企業終端安全防御的十大最佳實踐(二)
責編:admin |2015-02-09 17:42:276、保持補丁更新
攻擊者最好的朋友是未打補丁的系統。在大多數情況下,所使用的漏洞已經廣為人知, 而受影響的廠商已經發布了補丁程序供系統管理員更新。不幸的是,世界上很大一部分人不會經常更新補丁,而攻擊者對未打補丁的系統攻擊成功率是非常高的。一個連續的補丁管理計劃對保護任何平臺,任何操作系統,不管它是否直接連接到互聯網都是至關重要的。
基本上,任何技術系統保持最新的軟件都是至關重要的, 因為隨著時間的推移廠商找到并修復了漏洞。不要讓漏洞一直存在于你的系統中等待攻擊者利用。
7、使用防病毒掃描程序(實時掃描)
在當今世界,防病毒掃描程序(AV)是必不可少的。它應該被強制部署在桌面上,自動更新,并且應啟動實時保護。盡管在你的電子郵件網關上部署防病毒掃描程序是一個很好的輔助或附加選擇,如果你只在一個潛在位置部署防病毒掃描程序,選擇桌面。為什么?因為無論惡意軟件來自(電子郵件、存儲設備、無線、宏、互聯網,智能手機,平板電腦,P2P或IM)何方,它必須在桌面來發動破壞。通過在桌面上部署防病毒解決方案,你可以確保無論它是如何到達那里,它將會被阻止。電子郵件和防病毒網關的解決方案在大部分時間上是有效的,但如果惡意軟件通過其他方法或意想不到的端口進來,它們將會失敗。
防病毒解決方案應該啟用實時保護,以便它掃描每個文件,因為涉及到系統或檢測計算機內存,所以它可以防止惡意軟件執行。有時,為了性能,用戶會禁用實時功能。拒絕這些請求,但實時掃描即使它會影響些性能,卻是你對抗感染的最好保護。
8、使用桌面防火墻軟件
與防病毒掃描程序同樣重要的是防火墻。防火墻在簡單的端口過濾上已經走過了漫長的道路。今天的設備狀態檢測系統能夠通過直接運行在計算機上的軟件分析發生在三至七層的威脅。防火墻能夠整理單獨的事件為一個威脅描述(如端口掃描)并可以按名稱識別攻擊(如teardrop碎片攻擊)。每一臺電腦都應該通過防火墻軟件保護。
桌面防火墻軟件(也稱為基于主機的防火墻或個人防火墻軟件),可以保護電腦免受內部和外部的威脅,通常對阻止未經授權的軟件應用程序(如木馬)啟動向外通訊流量有著額外的優勢。許多防病毒掃描程序提供防火墻組合包。
9、保證安全的網絡共享權限
最常見的一種方式是攻擊者或蠕蟲通過沒有密碼或弱密碼的網絡共享入侵系統(比如NetBIOS或SMB)。通過網絡遠程訪問文件夾和文件需應用訪問控制列表(DACLs)的最小特權原則和具備復雜的密碼。
默認情況下,允許Windows分配,大多數系統管理員, Everyone用戶組擁有整個操作系統和每個新創建的共享完全控制或讀取權限。這是相反的最小特權原則(也許應該被稱為大多數特權原則)。為了解決這個問題,你最起碼應該,首先將Everyone組的完全控制變更為Authenticated Users組的完全控制。雖然這不是比原來的設置真正意義上的更安全,但它會停止未經授權的用戶,如匿名和來賓用戶在默認情況下獲得資源的完全控制。
許多Windows系統管理員也認為是可接受Everyone組可以完全控制所有的共享文件,因為底層的NTFS權限通常并不是很寬松,所需的有效權限更加嚴格。如果你100%的準確配置NTFS權限確實如此。但是違背了縱深防御原則(洋蔥模型)。更好的策略是將共享和NTFS權限分配給最小的組和用戶列表。這樣一來,如果你不小心設置的NTFS文件權限過于開放,共享權限也可以彌補這一不足。
10、使用加密
大多數計算機系統有很多加密機會。Linux和Unix管理員應該使用SSH代替Telnet或FTP來管理他們的電腦。后者在網絡上以明文工作,而SSH是進行加密的。如果你必須使用FTP,請考慮使用SSL和數字證書加密通信后的FTP服務。為了加密后的FTP正常工作,在客戶端和服務器必須同時支持相同的加密機制。使用Windows IPSec策略需要加密服務器和客戶端之間的通信。
加密文件系統(EFS)是Windows中最激動人心的功能之一。EFS聯機加密和解密保護文件和文件夾。一旦用戶接通時,EFS會自動為用戶恢復代理生成公用/私有密鑰對。如果未經授權的用戶試圖訪問受EFS保護的文件時,它們將被拒絕訪問。打開EFS,右鍵單擊一個文件或文件夾,選擇Properties選項, 單擊屬性部分的高級按鈕,然后選擇加密內容以便保護數據。因為EFS是聯機加密和解密的,它無法阻止授權用戶登錄后的惡意軟件事件。然而,當授權用戶沒有登錄時EFS可以保護文件夾和文件。這在某些情況下可能會阻止惡意攻擊,比如常見的蠕蟲攻擊在一個文件服務器上橫行,破壞所有的數據文件(如VBS.Newlove蠕蟲一樣)。由于EFS可以協助提供額外的保護, 最終用戶幾乎是看不見的,并且性能影響最小,這種強化保護是值得考慮的。
下一篇:偽基站仍難徹底根除