保护员工免受路过式下载攻击的六种方法永恒

1.鼓励员工保持软件更新。Peck、Brandt和Schmidt都认为，为了保护员工免受路过式下载攻击，IT部门可以采取的一个最重要的措施就是鼓励用户保持所有软件的更新，特别是杀毒软件、浏览器以及所有插件和附件，包括Java、Flash和AdobeAcrobat。

确保员工使用最新版本的浏览器和扩展是非常重要的，因为很多员工都习惯使用最新版本之前的版本，而大多数路过式下载攻击都是利用较旧浏览器和插件版本中存在的漏洞。AdobeAcrobat是最常用的过时插件，也是恶意攻击者最常利用的漏洞。

安装软件更新经常会对最终用户造成滋扰，因为更新（尤其是windows系统）似乎会随机弹出，打断用户的工作，并常常被用户忽视。IT部门需要提醒最终用户花五分钟来安装这些更新将大大降低通过路过式下载感染病毒而导致生产力下降的几率。

2.安装web过滤软件。Web过滤产品可以阻止用户访问被路过式下载感染的站，这些产品可能有内置机制来检测站是否安全，如果不安全，它们将阻止用户访问。有些产品则是寻找已知漏洞利用和路过式下载攻击的迹象。

3.在你的火狐浏览器上安装NoScript。NoScript是一款免费开源附件，允许你只能访问运行JavaScript、Java和Flash的受信任站。Brandt表示，使用具有NoScript的火狐浏览器能够抵御很多路过式下载。至少我可以告诉大家，这是防止windows计算机通过路过式下载意外感染病毒的唯一的万无一失的方法。

4.禁用Java。Brandt鼓励用户在其PDF阅读器参数中禁用PDF文档内的JavaScript。他还建议IT部门从他们控制的所有系统中卸载Java，至少在CVE-漏洞被解决之前，这个存储在Java归档文件内的恶意Java应用程序允许未签名的小应用程序可以不受限制地访问运行任意Java代码。

5.监视BLADE系统。BLADE代表阻止所有路过式下载漏洞利用（BlockAlldrive-bydownloadExploits），这是一个新兴的windows免疫系统，能够防止路过式下载攻击感染有漏洞的windows计算机。该系统由GeorgiaTech和SRIInternational的研究人员开发而成，BLADEv1.0是免费的研究版本，不久将可供大家下载使用。

6.不要授予用户对计算机的管理员访问权限。当分配计算机给用户使用时，精明的IT部门会为员工分配标准用户账户，而不会授予最终用户对其计算机的本地管理访问权限。

免责声明：本文仅代表作者个人观点 让每个人拥有对其计算机的本地管理访问权限，这曾经是标准做法，Schmidt表示，从安装驱动器的角度来看，这样做让事情更简单，但同时这也意味着任何以软件都能够访问该计算机。

Schmidt补充说，限制用户的访问权限能够减轻恶意软件的破坏程度，如果用户打开浏览器，并且无意下载了恶意软件，那么恶意软件的破坏程度就被限制在了用户层面，它并不能控制整个计算机。