怎麼維護企業網路端點安全

　　當前的網路環境中，端點不安全會帶來整網的威脅。在中小企業中，端點一般包括PC、膝上型電腦、手持裝置及其它的特定裝置。伺服器或閘道器主管著集中化的安全軟體，在必要時，還要驗證終端使用者登入，並向終端傳送更新和補丁等。可以將端點安全看成是一種戰略，其安全被分配到終端使用者裝置，但必須實施集中管理。端點安全系統往往以客戶端/伺服器模式執行。

　　選擇一種端點安全解決方案：無論選擇什麼工具，都應當尋求對活動目錄的本地支援，並且要能夠支援你所擁有的裝置型別。只有這樣，才能更容易實施安全控制。

　　第一步是確認使用者或工作站。一種簡單而基本的方法是在活動目錄中定義下面這兩個組，一是工作站筆記本/桌面，二是安全組IT 管理員/使用者/臨時使用者。

　　當然，管理員可以根據需要定義其他的組，用以提供更精細的控制。

　　之後，需要闡述安全策略。本文中會談到一些適用於中小企業的終端安全專案的制勝之道。作為使用者，需要逐個檢查這些方法，並將其整合為一套策略，使其可以協同工作，以便於提供最佳的保護和控制。

　　勿忘抵制病毒侵襲

　　1、至少每週執行一次掃描，最好在中午時間進行。至於膝上型電腦，在其每次連線到公司網路時，都應當激發並實施完全掃描。

　　2、在移動裝置插入到系統中時，應當執行完全掃描。

　　3、每三小時執行一次反病毒簽名的更新。

　　4、需要配置工作站，使其在內部伺服器發生硬體或軟體問題而導致反病毒伺服器發生故障時，能夠從反病毒廠商的公共伺服器直接下載簽名更新。

　　BYOD可以，控制不可少

　　1、公司內部必須禁用Wi-Fi。此規則還適用於所有的工作站、膝上型電腦和伺服器。

　　2、為了阻止公司策略無法控制的通訊，應當禁用modem、藍芽及紅外線等。

　　3、必須禁用USB key中的U3特性，因為它可用於虛假的光碟機檢測，使得惡意軟體能夠自動在工作站上執行。在瀏覽端點上的可移動裝置時，U3 CD-ROM會被誤認為是真實的光碟機。

　　4、在將檔案寫入可移動裝置時，要審計插入的所有裝置並捕獲所有的活動。這樣，你就可以監視資訊的提取，並監視USB裝置的使用。使用這些資訊，就可以根據你的發現設定另外的策略。

　　5、阻止從可移動裝置和CD或DVD訪問任何可執行的檔案和指令碼。這會阻止未知的漏洞被攻擊者利用，從而防止惡意軟體的執行。

　　6、對寫在大容量可移動儲存裝置如CD、DVD和USB備份捲上的所有資料進行加密。

　　主機IPS和行為保護

　　1、鍵盤記錄器保護：多數惡意軟體都包括某種形式的鍵盤記錄器引擎，藉以恢復口令、信用卡號和其它的個人資料。一定要將鍵盤記錄器的防護作為主機IPS策略的一部分。

　　2、網路監視：建立策略，使其可以監視任何企圖訪問網路的應用程式。未授權的連線有助於檢測那些惡意軟體程序。

　　3、Rootkit保護：使用Windows所載入的驅動程式的預定義白名單，你可以檢測貌似合法的惡意軟體，可以挫敗其盜用驅動程式的硬體廠商或軟體廠商授權證書進而實施罪惡行徑的企圖。

　　4、防止DLL動態連結庫注入：惡意軟體最喜歡的一種用來阻止反病毒產品將自己清除出去的技術，即將其自身注入到一個正在執行的動態連結庫中。反病毒產品無法將已經載入的動態連結庫清除或隔離。一般情況下，惡意軟體會將其自身載入到winlogon.exe或explorer.exe等系統程序中。

　　5、使用入侵防禦或行為保護的學習模式或測試模式應當成為一種強制要求。這樣做可以防止一些似是而非的現象，而且有助於改善部署軟體時的信任水平，特別是在涉及到更新或安裝新的應用程式時，因為這通常是會導致假象的行動。

　　對緩衝區溢位的保護如今成為強制性要求。一個很好的例子是前些日子針對微軟Windows和Adobe Acrobat的漏洞。須知，收到修復的時間可能要達一個月之久，而網際網路上對漏洞的利用在幾小時之內就可實現。

　　加強對應用程式的控制

　　網路罪犯會利用使用者的作業系統。因為作業系統經常發生改變，其目的是為了支援合法的應用程式。因而，管理員必須保障Windows登錄檔的安全，只有這樣才能防止惡意軟體的自動載入。例如，惡意軟體可注入到系統的DLL、Windows服務、驅動程式中。

　　應當防止應用程式將可執行檔案或指令碼複製到網路共享中。這會防止蠕蟲在公司網路內的傳播。

　　應當禁用敏感的應用程式如財務軟體中“列印螢幕Prt Scr”以及“複製/貼上”功能。

　　應當強化規則，僅准許特定的應用程式在遠端伺服器上儲存檔案。

　　安全水平不僅以當前登入的使用者為基礎，而且還依賴於使用者的連線位置和連線環境。如果是膝上型電腦，根據其位置就應當存在著三種不同的策略水平：公司網路內部、公司網路外部、通過連線到網際網路。可以阻止其它的連線型別，如試圖通過不安全的Wi-Fi網路連線至網際網路的企圖。

　　為決定裝置的位置，你需要一種能夠檢測被啟用的網路介面所在位置的解決方案，還要能夠收集該裝置的IP資訊IP地址、DNS等，能夠使用本地和網路的活動目錄資訊，以決定裝置的型別、角色、組等。僅使用一臺伺服器來測試裝置的位置是很危險的，因為如果伺服器離線了，就再也無法得到合法的位置，並且所有的工作站無法連線到公司網路，因而就會按照一種錯誤的策略來執行。

　　注意網路訪問的控制

　　為部署基本的NAC功能，802.1X可成為防止未授權工作站與公司網路建立連線的核心層。對於一個基於Windows的環境而言，實現這一點的最簡單的方法是通過活動目錄。

　　在部署了802.1x之後，下一步就是實施一個基於網路的NAC方案，如微軟的NAP等。這一步驟會提供必要的機制，用於根據工作站的狀態是否感染惡意軟體、客戶機的系統等來與VLAN建立連線。

　　最後，與NAC方案相容的端點保護技術可以提升NAC的功能,因為端點代理除了有助於隔離、修復、控制工作站之外，還可提供工作站的深層次的健康狀態。