當(dāng)前的網(wǎng)絡(luò)環(huán)境中，端點不安全會帶來整網(wǎng)的威脅。在中小企業(yè)中，端點一般包括PC、筆記本電腦、手持設(shè)備及其它的特定設(shè)備。服務(wù)器或網(wǎng)關(guān)主管著集中化的安全軟件，在必要時，還要驗證終端用戶登錄，并向終端發(fā)送更新和補丁等?？梢詫⒍它c安全看成是一種戰(zhàn)略，其安全被分配到終端用戶設(shè)備，但必須實施集中管理。端點安全系統(tǒng)往往以客戶端/服務(wù)器模式運行。

[[131636]]

選擇一種端點安全解決方案：無論選擇什么工具，都應(yīng)當(dāng)尋求對活動目錄的本地支持，并且要能夠支持你所擁有的設(shè)備類型。只有這樣，才能更容易實施安全控制。

第一步是確認用戶或工作站。一種簡單而基本的方法是在活動目錄中定義下面這兩個組，一是工作站(筆記本/桌面)，二是安全組(IT 管理員/用戶/臨時用戶)。

當(dāng)然，管理員可以根據(jù)需要定義其他的組，用以提供更精細的控制。

之后，需要闡述安全策略。本文中會談到一些適用于中小企業(yè)的終端安全項目的制勝之道。作為用戶，需要逐個檢查這些方法，并將其整合為一套策略，使其可以協(xié)同工作，以便于提供最佳的保護和控制。

勿忘抵制病毒侵襲

1、至少每周執(zhí)行一次掃描，最好在中午時間進行。至于筆記本電腦，在其每次連接到公司網(wǎng)絡(luò)時，都應(yīng)當(dāng)激發(fā)并實施完全掃描。

2、在移動設(shè)備插入到系統(tǒng)中時，應(yīng)當(dāng)執(zhí)行完全掃描。

3、每三小時執(zhí)行一次反病毒簽名的更新。

4、需要配置工作站，使其在內(nèi)部服務(wù)器發(fā)生硬件或軟件問題而導(dǎo)致反病毒服務(wù)器發(fā)生故障時，能夠從反病毒廠商的公共服務(wù)器直接下載簽名更新。

BYOD可以，控制不可少

1、公司內(nèi)部必須禁用Wi-Fi。此規(guī)則還適用于所有的工作站、筆記本電腦和服務(wù)器。

2、為了阻止公司策略無法控制的通信，應(yīng)當(dāng)禁用modem、藍牙及紅外線等。

3、必須禁用USB key中的U3特性，因為它可用于虛假的光驅(qū)檢測，使得惡意軟件能夠自動在工作站上運行。在瀏覽端點上的可移動設(shè)備時，U3 CD-ROM會被誤認為是真實的光驅(qū)。

4、在將文件寫入可移動設(shè)備時，要審計插入的所有設(shè)備并捕獲所有的活動。這樣，你就可以監(jiān)視信息的提取，并監(jiān)視USB設(shè)備的使用。使用這些信息，就可以根據(jù)你的發(fā)現(xiàn)設(shè)置另外的策略。

5、阻止從可移動設(shè)備和CD或DVD訪問任何可執(zhí)行的文件和腳本。這會阻止未知的漏洞被攻擊者利用，從而防止惡意軟件的運行。

6、對寫在大容量可移動存儲設(shè)備(如CD、DVD和USB備份卷)上的所有數(shù)據(jù)進行加密。

主機IPS和行為保護

1、鍵盤記錄器保護：多數(shù)惡意軟件都包括某種形式的鍵盤記錄器引擎，借以恢復(fù)口令、信用卡號和其它的個人數(shù)據(jù)。一定要將鍵盤記錄器的防護作為主機IPS策略的一部分。

2、網(wǎng)絡(luò)監(jiān)視：建立策略，使其可以監(jiān)視任何企圖訪問網(wǎng)絡(luò)的應(yīng)用程序。未授權(quán)的連接有助于檢測那些惡意軟件進程。

3、Rootkit保護：使用Windows所加載的驅(qū)動程序的預(yù)定義白名單，你可以檢測貌似合法的惡意軟件，可以挫敗其盜用驅(qū)動程序的硬件廠商或軟件廠商授權(quán)證書進而實施罪惡行徑的企圖。

4、防止DLL(動態(tài)鏈接庫)注入：惡意軟件最喜歡的一種用來阻止反病毒產(chǎn)品將自己清除出去的技術(shù)，即將其自身注入到一個正在運行的動態(tài)鏈接庫中。反病毒產(chǎn)品無法將已經(jīng)加載的動態(tài)鏈接庫清除或隔離。一般情況下，惡意軟件會將其自身加載到winlogon.exe或explorer.exe等系統(tǒng)進程中。

5、使用入侵防御或行為保護的學(xué)習(xí)模式或測試模式應(yīng)當(dāng)成為一種強制要求。這樣做可以防止一些似是而非的現(xiàn)象，而且有助于改善部署軟件時的信任水平，特別是在涉及到更新或安裝新的應(yīng)用程序時，因為這通常是會導(dǎo)致假象的行動。

對緩沖區(qū)溢出的保護如今成為強制性要求。一個很好的例子是前些日子針對微軟Windows和Adobe Acrobat的漏洞。須知，收到修復(fù)的時間可能要達一個月之久，而互聯(lián)網(wǎng)上對漏洞的利用在幾小時之內(nèi)就可實現(xiàn)。

加強對應(yīng)用程序的控制

網(wǎng)絡(luò)罪犯會利用用戶的操作系統(tǒng)。因為操作系統(tǒng)經(jīng)常發(fā)生改變，其目的是為了支持合法的應(yīng)用程序。因而，管理員必須保障Windows注冊表的安全，只有這樣才能防止惡意軟件的自動加載。例如，惡意軟件可注入到系統(tǒng)的DLL、Windows服務(wù)、驅(qū)動程序中。

應(yīng)當(dāng)防止應(yīng)用程序?qū)⒖蓤?zhí)行文件或腳本復(fù)制到網(wǎng)絡(luò)共享中。這會防止蠕蟲在公司網(wǎng)絡(luò)內(nèi)的傳播。

應(yīng)當(dāng)禁用敏感的應(yīng)用程序(如財務(wù)軟件)中“打印屏幕(Prt Scr)”以及“復(fù)制/粘貼”功能。

應(yīng)當(dāng)強化規(guī)則，僅準許特定的應(yīng)用程序在遠程服務(wù)器上存儲文件。

安全水平不僅以當(dāng)前登錄的用戶為基礎(chǔ)，而且還依賴于用戶的連接位置和連接環(huán)境。如果是筆記本電腦，根據(jù)其位置就應(yīng)當(dāng)存在著三種不同的策略水平：公司網(wǎng)絡(luò)內(nèi)部、公司網(wǎng)絡(luò)外部、通過VPN連接到互聯(lián)網(wǎng)。可以阻止其它的連接類型，如試圖通過不安全的Wi-Fi網(wǎng)絡(luò)連接至互聯(lián)網(wǎng)的企圖。

為決定設(shè)備的位置，你需要一種能夠檢測被激活的網(wǎng)絡(luò)接口所在位置的解決方案，還要能夠收集該設(shè)備的IP信息(IP地址、DNS等)，能夠使用本地和網(wǎng)絡(luò)的活動目錄信息，以決定設(shè)備的類型、角色、組等。僅使用一臺服務(wù)器來測試設(shè)備的位置是很危險的，因為如果服務(wù)器離線了，就再也無法得到合法的位置，并且所有的工作站無法連接到公司網(wǎng)絡(luò)，因而就會按照一種錯誤的策略來運行。

注意網(wǎng)絡(luò)訪問的控制

為部署基本的NAC功能，802.1X可成為防止未授權(quán)工作站與公司網(wǎng)絡(luò)建立連接的核心層。對于一個基于Windows的環(huán)境而言，實現(xiàn)這一點的最簡單的方法是通過活動目錄。

在部署了802.1x之后，下一步就是實施一個基于網(wǎng)絡(luò)的NAC方案，如微軟的NAP等。這一步驟會提供必要的機制，用于根據(jù)工作站的狀態(tài)(是否感染惡意軟件、客戶機的系統(tǒng)等)來與VLAN建立連接。

最后，與NAC方案兼容的端點保護技術(shù)可以提升NAC的功能,因為端點代理除了有助于隔離、修復(fù)、控制工作站之外，還可提供工作站的深層次的健康狀態(tài)。