主机IPS和行为保护

1、键盘记录器保护：多数恶意软件都包括某种形式的键盘记录器引擎，借以恢复口令、信用卡号和其它的个人数据。一定要将键盘记录器的防护作为主机IPS策略的一部分。

2、网络监视：建立策略，使其可以监视任何企图访问网络的应用程序。未授权的连接有助于检测那些恶意软件进程。

3、Rootkit保护：使用Windows所加载的驱动程序的预定义白名单，你可以检测貌似合法的恶意软件，可以挫败其盗用驱动程序的硬件厂商或软件厂商授权证书进而实施罪恶行径的企图。

4、防止DLL(动态链接库)注入：恶意软件最喜欢的一种用来阻止反病毒产品将自己清除出去的技术，即将其自身注入到一个正在运行的动态链接库中。反病毒产品无法将已经加载的动态链接库清除或隔离。一般情况下，恶意软件会将其自身加载到winlogon.exe或explorer.exe等系统进程中。

5、使用入侵防御或行为保护的学习模式或测试模式应当成为一种强制要求。这样做可以防止一些似是而非的现象，而且有助于改善部署软件时的信任水平，特别是在涉及到更新或安装新的应用程序时，因为这通常是会导致假象的行动。

对缓冲区溢出的保护如今成为强制性要求。一个很好的例子是前些日子针对微软Windows和Adobe Acrobat的漏洞。须知，收到修复的时间可能要达一个月之久，而互联网上对漏洞的利用在几小时之内就可实现。

　　加强对应用程序的控制

网络罪犯会利用用户的操作系统。因为操作系统经常发生改变，其目的是为了支持合法的应用程序。因而，管理员必须保障Windows注册表的安全，只有这样才能防止恶意软件的自动加载。例如，恶意软件可注入到系统的DLL、Windows服务、驱动程序中。

应当防止应用程序将可执行文件或脚本复制到网络共享中。这会防止蠕虫在公司网络内的传播。

应当禁用敏感的应用程序(如财务软件)中“打印屏幕(Prt Scr)”以及“复制/粘贴”功能。

应当强化规则，仅准许特定的应用程序在远程服务器上存储文件。

安全水平不仅以当前登录的用户为基础，而且还依赖于用户的连接位置和连接环境。如果是笔记本电脑，根据其位置就应当存在着三种不同的策略水平：公司网络内部、公司网络外部、通过VPN连接到互联网。可以阻止其它的连接类型，如试图通过不安全的Wi-Fi网络连接至互联网的企图。

为决定设备的位置，你需要一种能够检测被激活的网络接口所在位置的解决方案，还要能够收集该设备的IP信息(IP地址、DNS等)，能够使用本地和网络的活动目录信息，以决定设备的类型、角色、组等。仅使用一台服务器来测试设备的位置是很危险的，因为如果服务器离线了，就再也无法得到合法的位置，并且所有的工作站无法连接到公司网络，因而就会按照一种错误的策略来运行。

　　注意网络访问的控制

为部署基本的NAC功能，802.1X可成为防止未授权工作站与公司网络建立连接的核心层。对于一个基于Windows的环境而言，实现这一点的最简单的方法是通过活动目录。

在部署了802.1x之后，下一步就是实施一个基于网络的NAC方案，如微软的NAP等。这一步骤会提供必要的机制，用于根据工作站的状态(是否感染恶意软件、客户机的系统等)来与VLAN建立连接。

最后，与NAC方案兼容的端点保护技术可以提升NAC的功能,因为端点代理除了有助于隔离、修复、控制工作站之外，还可提供工作站的深层次的健康状态。

(责任编辑：安博涛)