当前的网络环境中,端点不安全会带来整网的威胁。在中小企业中,端点一般包括PC、笔记本电脑、手持设备及其它的特定设备。服务器或网关主管着集中化的安全软件,在必要时,还要验证终端用户登录,并向终端发送更新和补丁等。可以将端点安全看成是一种战略,其安全被分配到终端用户设备,但必须实施集中管理。端点安全系统往往以客户端/服务器模式运行。
选择一种端点安全解决方案:无论选择什么工具,都应当寻求对活动目录的本地支持,并且要能够支持你所拥有的设备类型。只有这样,才能更容易实施安全控制。
第一步是确认用户或工作站。一种简单而基本的方法是在活动目录中定义下面这两个组,一是工作站(笔记本/桌面),二是安全组(IT 管理员/用户/临时用户)。
当然,管理员可以根据需要定义其他的组,用以提供更精细的控制。
之后,需要阐述安全策略。本文中会谈到一些适用于中小企业的终端安全项目的制胜之道。作为用户,需要逐个检查这些方法,并将其整合为一套策略,使其可以协同工作,以便于提供最佳的保护和控制。
勿忘抵制病毒侵袭
1、至少每周执行一次扫描,最好在中午时间进行。至于笔记本电脑,在其每次连接到公司网络时,都应当激发并实施完全扫描。
2、在移动设备插入到系统中时,应当执行完全扫描。
3、每三小时执行一次反病毒签名的更新。
4、需要配置工作站,使其在内部服务器发生硬件或软件问题而导致反病毒服务器发生故障时,能够从反病毒厂商的公共服务器直接下载签名更新。
BYOD可以,控制不可少
1、公司内部必须禁用Wi-Fi。此规则还适用于所有的工作站、笔记本电脑和服务器。
2、为了阻止公司策略无法控制的通信,应当禁用modem、蓝牙及红外线等。
3、必须禁用USB key中的U3特性,因为它可用于虚假的光驱检测,使得恶意软件能够自动在工作站上运行。在浏览端点上的可移动设备时,U3 CD-ROM会被误认为是真实的光驱。
4、在将文件写入可移动设备时,要审计插入的所有设备并捕获所有的活动。这样,你就可以监视信息的提取,并监视USB设备的使用。使用这些信息,就可以根据你的发现设置另外的策略。
5、阻止从可移动设备和CD或DVD访问任何可执行的文件和脚本。这会阻止未知的漏洞被攻击者利用,从而防止恶意软件的运行。
6、对写在大容量可移动存储设备(如CD、DVD和USB备份卷)上的所有数据进行加密。
主机IPS和行为保护
1、键盘记录器保护:多数恶意软件都包括某种形式的键盘记录器引擎,借以恢复口令、信用卡号和其它的个人数据。一定要将键盘记录器的防护作为主机IPS策略的一部分。
2、网络监视:建立策略,使其可以监视任何企图访问网络的应用程序。未授权的连接有助于检测那些恶意软件进程。
3、Rootkit保护:使用Windows所加载的驱动程序的预定义白名单,你可以检测貌似合法的恶意软件,可以挫败其盗用驱动程序的硬件厂商或软件厂商授权证书进而实施罪恶行径的企图。
4、防止DLL(动态链接库)注入:恶意软件最喜欢的一种用来阻止反病毒产品将自己清除出去的技术,即将其自身注入到一个正在运行的动态链接库中。反病毒产品无法将已经加载的动态链接库清除或隔离。一般情况下,恶意软件会将其自身加载到winlogon.exe或explorer.exe等系统进程中。
5、使用入侵防御或行为保护的学习模式或测试模式应当成为一种强制要求。这样做可以防止一些似是而非的现象,而且有助于改善部署软件时的信任水平,特别是在涉及到更新或安装新的应用程序时,因为这通常是会导致假象的行动。
对缓冲区溢出的保护如今成为强制性要求。一个很好的例子是前些日子针对微软Windows和Adobe Acrobat的漏洞。须知,收到修复的时间可能要达一个月之久,而互联网上对漏洞的利用在几小时之内就可实现。
加强对应用程序的控制
网络罪犯会利用用户的操作系统。因为操作系统经常发生改变,其目的是为了支持合法的应用程序。因而,管理员必须保障Windows注册表的安全,只有这样才能防止恶意软件的自动加载。例如,恶意软件可注入到系统的DLL、Windows服务、驱动程序中。
应当防止应用程序将可执行文件或脚本复制到网络共享中。这会防止蠕虫在公司网络内的传播。
应当禁用敏感的应用程序(如财务软件)中“打印屏幕(Prt Scr)”以及“复制/粘贴”功能。
应当强化规则,仅准许特定的应用程序在远程服务器上存储文件。
安全水平不仅以当前登录的用户为基础,而且还依赖于用户的连接位置和连接环境。如果是笔记本电脑,根据其位置就应当存在着三种不同的策略水平:公司网络内部、公司网络外部、通过VPN连接到互联网。可以阻止其它的连接类型,如试图通过不安全的Wi-Fi网络连接至互联网的企图。
为决定设备的位置,你需要一种能够检测被激活的网络接口所在位置的解决方案,还要能够收集该设备的IP信息(IP地址、DNS等),能够使用本地和网络的活动目录信息,以决定设备的类型、角色、组等。仅使用一台服务器来测试设备的位置是很危险的,因为如果服务器离线了,就再也无法得到合法的位置,并且所有的工作站无法连接到公司网络,因而就会按照一种错误的策略来运行。
注意网络访问的控制
为部署基本的NAC功能,802.1X可成为防止未授权工作站与公司网络建立连接的核心层。对于一个基于Windows的环境而言,实现这一点的最简单的方法是通过活动目录。
在部署了802.1x之后,下一步就是实施一个基于网络的NAC方案,如微软的NAP等。这一步骤会提供必要的机制,用于根据工作站的状态(是否感染恶意软件、客户机的系统等)来与VLAN建立连接。
最后,与NAC方案兼容的端点保护技术可以提升NAC的功能,因为端点代理除了有助于隔离、修复、控制工作站之外,还可提供工作站的深层次的健康状态。