新形式下的网络防毒建议汇总
作者:中联绿盟 段志光
鉴于最近一段时间蠕虫病毒的流行,有必要采取一些技术和管理措施以降低病毒传播带来的对企业广域网和办公网的影响。与传统通过软盘、光盘方式传播的文件型和引导区病毒不同,目前病毒传播方式、使用技术和带来的危害已经有了较大的变化。
目录
病毒技术的新动向
防范建议
建议汇总
病毒技术的新动向
流行病毒的新传播趋势有如下三种:
1、通过邮件附件传播病毒,如Sobig等邮件病毒;
2、通过无口令或者弱口令共享传播病毒,如Nimda、Mumu、Lovegate等;
3、利用操作系统或者应用系统漏洞传播口令,如冲击波蠕虫、Sqlslammer蠕虫等。
通过上面这些方式传播的病毒,由于其传播速度惊人,传统的防毒厂商通常无法及时地完成捕获病毒,分析病毒,发布升级包的过程,既使发布了升级包,也有很多用户无法在这么短的时间内将升级包发布到各个用户端上。
防范建议
针对利用系统漏洞传播的病毒
目前通过系统漏洞传播的病毒的危害最严重。这种病毒是目前防毒厂商比较难于处理的。一方面,传统防毒厂商对系统漏洞的研究不够深入,往往不能及时地拿出全面的根本解决方案;另一方面,这种病毒的传播速度很快,对网络负载也有较大的影响,使得网络防毒产品也无法及时进行更新。
因此,对这种病毒的传播,应该是技术手段为辅,管理手段为主。可行的方式包括:
◆日常工作中,强制要求配置Windows Update自动升级(仅对Windows 2000/XP、且能够与互联网联通的系统有效)。
◆日常工作中,定期通过漏洞扫描产品查找存在漏洞的主机(但是部分漏洞无法通过这种方式进行确定),对发现存在漏洞的用户,要求定时升级,否则进行断网或者记录。
◆当安全服务商紧急公告发布时(通常是严重漏洞),给全体员工(或者是经过检查,尚未安装补丁的员工)下发安全通知,将安全补丁作为附件,要求立即安装补丁并重新启动,如果已经被感染,则附上专门的查杀工具,要求进行断网杀毒。也可以在域控制器上设置自动登录脚本,当用户登录时,强制安装安全补丁后重新启动,以帮助非技术用户尽快安装补丁。
◆ 对于已经感染病毒的主机,应该尽可能断网后进行处理,首先安装补丁,推荐使用专杀工具进行查杀,重新启动后即可。
针对通过共享和弱口令传播的病毒
严格来说,通过共享和弱口令传播的蠕虫大多也利用了系统漏洞。这类病毒会搜索网络上的开放共享并复制病毒文件,更进一步的蠕虫还自带了口令猜测的字典来破解薄弱用户口令,尤其是薄弱管理员口令。对于采用这种方式传播的病毒,需要技术和管理手段并行的方式进行。
◆对于支持域的内部网来说,需要在域控制器的域安全策略上增加口令强度策略,至少需要保证长度最小值为6,开启密码复杂度要求。开启密码过期策略对防护此种攻击作用不大。
◆定期对网络中的登录口令进行破解尝试,可以使用一些免费工具进行检查,发现可能存在的弱口令。存在弱口令的主机必须及时通知使用者修改,未及时关闭者将限制网络访问。
◆ 使用共享扫描工具定期扫描开放共享,发现开放共享的主机必须及时通知使用者关闭,未及时关闭者将限制网络访问。
针对通过邮件传播的病毒
这种病毒基本上可以通过技术手段解决。
◆使用防火墙对邮件附件进行过滤,保护Exchange服务器,如 Foritgate防火墙支持在防火墙上进行病毒或者附件检测和过滤。
◆使用网络邮件防毒网关,趋势和NAI均有专用的网关防毒产品。
◆在现有的Exchange服务器上安装邮件防毒产品,主要对通过附件方式传播的病毒进行防范。目前赛门铁克、趋势和NAI均有相应的产品。
◆在客户端(主要是Outlook) 限制访问附件中的特定扩展名的文件。Outlook 2002内置此支持,Outlook 2002之前的版本需要安装补丁方能支持附加安全控制。其他邮件客户端不支持此特性。
例如最近传播最多的Sobig病毒,病毒附件大多使用pif扩展名进行传播,只要在上面谈到的任何一种手段中禁止带有pif后缀的文件进入您的邮件服务器,即可防止此类病毒的扩散。除了.pif文件以外,可以被设置阻止运行的附件类型包括:
文件扩展名 文件类型
.ade Microsoft Access 项目扩展名
.adp Microsoft Access 项目
.bas Microsoft Visual Basic 类模块
.bat 批处理文件
.chm 已编译的 HTML 帮助文件
.cmd Microsoft Windows NT命令脚本
.com Microsoft MS-DOS 程序
.cpl 控制面板扩展名
.crt 安全证书
.exe 可执行文件
.hlp 帮助文件
.hta HTML 程序
.inf 安装信息
.ins Internet 命名服务
.isp Internet 通讯设置
.js Javascript 文件
.jse Javascript 编码脚本文件
.lnk 快捷方式
.mdb Microsoft Access 程序
.mde Microsoft Access MDE 数据库
.msc Microsoft 通用控制台文档
.msi Microsoft Windows 安装程序包
.mspMicrosoft Windows 安装程序补丁
.mst Microsoft Visual Test 源文件
.pcd 照片 CD 图像,Microsoft Visual 编译脚本
.pif MS-DOS 程序的快捷方式
.reg 注册表项
.scr 屏幕保护程序
.sct Windows 脚本组件
.shb Shell 碎片对象
.shs Shell 碎片对象
.url Internet 快捷方式
.vb VBscript 文件
.vbe Javascript 编码脚本文件
.vbs VBscript 文件
建议汇总
由于目前不少病毒采用多种方式混合进行传播,因此对上面三种类型的病毒传播方式都要进行控制,方能有效地降低被病毒侵袭的影响,仅仅做一种处理,效果是不明显的。
执行防护措施时,可以根据实际情况作一些考虑,下面是我们的一些实施建议:
第一阶段:预设置
首先对网络中的主机进行分类,建议分为:普通用户,服务器、管理层用户。确定病毒防范策略,并对高层领导进行汇报,获得相应的处理权力的正式授权。
在目前的邮件服务器前段安装网关防毒产品(可选措施),从网关过滤邮件病毒。
所有用户必须强制安装网络防毒客户端,不允许关闭、删除或者禁用,一旦发现将予以警告记录。
在目前邮件服务器上安装邮件防毒产品(需要进行合理配置,建议禁止危险附件邮件的接收和发送)。
采用域策略禁止任何人使用弱口令,并发布口令策略说明,指导用户设置强度较高的口令。
第二阶段:日常工作
使用弱口令的扫描和审计工具定期检测网络中的弱口令和开放共享,对于存在弱口令用户的设备使用者进行通告,未能按期修补的,按照病毒防范策略进行断网或记入公司考评处理。
使用漏洞扫描器定期检查网络中存在漏洞的主机,对于存在严重安全问题的设备使用者进行通告,未能按期修补的,按照防范策略进行断网或记入公司考评处理。
网络防毒产品根据病毒防范策略定期定时进行扫描。每月进行汇总,对感染病毒次数最多的用户进行通报。
移动用户在可能的情况下,需要首先进行查杀病毒后方可接入网络。
根据绿盟科技发布的安全通告级别,确定是否进入紧急处理状态。进入安全紧急状态时,安全管理员根据策略应具备相应的事件处理权力。
第三阶段:紧急事件处理
紧急事件状态是指当接收到安全服务商的最高级别安全通告或已经确认开始爆发蠕虫事件时,管理人员应该进行的应急处理工作。在这个状态下,安全管理员具有更多的权限,包括强制性补丁安装和对特定设备申请断网等。
进入紧急状态时,可以使用域登录脚本给普通用户,尤其是非技术用户自动安装补丁。
对于存在问题的尚未感染或已经感染病毒的服务器,通知到人,并且必须在当天完成杀毒和修补工作,否则将进行断网设置和通报备案。
对于高层管理人员的设备,安全管理员将协同系统管理员一起,直接为此类用户进行杀毒和修补的工作。
根据安全服务商的其他建议,要求集成商或网络管理员进行临时性的访问控制、流量限制等工作。
总体策略上来看,对于普通用户,尤其是非技术员工,尽量以自动和强制性执行的策略进行管理;对于服务器管理员,应该通过自主修补,安全管理员监督的方式管理;对于高层管理用户,则建议由安全管理员直接支持的方式进行。