談到Windows平臺下的惡意軟件防護，方法聽起來總是很簡單：在電腦上裝一個殺毒軟件，然后就丟在一邊不管了。每個人都是這么做的，對嗎?好吧，事實上，它遠不止這么簡單，尤其是當涉及到保護運行在Windows服務器上的重要存儲時。

研究表明，這些服務器是黑客犯罪的主要目標。根據Verizon發布的2012年數據破壞調查報告，惡意軟件被列為影響服務器保密，數據防盜，完整性，真實性，可用性和功能性的最大威脅。Verizon還發現，包括服務器在內，有94%的數據受到了不同程度的威脅，這其中大部分的破壞其實都是可以避免的。

沒有驚喜

微軟2012年度安全報告也顯示，Windows Server 2008 SP1系統的平均感染率和Windows 7 SP1基本相當。為了展示這個問題的嚴重性，Trustwave在它的2013全球安全報告中記錄，對于Windows Server來說，從發現一個惡意軟件那天開始，到正式發布補丁，微軟平均需要話費375天的時間。你可以忍受讓你的服務器如此長時間的暴露在這個風險之下嗎?

受到Mandiant APT1報告中類似內容的啟發，我在多個項目執行過程中，發現了成百上千的Windows服務器受到了惡意軟件的攻擊。底線是：Windows服務器被當作目標時，那些傳統的防病毒軟件根本沒有辦法幫助系統避開攻擊。

當Windows受到惡意軟件攻擊的時候，服務器面臨的問題仍然是尤其嚴重而特殊的一類：

1. 哪怕是在BYOD(攜帶個人的設備辦公)的世界，服務器仍然存儲這最重要的信息。它存儲各種非結構化的文件和結構化的數據庫，服務器仍然是“埋藏寶藏”的地方，也是罪犯最想入侵的地方。

2. 很多服務器通常是沒有防御的。盡管我們為很多服務器安裝了一些工具如Microsoft Security Compliance Manger，但是默認的服務器安裝根本毫無價值可言。內部IT員工，甚至IT審計者常常忽視安全標準。越來越多的，第三方公司(比如服務器托管商、云服務提供商和獨立軟件供應商)僅部署那些對攻擊毫無防護力的Windows服務器。

3. 沒有打補丁的服務器是最容易受感染的，很容易被惡意軟件及類似的濫用所影響。脆弱的堡壘總是最容易被攻破。另外，這些服務器還常常安裝過時的軟件，供應商早就停止了支持，不給他們提供補丁安裝。

基于Windows的服務器最好不要裝一堆第三方的軟件。你不會喜歡在服務器上看到和客戶端一樣的Adobe Reader、Flash、ITunes這些軟件，缺少第三方補丁是攻擊問題的一大罪魁禍首。

如果你真想從最新的黑客攻擊技術下保護好自己，你就必須更改從前的方法，包括卸載傳統的殺毒軟件，以下是一些可供參考的選擇：

1. 你可以采用諸如Webroot和Panda這些供應商提供的基于云計算的防惡意軟件技術。好處是，這類控制方式可以更加及時的對新型威脅進行防御，而只需要維護一個更小的足跡，這對服務器來說至關重要。有些甚至宣稱能100%防護第一天產生的新型攻擊。這個承諾可能有些夸張，但是比那些傳統技術只能防御一小部分或者完全沒有首日攻擊防御能力的要強的多。

2. 采用諸如Sourcefire和Palo Alto網路公司提供的下一代基于互聯網提供商安全標簽的高級惡意軟件防護技術，然后配合專業的應用程序，例如Damballa和FireEye這些公司提供的解決方案，是非常有益的一種方式。這些方案雖然價格比較高，但絕對物有所值，特別是對那些需要運營大型負責網絡的大型集團而言。

3. 還有一種叫做應用白名單的技術，例如Bit9和Lumension安全這些公司就提供了基于這種技術的解決方案;通常它也能很有效的控制服務器端的安全。

我已經看到所有這些技術都在發揮作用，并且效果確實不錯。但是每個網絡和服務器的情況都不盡相同。我建議具體情況具體分析，還是要評估之后再決定到底那種技術對你的IT環境是最合適的。有廠商已經在圍繞基于大數據技術展開的嘗試。在許多案例中，當發現問題時，入侵者已經在網絡之中了。這個時候作出適當的反應比完全不反應可能更合適一些。

在針對Windows入侵者時，最重要的是要制定一份行動計劃。沒有任何系統是完全沒有漏洞的--事故總會發生。預防總是很理想化的，但是準備好相應的應對措施，總比打沒有準備的戰要好。