网络安全－服务器端病毒防护

2.6.4  服务器端病毒防护 
服务器的病毒防护与客户端防护有许多共同之处，二者都试图保护同一基本个人计算机环境。两者的主要差异在于，服务器防护在可靠性和性能方面的预期级别通常高得多。此外，鉴于许多服务器在组织基础结构中起到的专门作用，通常需要制定专门的防护解决方案。以下内容集中说明了服务器防护和前面讨论的客户端防护之间的主要差异。
1．服务器的病毒防护步骤
服务器间的防病毒配置有很大差异，具体取决于特定服务器的角色及根据设计它所提供的服务。经“强化”服务器的病毒抵御能力，可将受攻击面减到最少。
服务器的四个基本防病毒步骤与客户端的病毒防护步骤相同。
减少受攻击面：从服务器中删除不需要的服务和应用程序，将其受攻击面减到最少。
应用安全更新：如有可能，请确保所有服务器计算机运行的都是最新的安全更新。根据需要执行其他测试，以确保新的更新不会对关键任务服务器产生负面影响。
启用基于主机的防火墙：Windows Server 2003包括一个基于主机的防火墙，您可以使用它减小服务器的受攻击面及删除不需要的服务和应用程序。
使用漏洞扫描程序进行测试：使用Windows Server 2003上的MBSA工具，帮助识别服务器配置中可能存在的漏洞（在微软官方网站上通过此工具对当前系统进行漏洞扫描）。建议使用此漏洞扫描程序和其他专用漏洞扫描程序，帮助确保配置尽可能强大。
除了这些常用的防病毒步骤之外，请考虑将以下服务器专用的软件用做总体服务器病毒防护的一部分。
（1）一般的服务器防病毒软件
为客户端环境（如Windows XP）设计的防病毒应用程序和为服务器环境（如Windows Server 2003）设计的防病毒应用程序之间的主要差异在于：基于服务器的扫描程序和任何基于服务器的服务（如消息服务或数据库服务）之间的集成级别。许多基于服务器的防病毒应用程序还提供了远程管理功能，以最大限度地减少物理访问服务器控制台的需要。
在为服务器环境评估防病毒软件时应该考虑的其他重要问题如下。
扫描期间的CPU使用率：在服务器环境中，CPU使用率是服务器在组织中发挥其主要作用的能力的关键组成部分。
应用程序的可靠性：重要的数据中心服务器上的系统崩溃所产生的影响比单个工作站崩溃大得多，因此，Microsoft 建议全面测试所有基于服务器的防病毒应用程序，以确保系统的可靠性。
管理开销：防病毒应用程序的自我管理能力可以帮助组织中的服务器管理小组减少管理开销。
应用程序的互操作性：测试防病毒应用程序时使用的基于服务器的服务和应用程序应该与产品服务器将运行的相同，以确保不存在互操作性问题。
要查看已经通过认证可以在Windows Server 2003上使用的防病毒应用程序的列表，请单击Windows Server Catalog（Windows Server 目录）的“Business Solutions, Security”（业务解决方案，安全性）网页，其网址为 http://go.microsoft.com/fwlink/?linkid=28510。
（2）角色特定的防病毒配置和软件
现在，有许多可用于企业中的特定服务器的专用防病毒软件，如在网络版防病毒软件中就有专门的服务器端软件，专门用于安装服务器系统。这类服务器专用防病毒软件主要应用于以下特定服务器。
Web 服务器：如Internet 信息服务（IIS）。
消息服务器：如Exchange 2003。
数据库服务器：如运行SQL Server 2000的服务器。
协作服务器：如运行Windows SharePoint Services 和Office SharePoint Portal Server 2003的服务器。
应用程序特定的防病毒解决方案通常提供更佳的保护和性能，因为它们与特定服务集成在一起，而不是试图在文件系统级服务的下面起作用。
2．Web服务器
在一段时间内，所有类型的组织中的Web服务器都曾经是安全攻击的目标。不管攻击来自恶意软件（如CodeRed）还是来自试图破坏组织网站的黑客，充分配置Web服务器上的安全设置以最大限度地防御这些攻击都是很重要的。您可以下载某些免费工具，它们将在IIS上自动进行许多安全配置。例如，可以从微软官方网站上下载IIS Lockdown Tool，网址为：http://www.microsoft.com/technet/security/tools/locktool.mspx。
此工具用于调整Web服务器，以便仅提供其角色所需的那些服务，因此减小了任何恶意软件对服务器的攻击面。
UrlScan是限制IIS要处理的HTTP请求类型的另一种安全工具。通过阻止特定的HTTP请求，UrlScan可以帮助阻止可能有害的请求到达服务器。现在，您可以在运行IIS 4.0或更高版本的服务器上干干净净地安装UrlScan 2.5。
3．消息服务器
在为组织中的电子邮件服务器设计有效的防病毒解决方案时，要牢记两个目标：第一个目标是防止服务器本身受到恶意软件的攻击；第二个目标是阻止任何恶意软件通过电子邮件系统进入组织中用户的邮箱。务必确保在电子邮件服务器上安装的防病毒解决方案能够实现这两个目标。
一般来说，标准文件扫描防病毒解决方案无法阻止电子邮件服务器将恶意软件作为附件传递到客户端。所有电子邮件服务（最简单的除外）都将电子邮件存储于某种类型的数据库中，典型的文件扫描防病毒解决方案无法访问此类数据库的内容。事实上，如果允许文件扫描防病毒解决方案通过驱动器映射（如Exchange Server 5.5和Exchange Server 2000上的M: 驱动器）尝试扫描，则它可能会损坏邮件文件夹。
使防病毒解决方案与正使用的电子邮件解决方案匹配是很重要的。许多防病毒软件供应商现在为特定电子邮件服务器提供其软件的专用版本，这些版本用于扫描经过电子邮件系统的电子邮件以确定是否包含恶意软件。以下两种基本类型的电子邮件防病毒解决方案通常是可用的。
（1）SMTP网关扫描程序
这些基于简单邮件传输协议（SMTP）的电子邮件扫描解决方案通常被称为防病毒“网关”解决方案。这些解决方案的优点是：可以用于所有的SMTP电子邮件服务，而不是仅用于特定电子邮件服务器产品。但是，由于这些解决方案依赖于SMTP电子邮件协议，因此它们在提供某些更高级功能方面受到限制。
（2）集成的服务器扫描程序
这些专用防病毒应用程序直接与特定的电子邮件服务器产品一起工作。这些应用程序确实有许多优点，例如，它们可以与高级服务器功能直接集成在一起，它们被设计为与电子邮件服务器使用相同的硬件。
Microsoft Exchange提供了名为“病毒API”（VAPI）（也称为“防病毒API”（AVAPI）或“病毒扫描API”（VSAPI））的特定防病毒应用程序编程接口（API）。此API由专门的Exchange Server防病毒应用程序使用，以帮助在Exchange电子邮件服务器上以安全而可靠的方式提供完全的消息传递保护。
4．数据库服务器
在考虑数据库服务器的病毒防护时，需要保护以下四个主要元素。
主机：运行数据库的一个或多个服务器。
数据库服务：在主机上运行的为网络提供数据库服务的各种应用程序。
数据存储区：存储在数据库中的数据。
数据通信：网络上数据库主机和其他主机之间使用的连接和协议。
由于数据存储区内的数据不能直接执行，因此通常认为数据存储区本身不需要扫描。目前，没有专为数据存储区编写的主要防病毒应用程序。但是，在进行防病毒配置时，应该仔细考虑数据库服务器的主机、数据库服务和数据通信这些元素。
应该专门针对恶意软件的威胁检查主机的位置和配置。一般说来，建议不要将数据库服务器置于组织基础结构的外围网络中（尤其当服务器存储敏感数据时）。但是，如果必须在外围网络中放置这样的数据库服务器，请确保对它进行配置以将感染恶意软件的风险减到最小。
最近的Slammer蠕虫直接将SQL Server作为攻击目标。此攻击表明无论SQL Server数据库计算机是位于外围网络还是内部网络中，保护它们都是非常重要的。
5．协作服务器
协作服务器本身的特点使它们易受恶意软件的攻击。当用户将文件复制到服务器和从服务器复制文件时，它们可能使网络上的服务器和其他用户受到恶意软件的攻击。建议使用可以扫描复制到协作存储区和从协作存储区复制的所有文件的防病毒应用程序，以保护环境中的协作服务器（如运行SharePoint Services和SharePoint Portal Server 2003的服务器）。