Windows恶意攻击防护指南（上）

　　谈到Windows平台下的恶意软件防护，方法听起来总是很简单：在电脑上装一个杀毒软件，然后就丢在一边不管了。每个人都是这么做的，对吗？好吧，事实上，它远不止这么简单，尤其是当涉及到保护运行在Windows服务器上的重要存储时。

　　研究表明，这些服务器是黑客犯罪的主要目标。根据Verizon发布的2012年数据破坏调查报告，恶意软件被列为影响服务器保密，数据防盗，完整性，真实性，可用性和功能性的最大威胁。Verizon还发现，包括服务器在内，有94%的数据受到了不同程度的威胁，这其中大部分的破坏其实都是可以避免的。

　　没有惊喜

　　微软2012年度安全报告也显示，Windows Server 2008 SP1系统的平均感染率和Windows 7 SP1基本相当。为了展示这个问题的严重性，Trustwave在它的2013全球安全报告中记录，对于Windows Server来说，从发现一个恶意软件那天开始，到正式发布补丁，微软平均需要话费375天的时间。你可以忍受让你的服务器如此长时间的暴露在这个风险之下吗？

　　受到Mandiant APT1报告中类似内容的启发，我在多个项目执行过程中，发现了成百上千的Windows服务器受到了恶意软件的攻击。底线是：Windows服务器被当作目标时，那些传统的防病毒软件根本没有办法帮助系统避开攻击。

　　当Windows受到恶意软件攻击的时候，服务器面临的问题仍然是尤其严重而特殊的一类：

　　1. 哪怕是在BYOD（携带个人的设备办公）的世界，服务器仍然存储这最重要的信息。它存储各种非结构化的文件和结构化的数据库，服务器仍然是“埋藏宝藏”的地方，也是罪犯最想入侵的地方。

　　2. 很多服务器通常是没有防御的。尽管我们为很多服务器安装了一些工具如Microsoft Security Compliance Manger，但是默认的服务器安装根本毫无价值可言。内部IT员工，甚至IT审计者常常忽视安全标准。越来越多的，第三方公司（比如服务器托管商、云服务提供商和独立软件供应商）仅部署那些对攻击毫无防护力的Windows服务器。

　　3. 没有打补丁的服务器是最容易受感染的，很容易被恶意软件及类似的滥用所影响。脆弱的堡垒总是最容易被攻破。另外，这些服务器还常常安装过时的软件，供应商早就停止了支持，不给他们提供补丁安装。