在小型企业环境中保护互联网和电子邮件

让人惊讶。

好吧，其中一些是多余的，但是这里是我可以推荐的最好的。

将用户访问权限限制在用户帐户上。 尽可能使用最低的权限。 这有助于限制应用程序的安装。

只使用您在IT部门批准的软件。 没有可爱的小猫屏保，从家里没有东西，没有酷游戏，没有什么是你不知道的。 安装审计软件，可以检查您的客户端系统安装的软件。

阻止超过特定大小的传入附件。 节省磁盘空间，节省带宽，保存邮箱免受损坏。

阻止可执行的传入附件。 这是一个很大的。 .exe，.com，.bat等

看看您是否可以使用适当的反垃圾邮件检查来过滤邮件。 SPF检查。 您可以根据需要configuration黑洞列表。 邮件服务器上保持最新状态的防病毒软件。 我不知道你正在使用什么邮件服务器，所以我不能在那里帮忙，但是在Linux / UNIX系统上，ClamAV在服务器上非常出色，因为它是一个可以与一系列MTA一起工作的插件，它不仅捕获病毒/恶意软件，但networking钓鱼尝试，并更新，如果他们的团队有强迫症。

在客户端上安装防病毒软件，保持最新，听起来像你已经做到了。 确保他们保持最新，但。 我们有软件，有时只是“停止”更新。

你集中存储？ 保持AV是最新的，让它通知你的感染。 让您保持从文件服务器的潜在问题顶部。 你越集中你的信息，你就越容易pipe理它（并支持它）。 您的用户是您的用户，因为他们希望您处理技术细节。 他们不想关心病毒之类的东西，所以期望他们做很多涉及“技术性的东西”会导致更多的感染和问题。

在我们的设置中有一件事是因为我们有很大一部分系统保持其configuration非常稳定（我们在networking服务器上使用用户configuration文件）是一个名为Deep Freeze的产品; 您将系统configuration为您想要的状态，然后将其“冻结”，系统的任何更改都会在重新启动时被清除。 删除Windows目录，重新启动，恢复像没有发生。 非常通俗的做有时。 但这意味着必须安排更新（由于需要解冻），而且由于更新问题，我们不运行防病毒程序（另外，您不希望在每次重新启动时都更新，并说“我已经退出date！“是的，系统可能会被感染，但是重新启动会清除它，我们曾经通过重新启动我们的build筑物来清除感染，为”星际迷航“情节工作出人意料的好。

你有最新的服务器备份从恶意软件恢复吗？

您是否阻止用户不需要的防火墙上的传出端口？ 尤其是你的邮件服务器端口 只有你的邮件服务器应该被允许传出端口25.有些恶意软件会从工作站发送25端口上的消息，并会让你进入黑名单。

设置您的邮件服务器的其他垃圾邮件停止方法，如tarpitting，并通过外部检查器validation，它不会中继邮件。

安装恶意软件检查器。 不要在防病毒上翻倍。 AV的倾向不会彼此打好。 通过恶意软件检查，我的意思是像MalwareBytes和Spybotsearch和销毁。 定期运行它们。 经常更新它们。

保持你所有的软件是最新的。 Adobe软件，Java，Windows更新…考虑在本地安装WSUS服务器，如果客户端数量保证的话。

如果系统是标准的，则创build系统的映像。 如果您可以推出一个干净的系统映像，使恢复更容易一些。 尽可能标准化您的硬件。

监视您的networkingstream量。 在边界路由器上使用SNMP，检查exception活动，熟悉“正常”的networking使用模式。 如果奇怪的东西出现，你可以主动调查。 如果你正在玩虚拟机，build立一个蜜jar系统可以检查exception活动并且在出现问题时给你发邮件并不难; 查看入侵检测系统获取信息。

根据环境的不同，您可以使用策略来执行白名单可执行文件，以便只有特定的exe文件可以在客户端计算机上运行，​​但是这可能会很快加剧用户的反感。 小心使用那个。

有很多文件反垃圾邮件您的邮件服务器，其中一些具体实现，所以你必须为您的特定的MTA谷歌。 也有testing人员远程testing您的configuration。 使用它们。 有像垃圾邮件过滤设备等，以及如何帮助减less你的学习曲线…再次，取决于你的情况，如何做到这一点。 有一次，我们有一个代理邮件系统，所以第一个系统得到了电子邮件，处理它的垃圾邮件评分/封锁的可执行附件/等。 然后转发到我们的邮件服务器，所以你可以链接到多个扫描方法的传入邮件。 logging你所做的所有事情，或者当你试图解决问题时，你可以在图表上有一个意大利面的依赖关系。

虽然他们经常忽视它，但继续terminal用户教育。 制作或获得海报。 电子邮件提醒（不是样板或他们会忽略它们，就像停止标志，你总是看到他们，他们最终混合在一起，诚实的官员，我不知道你在说什么…与IT同样的事情通知，你需要调整它们并修改它们，以便诱使用户从你的笔记中学习关于新病毒和恶意软件的东西）。

哦，并在公司的政策工作。 必要时禁止个人存储和个人设备，或在部门批准。 概述什么是可接受的使用。 恶意软件可以在USB驱动器和磁盘上传播。

（编辑）你可以看看放在一个代理服务器的网页浏览器的stream量。 取决于你想要得到多less细节，你可以像Squid +插件一样简单，或者购买一个设备来为你处理stream量。 电器当然更加交钥匙，并拥有漂亮的pipe理员界面，报告等，而Squid是免费的，并用学习曲线给你一个沉重的打击。 但是那里有代理与整洁的function，如阻止特定的文件types，当然阻止访问网站，或者至less你可以用它来审计访问网站。 有时，阻止不是一种审查手段，而是一种保护用户不受自身伤害的方式。 如果您find正确configuration的方法或者具有正确function的设备，您可以阻止各种不良stream量，并且可以跟踪公司资源的使用情况。

确保所有这些都在您的政策中。 您有权监控公司资产的使用情况，但您的用户有权了解您如何监控这些资产。 而且你要小心一点，“在我太苛刻的事情之前还有多远”。 贵公司的道德界限取决于贵公司。

另外请注意，当searchnetworking代理的东西可能有问题与httpsstream量。 在我们的Squid过滤中，我们遇到了问题。 没有一个简单的方法来阻止encryption的网站，因为这是它的重点。 有办法做到这一点，虽然。 家电可能更适合这项任务。

我相信，通过使用OpenDNS服务器作为您的DNS上游提供商，您也可以获得一些保护措施。 我没有这样做，所以你可能不得不考虑它，但我认为他们提供了一些服务，如阻止查找恶意软件域等。 如果他们确实提供这种服务，那么可以通过一个好的保护措施来增加您的设置，这可能是微不足道的。

除了别人所说的之外，我们还做了一些事情。

让你的防火墙阻止.exe，.msi，.vbs，.bat等。你可以很容易地谷歌的可执行文件types的完整列表。 在日常的基础上，对于最终用户来说，下载和安装程序是不合法的。

另外，不要允许用户pipe理级访问。 只给他们用户级访问权限。

Astaro防火墙是否具有基于订阅的IPS和网页过滤？ 如果是这样，你应该订阅。

创build一个计划，以确保Windows始终是最新的，以及Java，Flash和Acrobat Reader。

从最终用户计算机上删除任何P2P，文件共享程序等。 事实上，删除任何非业务相关的软件。

我假设你有像ClamAV安装在你的邮件服务器（这将是一个Linux邮件服务器）。 这将是在感染邮件到达用户之前捕获被感染邮件的第一个入口。

发现的是它在获得用户之前获得的所有信息，解决这个问题，并且解决了问题。

根据我的经验（我知道你已经说过你已经试过这个了），最好的防御就是对最终用户的教育，特别是在零日的时候。 零天固然很难防范，你可以拥有世界上所有的扫描仪，但如果他们不认识到利用这些恶意代码，那么他们不会对你有很大的帮助。 如果你知道你在做什么，改变这些漏洞利用代码是相对容易的。 你的用户的教育是你真正需要开车回家的东西。 我认为可以肯定地说，无论您采取什么措施来缓解这些威胁，您都会收到一些电子邮件。

您可以尝试在沙盒虚拟机环境中运行电子邮件客户端，但设置起来可能代价高昂且耗时，并且存在大量的文档化漏洞，允许恶意内容摆脱沙箱环境并访问主机。

我build议看看垃圾邮件发送者是如何获得员工的电子邮件地址的。 你的网站上有电子邮件地址吗？ 如果是这样，请把它们放下，尽量减less收到的电子邮件的数量。 当他们到达时，考虑设置蜜jartesting以及电子邮件（我们已经在Vamsoft ORF的蜜jartesting中取得了巨大的成功）。 看一下你的filter的过滤规则，以确保你充分利用你的软件。

通过教育用户，持续审核我们的过滤策略并遵循“最低特权规则”，我们在减less恶意电子邮件危害方面取得了巨大的成功。

如果你不熟悉这8条安全规则，我build议检查一下。 他们是一些好的食物，他们会真正帮助你保持你的networking安全。

http://silverstr.ufies.org/blog/archives/000468.html

从它的声音你已经做了大部分的事情，主要的问题是用户被电子邮件链接到狡猾的网站。

解决这个问题的最好方法是在邮件服务器上使用实时DNS黑名单。 退房http://www.spamhaus.org/ – 使用这将停止绝大多数这些。