对应用程序控制的制胜之道

　　网络罪犯会利用用户的操作系统。因为操作系统经常发生改变，其目的是为了支持合法的应用程序。因而，管理员必须保障Windows注册表的安全，只有这样才能防止恶意软件的自动加载。例如，恶意软件可注入到系统的DLL、Windows服务、驱动程序中。

　　应当防止应用程序将可执行文件或脚本复制到网络共享中。这会防止蠕虫在公司网络内的传播。

　　应当禁用敏感的应用程序（如财务软件）中“打印屏幕（Prt Scr）”以及“复制/粘贴”功能。

　　应当强化规则，仅准许特定的应用程序在远程服务器上存储文件。

　　安全水平不仅以当前登录的用户为基础，而且还依赖于用户的连接位置和连接环境。如果是笔记本电脑，根据其位置就应当存在着三种不同的策略水平：公司网络内部、公司网络外部、通过VPN连接到互联网。可以阻止其它的连接类型，如试图通过不安全的Wi-Fi网络连接至互联网的企图。

　　为决定设备的位置，你需要一种能够检测被激活的网络接口所在位置的解决方案，还要能够收集该设备的IP信息（IP地址、DNS等），能够使用本地和网络的活动目录信息，以决定设备的类型、角色、组等。仅使用一台服务器来测试设备的位置是很危险的，因为如果服务器离线了，就再也无法得到合法的位置，并且所有的工作站无法连接到公司网络，因而就会按照一种错误的策略来运行。

　　下面的这个例子中所展示的位置设置适用于多数公司：

　　1、内部定位：由于仅激活了局域网接口，所以可检查工作站是否用LDAP进行认证。

　　2、VPN定位：激活了VPN接口，并且拥有VPN子网的正确IP地址。

　　3、外部定位：既非内部又非VPN。

　　在确认了这三个位置之后，就可以应用下面的策略：

　　1、内部策略：仅准许白名单列表中的网络接口。这会防止非法或不安全的桥接通过网络接口。

　　2、VPN策略：将网络进入或转出的连接限制到最小值。这有助于增强安全性，更有助于节省VPN的带宽。

　　3、外部策略：应当将网络连接限制到有限的时间，并且仅能用于建立VPN连接。首先要测试用户通过热点进行连接的情况。然后，给用户一个“机会窗口”（也就是一小段时间，如三分钟），此时，用户可以打开一个web连接来进行验证并进入热点入口（如宾馆的热点入口）。一旦通过认证进入了热点入口，就可以建立VPN连接。

　　网络访问控制的制胜之道

　　为部署基本的NAC功能，802.1X可成为防止未授权工作站与公司网络建立连接的核心层。对于一个基于Windows的环境而言，实现这一点的最简单的方法是通过活动目录。
在部署了802.1x之后，下一步就是实施一个基于网络的NAC方案，如微软的NAP等。这一步骤会提供必要的机制，用于根据工作站的状态（是否感染恶意软件、客户机的系统等）来与VLAN建立连接。

　　最后，与你的NAC方案兼容的端点保护技术可以提升NAC的功能,因为端点代理除了有助于隔离、修复、控制工作站之外，还可提供工作站的深层次的健康状态。

　　为确保基于NAC的安全策略的良好水平，笔者给出下面的一些控制手段：

　　1、检查工作站是否有操作系统及应用程序的所有补丁。

　　2、检查反病毒工具的状态和签名是否最新，并确保用最新的签名对系统执行扫描。

　　3、检查所安装的和正在运行的软件部署、管理，或检查其是否缺乏配置或配置错误。
如果一台工作站无法通过上述的任何一个或所有的检查，就应当对其进行隔离，并限制它，使其仅能做如下操作：

• 接收一个通过邮件通知，此通知会向用户和管理员解释工作站的状态。
• 如果802.1x可用，应当将工作站置于专用于隔离的虚拟局域网中。
• 仅能读取USB设备或其它的移动设备（例如，可通过无线网络实施访问的设备）。
• 对网络连接进行限制，只能将其用于修复活动、更新、告知用户等。
• 电子邮件及浏览器应用程序应当拒绝访问被下载的、打开的或上传的任何文件，其目的是为了防止蠕虫扩散，但要准许雇员使用邮件工作。
• 端点保护产品应当提供自动修复，修复工作站，而无需任何管理员的干预，要能够在完成修复后自动地将工作站从隔离性VLAN转移到生产性VLAN。
• 在选择端点保护方案时，NAC的健康检查应当快速高效，最好能在一分钟内完成。此外，在加载系统之后，应当立即加载端点保护的NAC功能。最后，即使端点并没有连接到公司网络或VLAN，端点保护产品也应当为端点提供相同的NAC水平的保护。

　　确保网络端点安全的五大制胜之道（上）