如果將網(wǎng)絡(luò)比作人的神經(jīng)系統(tǒng)，那么端點(diǎn)就是其神經(jīng)末梢。端點(diǎn)包括PC、筆記本電腦、手持設(shè)備及其它的特定設(shè)備。服務(wù)器或網(wǎng)關(guān)主管著集中化的安全軟件，在必要時(shí)，還要驗(yàn)證終端用戶登錄，并向終端發(fā)送更新和補(bǔ)丁等。我們可以將端點(diǎn)安全看成是一種戰(zhàn)略，其安全被分配到終端用戶設(shè)備，但必須實(shí)施集中管理。端點(diǎn)安全系統(tǒng)往往以客戶端/服務(wù)器模式運(yùn)行。

本文涉及到的關(guān)于端點(diǎn)安全的制勝之道全部來自于有著豐富實(shí)戰(zhàn)經(jīng)驗(yàn)的開發(fā)安全軟件公司，作者擇其要旨與讀者分享它們關(guān)于反病毒、基于主機(jī)的入侵防御系統(tǒng)、行為保護(hù)、網(wǎng)絡(luò)訪問控制、應(yīng)用程序控制等的技巧。

要選擇一種端點(diǎn)安全解決方案：無論你選擇什么工具，都應(yīng)當(dāng)尋求對(duì)活動(dòng)目錄的本地支持，并且要能夠支持你所擁有的設(shè)備類型。只有這樣，才能更容易實(shí)施安全控制。第一步是確認(rèn)用戶或工作站。一種簡(jiǎn)單而基本的方法是在活動(dòng)目錄中定義下面這兩個(gè)組，一是工作站（筆記本/桌面），二是安全組（IT 管理員/用戶/臨時(shí)用戶）。

當(dāng)然，管理員可以根據(jù)需要定義其他的組，用以提供更精細(xì)的控制。

第二步，闡述安全策略。為此，筆者提供了一些終端安全項(xiàng)目的制勝之道。記住，你可能需要逐個(gè)檢查這些方法，但需要將其整合為一套策略，使其可以協(xié)同工作，以便于提供最佳的保護(hù)和控制。

反病毒的制勝之道

1、至少每周執(zhí)行一次掃描，最好在午飯時(shí)間進(jìn)行。至于筆記本電腦，在其每次連接到公司網(wǎng)絡(luò)時(shí)，都應(yīng)當(dāng)激發(fā)并實(shí)施完全掃描。

2、在移動(dòng)設(shè)備插入到系統(tǒng)中時(shí)，應(yīng)當(dāng)執(zhí)行完全掃描。

3、每三小時(shí)執(zhí)行一次反病毒簽名的更新。

4、需要配置工作站，使其在內(nèi)部服務(wù)器發(fā)生硬件或軟件問題而導(dǎo)致反病毒服務(wù)器發(fā)生故障時(shí)，能夠從反病毒廠商的公共服務(wù)器直接下載簽名更新。

設(shè)備控制的制勝之道

1、公司內(nèi)部必須禁用Wi-Fi。此規(guī)則還適用于所有的工作站、筆記本電腦和服務(wù)器。

2、為了阻止公司策略無法控制的通信，應(yīng)當(dāng)禁用modem、藍(lán)牙及紅外線等。

3、必須禁用USB key中的U3特性，因?yàn)樗捎糜谔摷俚墓怛?qū)檢測(cè)，使得惡意軟件能夠自動(dòng)在工作站上運(yùn)行。在瀏覽端點(diǎn)上的可移動(dòng)設(shè)備時(shí)，U3 CD-ROM會(huì)被誤認(rèn)為是真實(shí)的光驅(qū)。

4、在將文件寫入可移動(dòng)設(shè)備時(shí)，要審計(jì)插入的所有設(shè)備并捕獲所有的活動(dòng)。這樣，你就可以監(jiān)視信息的提取，并監(jiān)視USB設(shè)備的使用。使用這些信息，就可以根據(jù)你的發(fā)現(xiàn)設(shè)置另外的策略。

5、阻止從可移動(dòng)設(shè)備和CD或DVD訪問任何可執(zhí)行的文件和腳本。這會(huì)阻止未知的漏洞被攻擊者利用，從而防止惡意軟件的運(yùn)行。

6、對(duì)寫在大容量可移動(dòng)存儲(chǔ)設(shè)備（如CD、DVD和USB備份卷）上的所有數(shù)據(jù)進(jìn)行加密。

主機(jī)IPS和行為保護(hù)的制勝之道

1、鍵盤記錄器保護(hù)：多數(shù)惡意軟件都包括某種形式的鍵盤記錄器引擎，借以恢復(fù)口令、信用卡號(hào)和其它的個(gè)人數(shù)據(jù)。一定要將鍵盤記錄器的防護(hù)作為主機(jī)IPS策略的一部分。

2、網(wǎng)絡(luò)監(jiān)視：建立策略，使其可以監(jiān)視任何企圖訪問網(wǎng)絡(luò)的應(yīng)用程序。未授權(quán)的連接有助于檢測(cè)那些惡意軟件進(jìn)程。

3、Rootkit保護(hù)：使用Windows所加載的驅(qū)動(dòng)程序的預(yù)定義白名單，你可以檢測(cè)貌似合法的惡意軟件，可以挫敗其盜用驅(qū)動(dòng)程序的硬件廠商或軟件廠商授權(quán)證書進(jìn)而實(shí)施罪惡行徑的企圖。

4、防止DLL（動(dòng)態(tài)鏈接庫）注入：惡意軟件最喜歡的一種用來阻止反病毒產(chǎn)品將自己清除出去的技術(shù)，即將其自身注入到一個(gè)正在運(yùn)行的動(dòng)態(tài)鏈接庫中。反病毒產(chǎn)品無法將已經(jīng)加載的動(dòng)態(tài)鏈接庫清除或隔離。一般情況下，惡意軟件會(huì)將其自身加載到winlogon.exe或explorer.exe等系統(tǒng)進(jìn)程中。

5、使用入侵防御或行為保護(hù)的學(xué)習(xí)模式或測(cè)試模式應(yīng)當(dāng)成為一種強(qiáng)制要求。這樣做可以防止一些似是而非的現(xiàn)象，而且有助于改善部署軟件時(shí)的信任水平，特別是在涉及到更新或安裝新的應(yīng)用程序時(shí)，因?yàn)檫@通常是會(huì)導(dǎo)致假象的行動(dòng)。

對(duì)緩沖區(qū)溢出的保護(hù)如今成為強(qiáng)制性要求。一個(gè)很好的例子是前些日子針對(duì)微軟Windows和Adobe Acrobat的漏洞。須知，收到修復(fù)的時(shí)間可能要達(dá)一個(gè)月之久，而互聯(lián)網(wǎng)上對(duì)漏洞的利用在幾小時(shí)之內(nèi)就可實(shí)現(xiàn)。#p#

對(duì)應(yīng)用程序控制的制勝之道

網(wǎng)絡(luò)罪犯會(huì)利用用戶的操作系統(tǒng)。因?yàn)椴僮飨到y(tǒng)經(jīng)常發(fā)生改變，其目的是為了支持合法的應(yīng)用程序。因而，管理員必須保障Windows注冊(cè)表的安全，只有這樣才能防止惡意軟件的自動(dòng)加載。例如，惡意軟件可注入到系統(tǒng)的DLL、Windows服務(wù)、驅(qū)動(dòng)程序中。

應(yīng)當(dāng)防止應(yīng)用程序?qū)⒖蓤?zhí)行文件或腳本復(fù)制到網(wǎng)絡(luò)共享中。這會(huì)防止蠕蟲在公司網(wǎng)絡(luò)內(nèi)的傳播。

應(yīng)當(dāng)禁用敏感的應(yīng)用程序（如財(cái)務(wù)軟件）中“打印屏幕（Prt Scr）”以及“復(fù)制/粘貼”功能。

應(yīng)當(dāng)強(qiáng)化規(guī)則，僅準(zhǔn)許特定的應(yīng)用程序在遠(yuǎn)程服務(wù)器上存儲(chǔ)文件。

安全水平不僅以當(dāng)前登錄的用戶為基礎(chǔ)，而且還依賴于用戶的連接位置和連接環(huán)境。如果是筆記本電腦，根據(jù)其位置就應(yīng)當(dāng)存在著三種不同的策略水平：公司網(wǎng)絡(luò)內(nèi)部、公司網(wǎng)絡(luò)外部、通過VPN連接到互聯(lián)網(wǎng)?？梢宰柚蛊渌倪B接類型，如試圖通過不安全的Wi-Fi網(wǎng)絡(luò)連接至互聯(lián)網(wǎng)的企圖。

為決定設(shè)備的位置，你需要一種能夠檢測(cè)被激活的網(wǎng)絡(luò)接口所在位置的解決方案，還要能夠收集該設(shè)備的IP信息（IP地址、DNS等），能夠使用本地和網(wǎng)絡(luò)的活動(dòng)目錄信息，以決定設(shè)備的類型、角色、組等。僅使用一臺(tái)服務(wù)器來測(cè)試設(shè)備的位置是很危險(xiǎn)的，因?yàn)槿绻?wù)器離線了，就再也無法得到合法的位置，并且所有的工作站無法連接到公司網(wǎng)絡(luò)，因而就會(huì)按照一種錯(cuò)誤的策略來運(yùn)行。

下面的這個(gè)例子中所展示的位置設(shè)置適用于多數(shù)公司：

1、內(nèi)部定位：由于僅激活了局域網(wǎng)接口，所以可檢查工作站是否用LDAP進(jìn)行認(rèn)證。

2、VPN定位：激活了VPN接口，并且擁有VPN子網(wǎng)的正確IP地址。

3、外部定位：既非內(nèi)部又非VPN。

在確認(rèn)了這三個(gè)位置之后，就可以應(yīng)用下面的策略：

1、內(nèi)部策略：僅準(zhǔn)許白名單列表中的網(wǎng)絡(luò)接口。這會(huì)防止非法或不安全的橋接通過網(wǎng)絡(luò)接口。

2、VPN策略：將網(wǎng)絡(luò)進(jìn)入或轉(zhuǎn)出的連接限制到最小值。這有助于增強(qiáng)安全性，更有助于節(jié)省VPN的帶寬。

3、外部策略：應(yīng)當(dāng)將網(wǎng)絡(luò)連接限制到有限的時(shí)間，并且僅能用于建立VPN連接。首先要測(cè)試用戶通過熱點(diǎn)進(jìn)行連接的情況。然后，給用戶一個(gè)“機(jī)會(huì)窗口”（也就是一小段時(shí)間，如三分鐘），此時(shí)，用戶可以打開一個(gè)web連接來進(jìn)行驗(yàn)證并進(jìn)入熱點(diǎn)入口（如賓館的熱點(diǎn)入口）。一旦通過認(rèn)證進(jìn)入了熱點(diǎn)入口，就可以建立VPN連接。

網(wǎng)絡(luò)訪問控制的制勝之道

為部署基本的NAC功能，802.1X可成為防止未授權(quán)工作站與公司網(wǎng)絡(luò)建立連接的核心層。對(duì)于一個(gè)基于Windows的環(huán)境而言，實(shí)現(xiàn)這一點(diǎn)的最簡(jiǎn)單的方法是通過活動(dòng)目錄。

在部署了802.1x之后，下一步就是實(shí)施一個(gè)基于網(wǎng)絡(luò)的NAC方案，如微軟的NAP等。這一步驟會(huì)提供必要的機(jī)制，用于根據(jù)工作站的狀態(tài)（是否感染惡意軟件、客戶機(jī)的系統(tǒng)等）來與VLAN建立連接。

最后，與你的NAC方案兼容的端點(diǎn)保護(hù)技術(shù)可以提升NAC的功能,因?yàn)槎它c(diǎn)代理除了有助于隔離、修復(fù)、控制工作站之外，還可提供工作站的深層次的健康狀態(tài)。

為確保基于NAC的安全策略的良好水平，筆者給出下面的一些控制手段：

1、檢查工作站是否有操作系統(tǒng)及應(yīng)用程序的所有補(bǔ)丁。

2、檢查反病毒工具的狀態(tài)和簽名是否最新，并確保用最新的簽名對(duì)系統(tǒng)執(zhí)行掃描。

3、檢查所安裝的和正在運(yùn)行的軟件部署、管理，或檢查其是否缺乏配置或配置錯(cuò)誤。

如果一臺(tái)工作站無法通過上述的任何一個(gè)或所有的檢查，就應(yīng)當(dāng)對(duì)其進(jìn)行隔離，并限制它，使其僅能做如下操作：

◆接收一個(gè)通過郵件通知，此通知會(huì)向用戶和管理員解釋工作站的狀態(tài)。

◆如果802.1x可用，應(yīng)當(dāng)將工作站置于專用于隔離的虛擬局域網(wǎng)中。

◆僅能讀取USB設(shè)備或其它的移動(dòng)設(shè)備（例如，可通過無線網(wǎng)絡(luò)實(shí)施訪問的設(shè)備）。

◆對(duì)網(wǎng)絡(luò)連接進(jìn)行限制，只能將其用于修復(fù)活動(dòng)、更新、告知用戶等。

◆電子郵件及瀏覽器應(yīng)用程序應(yīng)當(dāng)拒絕訪問被下載的、打開的或上傳的任何文件，其目的是為了防止蠕蟲擴(kuò)散，但要準(zhǔn)許雇員使用郵件工作。

◆端點(diǎn)保護(hù)產(chǎn)品應(yīng)當(dāng)提供自動(dòng)修復(fù)，修復(fù)工作站，而無需任何管理員的干預(yù)，要能夠在完成修復(fù)后自動(dòng)地將工作站從隔離性VLAN轉(zhuǎn)移到生產(chǎn)性VLAN。

◆在選擇端點(diǎn)保護(hù)方案時(shí)，NAC的健康檢查應(yīng)當(dāng)快速高效，最好能在一分鐘內(nèi)完成。此外，在加載系統(tǒng)之后，應(yīng)當(dāng)立即加載端點(diǎn)保護(hù)的NAC功能。最后，即使端點(diǎn)并沒有連接到公司網(wǎng)絡(luò)或VLAN，端點(diǎn)保護(hù)產(chǎn)品也應(yīng)當(dāng)為端點(diǎn)提供相同的NAC水平的保護(hù)。

【編輯推薦】

1. 六招打造牢固終端安全
2. NAC與端點(diǎn)安全框架 向左轉(zhuǎn)還是向右轉(zhuǎn)
3. Check Point推出Endpoint Security R72樹立端點(diǎn)安全新標(biāo)準(zhǔn)
4. 整合式安全軟件成為企業(yè)端點(diǎn)安全防護(hù)的首選