些设置，您可以进行配置以便为电子邮件客户端提供额外保护。

通常，如果用户能够直接从电子邮件打开电子邮件附件，则为恶意软件在客户端上传播提供了主要方式之一。如有可能，请考虑在组织的电子邮件系统中限制此能力。如果这是不可能的，一些电子邮件客户端允许您配置另外的步骤，用户将必须执行这些步骤才能打开附件。例如，在 Microsoft Outlook? 和 Outlook Express 中，您能够：

• 使用 Internet Explorer 安全区域禁用 HTML 电子邮件中的活动内容。

• 启用一项设置以便用户只能以纯文本格式查看电子邮件。

• 阻止程序在未经特定用户确认的情况下发送电子邮件。

• 阻止不安全的电子邮件附件。


有关如何配置这些功能的信息，请参阅 Microsoft 知识库文章"291387 - OLEXP:在 Outlook Express 6 中使用病毒防护功能"，其网址为：
http://support.microsoft.com/?kbid=291387。

Microsoft Outlook 2003 包括防止恶意软件和垃圾邮件的附加功能。有关配置这些功能的信息，请参阅 Microsoft.com 上的 Customizing Outlook 2003 to Help Prevent Viruses（英文）（自定义 Outlook 2003 以帮助防护病毒）页，其网址为：
www.microsoft.com/office/ork/2003/three/ch12/。

桌面应用程序
随着桌面办公应用程序的日益强大，它们也成为恶意软件的攻击目标。宏病毒使用字处理器、电子表格或其他支持宏的应用程序创建的文件复制自身。

您应该尽可能采取措施，以确保在环境中处理这些文件的所有应用程序上启用最合适的安全设置。有关保护 Microsoft Office 2003 应用程序的信息，请参阅 Microsoft.com 上的"Best practices for protection from viruses"（病毒防护的最佳做法）页，其网址为：
http://go.microsoft.com/fwlink/?LinkId=28509（英文）。

即时消息应用程序
非凡的即时消息技术帮助改进了全世界用户的通信。不幸的是，它还提供了有可能允许恶意软件进入系统的另一应用程序。虽然文本消息不会构成直接的恶意软件威胁，但是大多数即时 Messenger 客户端提供另外的文件传输功能以提高用户的通信能力。允许文件传输提供了进入组织网络的直接路由，有可能受到恶意软件的攻击。

网络防火墙只需筛选用于此通信的端口，即可阻止这些文件传输。例如，Microsoft Windows 和 MSN? Messenger 客户端使用介于 6891 和 6900 之间的 TCP 端口传输文件，因此，如果外围防火墙阻止这些端口，则通过 Instant Messenger 的文件传输就不会发生。但是，移动客户端计算机仅当在组织网络上时才受到保护。因此，您可能希望配置客户端上的基于主机的防火墙阻止这些端口，并且在组织中的移动客户端处于网络防护之外时为它们提供保护。

如果因为其他必需的应用程序使用这些端口或者需要文件传输，您的组织无法阻止这些端口，则应该确保在传输所有文件之前对其扫描以确定是否存在恶意软件。如果客户端工作站使用的不是实时防病毒扫描程序，则应该将即时消息应用程序配置为：一收到文件，就自动将传输的文件传递到防病毒应用程序进行扫描。例如，您可以将 MSN Messenger 配置为自动扫描传输的文件。以下步骤说明如何启用此安全功能：

注意：Windows XP 附带的 Windows Messenger 应用程序不支持此功能。对于此应用程序，应该使用实时防病毒扫描程序。

扫描 MSN Messenger 传输的文件

1.
在 MSN Messenger 主窗口中，单击"工具"菜单，然后单击"选项"。

2.
单击"消息"选项卡。

3.
在"文件传输"下，选中"使用下列程序进行病毒扫描"（扫描病毒时使用）复选框。

4.
单击"浏览"，选择要使用的防病毒扫描软件，然后单击"确定"。

注意：在此处查找要使用的正确可执行文件和要包括的命令参数，可能需要防病毒扫描软件供应商的另外输入。


完成这些步骤之后，您的防病毒软件将在客户端上自动扫描通过 MSN Messenger 接收的所有文件。

注意：您的防病毒扫描工具可能需要另外的设置步骤。有关详细信息，请查看防病毒扫描软件的说明。

Web 浏览器
从 Internet 下载或执行代码之前，您希望确保知道它来自已知的、可靠的来源。您的用户不应该仅依赖于站点外观或站点地址，因为网页和网址都可以是伪造的。

已经开发了许多不同的方法和技术，来帮助用户的 Web 浏览器应用程序确定用户所浏览网站的可靠性。例如，Microsoft Internet Explorer 使用 Microsoft Authenticode? 技术验证已下载代码的身份。Authenticode 技术验证代码是否具有有效的证书、软件发布者的身份是否与证书匹配以及证书是否仍然有效。如果通过了所有这些测试，将会降低攻击者将恶意代码传输到系统的可能性。

大多数主要的 Web 浏览器应用程序支持限制可用于从 Web 服务器执行的代码的自动访问级别的功能。Internet Explorer 使用安全区域帮助阻止 Web 内容在客户端上执行有可能产生破坏的操作。安全区域基于 Web 内容的位置（区域）。

例如，如果确信在组织的 Intranet 中下载的任何内容都是安全的，则您可能将本地 Intranet 区域的客户端安全设置配置为低级，以便允许用户从 Intranet 下载内容时限制很少或没有限制。但是，如果下载源位于 Internet 区域或"受限制的站点"区域，则您可能希望将客户端的安全设置配置为中级或高级。这些设置将导致客户端浏览器在用户下载内容之前提示他们输入有关内容证书的信息，或者完全阻止他们进行下载。

有关 Internet Explorer 安全相关问题的详细信息，请参阅 Microsoft.com 上的 Internet Explorer Security Center（英文）（Internet Explorer 安全中心）页，其网址为：
www.microsoft.com/technet/security/prodtech/ie/。

对等应用程序
Internet 范围的对等 (P2P) 应用程序的出现，使得查找文件和与他人交换文件比以前任何时候都更为容易。不幸的是，此情况已经引发了许多恶意软件攻击，它们试图使用这些应用程序将文件复制到其他用户的计算机。蠕虫（如 W32.HLLW.Sanker）已经将 P2P 应用程序（如 Kazaa）作为攻击目标以达到复制目的。还有许多试图使用其他对等应用程序（如 Morpheus 和 Grokster）的恶意软件示例。

围绕 P2P 应用程序的安全问题与客户端程序本身几乎没有关系。这些问题与这些应用程序的以下功能有很大关系：提供从一台计算机到另一台计算机的直接路由。通过此功能，不经过适当的安全检查即可传输内容。

如果可能，Microsoft 建议限制组织中使用这些应用程序的客户端数量。您可以使用本章前面所述的 Windows 软件限制策略，帮助阻止用户运行对等应用程序。如果在您的环境中这是不可能的，请确保在制定防病毒策略时，将环境中客户端因这些应用程序而面临的更大风险考虑在内。

返回页首
服务器防护
环境中的服务器防护与客户端防护有许多共同之处；二者都试图保护同一基本个人计算机环境。两者的主要差异在于，服务器防护在可靠性和性能方面的预期级别通常高得多。此外，许多服务器在组织基础结构中起到的专门作用通常需要制定专门的防护解决方案。以下各节中的信息集中说明服务器防护和前面讨论的客户端防护之间的主要差异。

服务器的病毒防护步骤
服务器的防病毒配置有很大差异，具体取决于特定服务器的角色以及根据设计它所提供的服务。将攻击面减到最小的过程通常称为"强化"。您可以获取有关强化组织中用于各种典型角色的 Windows Server 2003 的最佳指南。有关本主题的详细信息，请参阅 Microsoft.com 上的"Server Security Index"（服务器安全性索引）页，其网址为：
http://www.microsoft.com/securit ... ServerSecurity.mspx（英文）。

在组织中防护服务器的四个基本防病毒步骤与防护客户端的步骤相同。

1.
减小攻击面。从服务器中删除不需要的服务和应用程序，将其攻击面减到最小。

2.
应用安全更新。如有可能，请确保所有服务器计算机运行的都是最新的安全更新。根据需要执行其他测试，以确保新的更新不会对关键任务服务器产生负面影响。

3.
启用基于主机的防火墙。Windows Server 2003 包括一个基于主机的防火墙，您可以使用它减小服务器的攻击面以及删除不需要的服务和应用程序。

4.
使用漏洞扫描程序进行测试。使用 Windows Server 2003 上的 MBSA 帮助识别服务器配置中可能存在的漏洞。Microsoft 建议使用此漏洞扫描程序和其他专用漏洞扫描程序，帮助确保配置尽可能强大。


除了这些常用的防病毒步骤之外，请考虑将以下服务器特定的软件用作总体服务器病毒防护的一部分。

一般的服务器防病毒软件
为客户端环境（如 Windows XP）设计的防病毒应用程序和为服务器环境（如 Windows Server 2003）设计的防病毒应用程序之间的主要差异在于，基于服务器的扫描程序和任何基于服务器的服务（如消息服务或数据库服务）之间的集成级别。许多基于服务器的防病毒应用程序还提供了远程管理功能，以最大限度地减少物理访问服务器控制台的需要。

在为服务器环境评估防病毒软件时应该考虑的其他重要问题包括：

• 扫描期间的 CPU 使用率。在服务器环境中，CPU 使用率是服务器在组织中发挥其主要作用的能力的关键组成部分。

• 应用程序可靠性。重要的数据中心服务器上的系统崩溃所产生的影响比单个工作站崩溃大得多。因此，Microsoft 建议全面测试所有基于服务器的防病毒应用程序，以确保系统可靠性。

• 管理开销。防病毒应用程序的自我管理能力可以帮助组织中的服务器管理小组减少管理开销。

• 应用程序互操作性。测试防病毒应用程序时使用的基于服务器的服务和应用程序应该与产品服务器将运行的相同，以确保不存在互操作性问题。


有关已经过认证可以在 Windows Server 2003 上使用的防病毒应用程序的列表，请单击 Windows Server Catalog（Windows Server 目录）的"Business Solutions, Security"（业务解决方案，安全性）页，其网址为 http://go.microsoft.com/fwlink/?linkid=28510（英文）。

角色特定的防病毒配置和软件
现在，有许多可用于企业中特定服务器角色的专用防病毒配置、工具和应用程序。可以从此类型专用防病毒防护中获益的服务器角色的示例有：

• Web 服务器如 Microsoft Internet 信息服务 (IIS)。

• 消息服务器如 Microsoft Exchange 2003。

• 数据库服务器如运行 Microsoft SQL Server? 2000 的服务器。

• 协作服务器如运行 Microsoft Windows SharePoint? Services 和 Microsoft Office SharePoint Portal Server? 2003 的服务器。


应用程序特定的防病毒解决方案通常提供更佳的保护和性能，因为它们设计用于与特定服务集成在一起，而不是试图在文件系统级服务的下面起作用。本节讨论的所有服务器角色均负责有关在文件系统级运行的防病毒扫描程序无法访问的信息。还提供了有关其中每个服务器角色的信息，以及 Microsoft 建议如何将特定防病毒配置、工具和应用程序与它们一起使用。

Web 服务器
在一段时间内，所有类型的组织中的 Web 服务器都曾经是安全攻击的目标。不管攻击来自恶意软件（如 CodeRed）还是来自试图破坏组织网站的黑客，充分配置 Web 服务器上的安全设置以最大限度地防御这些攻击都是很重要的。Microsoft 在 Microsoft.com 上"Windows Server 2003 Security Guide"（Windows Server 2003 安全指南）的"Chapter 8 - Hardening IIS Servers"（第 8 章 - 强化 IIS 服务器）中专门为负责保护网络上运行 IIS 的服务器的系统管理员提供了指导，网址为：
http://www.microsoft.com/technet ... w2003hg/sgch08.mspx（英文）。

除了此指导外，您还可以下载某些免费工具，它们将在 IIS 上自动执行许多安全配置。例如，可以从 Microsoft.com 上下载 IIS Lockdown Tool，网址为：
http://www.microsoft.com/technet/security/tools/locktool.mspx（英文）。

此工具用于调整 Web 服务器，以便仅提供其角色所需的那些服务，因此减小了任何恶意软件对服务器的攻击面。

UrlScan 是限制 IIS 要处理的 HTTP 请求类型的另一种安全工具。通过阻止特定的 HTTP 请求，UrlScan 可以帮助阻止可能有害的请求到达服务器。现在，您可以在运行 IIS 4.0 或更高版本的服务器上干干净净地安装 UrlScan 2.5。有关 UrlScan 的详细信息，请参阅 Microsoft.com 上的"UrlScan Security Tool"（UrlScan 安全工具）页，其网址为：
http://www.microsoft.com/technet/security/tools/urlscan.mspx（英文）。

消息服务器
为组织中的电子邮件服务器设计有效的防病毒解决方案时，要牢记两个目标。第一个目标是防止服务器本身受到恶意软件的攻击。第二个目标是阻止任何恶意软件通过电子邮件系统进入组织中用户的邮箱。务必确保在电子邮件服务器上安装的防病毒解决方案能够实现这两个目标。

一般来说，标准文件扫描防病毒解决方案无法阻止电子邮件服务器将恶意软件作为附件传递到客户端。所有电子邮件服务（最简单的除外）都将电子邮件存储于某种类型的数据库（有时称为"邮件文件夹"）。典型的文件扫描防病毒解决方案无法访问此类数据库的内容。事实上，如果允许文件扫描防病毒解决方案通过驱动器映射（如 Exchange Server 5.5 和 Exchange Server 2000 上的 M: 驱动器）尝试扫描，则它可能会损坏邮件文件夹。

使防病毒解决方案与正使用的电子邮件解决方案匹配是很重要的。许多防病毒供应商现在为特定电子邮件服务器提供其软件的专用版本，这些版本设计用于扫描经过电子邮件系统的电子邮件以确定是否包含恶意软件。以下两种基本类型的电子邮件防病毒解决方案通常是可用的：

• SMTP 网关扫描程序。这些基于简单邮件传输协议 (SMTP) 的电子邮件扫描解决方案通常称为防病毒"网关"解决方案。这些解决方案的优点是：可以用于所有的 SMTP 电子邮件服务，而不是仅用于特定电子邮件服务器产品。但是，由于这些解决方案依赖于 SMTP 电子邮件协议，因此它们在可以提供的某些更高级功能方面受到限制。

• 集成的服务器扫描程序。这些专用防病毒应用程序直接与特定的电子邮件服务器产品一起工作。这些应用程序确实有许多优点。例如，它们可以与高级服务器功能直接集成在一起，它们设计为与电子邮件服务器使用相同的硬件。


Microsoft Exchange 提供了名为"病毒 API"(VAPI)（也称为防病毒 API (AVAPI) 或病毒扫描 API (VSAPI)）的特定防病毒应用程序编程接口 (API)。此 API 由专门的 Exchange Server 防病毒应用程序使用，以帮助在 Exchange 电子邮件服务器上以安全而可靠的方式提供完全的消息传递保护。有关此 API 的详细信息，请参阅 Microsoft.com 上的 Microsoft 知识库文章"328841 - XADM:Exchange 与防病毒软件"，其网址为：
http://support.microsoft.com/?kbid=328841。

数据库服务器
在考虑数据库服务器的病毒防护时，需要保护以下四个主要元素：

• 主机。运行数据库的一个或多个服务器。

• 数据库服务。在主机上运行的为网络提供数据库服务的各种应用程序。

• 数据存储区。存储在数据库中的数据。

• 数据通信。网络上数据库主机和其他主机之间使用的连接和协议。


由于数据存储区内的数据不能直接执行，因此通常认为数据存储区本身不需要扫描。目前，没有专为数据存储区编写的主要防病毒应用程序。但是，在进行防病毒配置时，应该仔细考虑数据库服务器的主机、数据库服务和数据通信这些元素。

应该专门为恶意软件威胁检查主机的位置和配置。一般说来，Microsoft 建议不要将数据库服务器置于组织基础结构的外围网络中（尤其当服务器存储敏感数据时）。但是，如果必须在外围网络中放置这样的数据库服务器，请确保对它进行配置将感染恶意软件的风险减到最小。

如果您的组织使用 SQL Server，请参阅以下指导以获得有关特定恶意软件攻击配置准则的详细信息：

• Microsoft.com 上的 Microsoft 知识库文章"309422 - INF:Consideration for a Virus Scanner On a Computer That Is Running SQL Server"（309422 - INF：运行 SQL Server 的计算机上的病毒扫描程序注意事项），其网址为：
http://support.microsoft.com/?kbid=309422（英文）。

• Microsoft.com 上 Microsoft SQL Server 的 Security Resources（英文）（安全资源）页，其网址为：
www.microsoft.com/sql/techinfo/administration/2000/security/。


最近的"Slammer"蠕虫直接将 SQL Server 作为攻击目标。此攻击表明无论 SQL Server 数据库计算机是位于外围网络还是内部网络中，保护它们都是非常重要的。

有关可帮助确保您的 SQL Server 系统免受 Slammer 蠕虫攻击的信息和软件，请参阅 Microsoft.com 上的"Finding and Fixing Slammer Vulnerabilities"（查找和修复 Slammer 漏洞）页，其网址为：
http://www.microsoft.com/security/slammer.asp（英文）。

协作服务器
协作服务器本身的特点使它们易受恶意软件的攻击。当用户将文件复制到服务器和从服务器复制文件时，他们可能使网络上的服务器和其他用户受到恶意软件的攻击。Microsoft 建议使用可以扫描复制到协作存储区和从协作存储区复制的所有文件的防病毒应用程序，保护环境中的协作服务器（如运行 SharePoint Services 和 SharePoint Portal Server 2003 的服务器）。有关保护这些服务的详细分步信息，请参阅 Microsoft.com 上"Administrators Guide for Windows SharePoint Services"（Windows SharePoint Services 管理员指南）的"Configuring Antivirus Protection"（配置病毒保护）页，其网址为：
http://www.microsoft.com/resourc ... e/en-us/stse11.mspx（英文）。

有关为与 Windows SharePoint Services 和 SharePoint Portal Server 2003 集成而专门编写的防病毒软件的信息，请参阅 Microsoft Office Online 上的"Solutions Directory "（解决方案目录）页，其网址为：
http://go.microsoft.com/fwlink/?linkid=13276（英文）。

返回页首
网络防护层
在已记录的恶意软件事件中，通过网络发动的攻击是最多的。通常，发动恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织 IT 基础结构中的主机设备。这些设备可以是客户端、服务器、路由器，或者甚至是防火墙。在此层上进行病毒防护所面临的最困难问题之一是，平衡 IT 系统用户的功能要求与创建有效防护所需的限制。例如，与许多最近的攻击类似，MyDoom 蠕虫使用电子邮件附件复制自己。从 IT 基础结构的角度来看，阻止所有传入附件是最简单、最安全的选项。但是，组织中电子邮件用户的需求可能不允许这样做。必须进行折衷，在组织的需求和它可以接受的风险级别之间达到平衡。

许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。Microsoft 建议使用此方法，因为它正好符合深层防护安全模型。

注意：存在一种日益增长的趋势：将内部网络分解为多个安全区域，以便为每个安全区域建立外围。Microsoft 也建议使用此方法，因为它可帮助降低试图访问内部网络的恶意软件攻击的总体风险。但是，本指南仅对单个网络防护进行说明。如果您计划使用一个外围网络和多个内部网络，则可以将此指导直接应用于每个网络。

组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过外部攻击进入组织。如本章前面所述，典型的恶意软件攻击集中于将文件复制到目标计算机。因此，您的病毒防护应该使用组织的常规安全措施，以确保只有经过适当授权的人员才能以安全方式（如通过加密的虚拟专用网络 (VPN) 连接）访问组织的数据。有关创建安全的外围网络设计的详细信息，请参阅 TechNet 上的 Microsoft Systems Architecture 2.0 指导，其网址为：
http://www.microsoft.com/resourc ... /en-us/default.mspx（英文）。

注意：您也应该将任何无线局域网 (LAN) 和 VPN 视为外围网络。如果您的组织已经采用这些技术，则对其进行保护是很重要的。如果无法提供此安全性，则可能允许攻击者直接访问您的内部网络（避开标准的外围防护）以发动攻击。

有关保护 WLAN 的详细信息，请参阅 TechNet 上的以下文章：

• "Planning a Secure Wireless LAN using Windows Server 2003 Certificate Services"（使用 Windows Server 2003 证书服务规划安全的 Wireless LAN），其网址为：
http://www.microsoft.com/technet/security/guidance/secmod167.mspx（英文）。

• "Securing Wireless LANs - A Windows Server 2003 Certificate Services Solution"（保护 Wireless LAN - Windows Server 2003 证书服务解决方案），其网址为：
http://www.microsoft.com/technet ... /pkiwire/swlan.mspx（英文）。


有关保护 VPN 网络的指导，请参阅 Microsoft.com 上的以下文章：

• "MSA Enterprise Design for Remote Access"（用于远程访问的 MSA 企业设计），其网址为：
http://www.microsoft.com/resourc ... 20rak/vmhtm128.mspx（英文）。


在本指南中，假定网络安全设计为组织提供了所需的标识、授权、加密和保护级别，以防止未经授权的攻击者直接侵入。但是，此时病毒防护是不完整的。下一步是将网络层防护配置为检测和筛选使用允许的网络通信（如电子邮件、Web 浏览和即时消息）的恶意软件攻击。

网络防病毒配置
有许多专门设计用于为组织提供网络安全的配置和技术。虽然这些是组织安全设计的重要部分，但是本节仅集中说明与病毒防护有直接关系的区域。您的网络安全和设计小组应该确定在组织中如何使用以下每种方法。

网络入侵检测系统
因为外围网络是网络中风险很大的部分，因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测 (NID) 系统的作用仅仅是提供：外部攻击的快速检测和报告。虽然 NID 系统是总体系统安全设计的一部分，而且不是特定的防病毒工具，但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如，一些恶意软件使用 IP 扫描来查找可进行感染的系统。由于此原因，应该将 NID 系统配置为与组织的网络管理系统一起工作，将任何不寻常的网络行为的警告直接传递给组织的安全人员。

要了解的一个关键问题是：对于任何 NID 实现，其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护，而且防护应该得到连续不断的实时监视。只有在此时，才能认为该过程是防护策略的一部分。否则，NID 系统实际上更像一个在攻击发生之后提供审核记录的工具。

有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备，也可以是集成到其他网络服务（如组织的防火墙服务）中的其他系统。例如，Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 产品包含 NID 系统功能以及防火墙和代理服务。

有关为 ISA Server 提供其他 NID 服务的 Microsoft ISA Server 合作伙伴的列表，请参阅 Microsoft.com 上的"Intrusion Detection"（入侵检测）页，其网址为：
http://www.microsoft.com/isaserv ... rusiondetection.asp（英文）。

应用程序层筛选
组织意识到使用 Internet 筛选技术监视和屏蔽网络通信中的非法内容（如病毒）不仅是有用的，而且是必需的。在过去，曾经使用防火墙服务提供的数据包层筛选执行了此筛选，仅允许根据源或目标 IP 地址或者特定的 TCP 或 UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) 在 OSI 网络模型的应用程序层上工作，因此它允许根据数据的内容检查和筛选数据。如果除了使用标准数据包层筛选外还使用 ALF，则可以实现的安全性要高得多。例如，使用数据包筛选可能允许您筛选通过组织防火墙的端口 80 网络流量，以便它只能传递到 Web 服务器。但是，此方法可能不提供足够的安全性。通过将 ALF 添加到解决方案中，您可以检查端口 80 上传递到 Web 服务器的所有数据，以确保它是有效的且不包含任何可疑代码。

ISA Server 可以在数据包通过组织防火墙时提供对它们的 ALF。可以扫描 Web 浏览和电子邮件，以确保特定于每个 Web 浏览和电子邮件的内容不包含可疑数据，如垃圾邮件或恶意软件。ISA Server 中的 ALF 功能启用深层内容分析，包括使用任何端口和协议检测、检查和验证流量的功能。有关提供筛选器以提高不同协议和 Web 通信的安全性和互操作性的供应商的列表，请参阅 Microsoft.com 上的"Partner Application Filters"（合作伙伴应用程序筛选器）页，其网址为：
http://www.microsoft.com/isaserv ... licationfilters.asp（英文）。

有关 ALF 如何在 ISA Server 2000 中工作的详细说明，请参阅"Introducing the ISA Server 2000 Application Layer Filtering Kit"（ISA Server 2000 应用程序层筛选工具包简介）页，其网址为：
www.isaserver.org/articles/spamalfkit.html（英文）。

内容扫描
内容扫描在更高级防火墙解决方案中作为一项功能提供，或者作为单独服务（如电子邮件）的组件提供。内容扫描询问允许通过有效数据通道进入或离开组织网络的数据。如果内容扫描是在电子邮件上执行的，则它通常与电子邮件服务器协同工作以检查电子邮件的特性（如附件）。此方法可以在数据通过服务时实时扫描和识别恶意软件内容。有许多与 Microsoft 协作为 Microsoft Exchange Server 和 ISA Server 提供增强安全功能（如实时防病毒内容扫描）的合作伙伴。

有关可用于 Microsoft Exchange Server 2003 的合作伙伴防病毒产品的更多详细信息，请参阅 Microsoft.com 上的 Microsoft 知识库文章"823166 - 与 Exchange Server 2003 配合使用的防病毒软件概述"，其网址为：
http://support.microsoft.com/?kbid=823166。

有关已经开发了用于 ISA Server 的内容扫描产品的 Microsoft 合作伙伴的列表，请参阅 Microsoft.com 上的"Partners"（合作伙伴）页，其网址为：
http://www.microsoft.com/isaserver/partners/（英文）。

URL 筛选
对于网络管理员可能可用的另一个选项是 URL 筛选，您可以使用它阻止有问题的网站。例如，您可能使用 URL 筛选阻止已知的黑客网站、下载服务器和个人 HTTP 电子邮件服务。

注意：主要的 HTTP 电子邮件服务站点（如 Hotmail 和 Yahoo）提供防病毒扫描服务，但是有许多较小站点根本不提供防病毒扫描服务。对组织防护来说，这是严重的问题，因为这样的服务会提供直接从 Internet 到客户端的路由。

网络管理员可以使用两种基本的 URL 筛选方法：

• 阻止列表。防火墙先检查有问题站点的预定义列表，然后才允许连接。允许用户连接没有专门在阻止列表中列出的站点。

• 允许列表。此方法仅允许与在组织已批准网站的预定义列表中输入的网站进行通信。


第一种方法依赖于识别可能存在问题的网站并将它们添加到列表中的主动过程。由于 Internet 的大小和可变特性，此方法需要自动化解决方案或很大的管理开销，通常仅对阻止数目较小的已知有问题网站是有用的，无法提供综合性保护解决方案。第二种方法提供了更好的保护，因为它的限制特性允许控制可供系统用户访问的站点。但是，除非进行了正确调查以识别用户所需的所有站点，否则此方法可能对许多组织来说限制性太强。

Microsoft ISA Server 支持使用其"站点和内容规则"手动创建这两个列表。但是，直接用于 ISA Server 的增强型自动化解决方案可从 Microsoft 合作伙伴处获得，以确保可以根据需要阻止或允许 URL，同时将管理开销减到最小。这些解决方案的列表可以从 Microsoft.com 上的"Microsoft Internet Security and Acceleration (ISA) Server Partners URL Filtering"（Microsoft Internet Security and Acceleration (ISA) Server 合作伙伴 URL 筛选）页获得，其网址为：
http://www.microsoft.com/isaserver/partners/accesscontrol.asp（英文）。

仅当客户端处于组织防护内时，这两种方法才会提供保护。移动客户端在办公室外直接连接到 Internet 时，将不提供此保护，这意味着您的网络可能会受到攻击。如果组织中的移动客户端需要 URL 筛选解决方案，则您应该考虑使用基于客户端的防护系统。但是，此方法可能会带来很大的管理开销，尤其是在具有大量移动客户�