防毒新招，間諜閃邊

賽門鐵克推出最新的企業版防毒軟體Symantec AntiVirus Corporate Edition（SAVCE）10.0，以及整合企業版防毒與用戶端防火牆的網路安全大師Symantec Client Security（SCS）3.0，增強處理間諜程式與廣告程式的功能，與先前的版本相比，能更徹底移除與隔離威脅；某些公司內部管理需用到的監控側錄程式，系統也提供例外處理選項，以避免受防毒軟體的反間諜軟體功能干擾，能夠繼續運作。

隨著微軟推出Windows x64，新的企業版防毒與網路安全大師，已能同時支援Itanium處理器家族及x64處理器。然而新版SAVCE/SCS防毒用戶端程式，卻不再支援Windows 98、Me和NT等早期版本。

強化間諜程式與廣告程式的處理
在SAVCE 9.0/SCS 2.0，產品即具備擁有衍生性威脅偵測能力和威脅追蹤程式，能即時察覺電腦內潛伏的間諜程式和廣告程式。新版強化自動防護，能自動清除Windows的登錄項目（registry entry）、檔案及瀏覽器設定等間諜程式與廣告程式植入所帶來的許多「副作用」。

除了傳統的巨集病毒與非巨集病毒之外，我們發現新版將安全風險獨立，涵蓋追蹤程式、惡作劇程式、間諜程式、遠端存取、廣告程式、撥號程式、駭客工具等8類，而且也可以套用防毒兩階段自動的處理。所謂的兩階段自動處理，是指當防毒軟體發現病毒，通常只能根據隔離、刪除、記錄等預設動作，擇一套用，由於意識到這種風險，先前的版本已提供防毒處理失敗時的第二套備用機制。

企業版防毒不僅要提供用戶端防毒軟體與部署用戶端防毒的伺服器，更需結合中央控管綜觀全局。賽門鐵克提供許多管理工具，你可以再安裝管理用戶端防火牆的主控臺Client Firewall Administrator、管理感染檔案的中央隔離所伺服器，以及更新伺服器LiveUpdate Administrator等。管理者可以透過Symantec System Center（SSC）主控臺連結所有的管理工具，SSC除了既有的檢視威脅清單與清除威脅狀態之外，也支援新版防毒的間諜程式控制設定，在用戶端與伺服器的自動防護選項內，你可以修改企業防毒與間諜程式防護的自動處理政策，套用至所有電腦上。

賽門鐵克的企業防毒產品，一直透過Symantec System Center主控臺當作管理入口，但時至今日仍需分批安裝多種管理工具，也不提供網站主控臺，從外部遠端管理很不方便。

竄改防護強化即時防毒不受干擾
過去的企業版防毒就已經提供「自動啟動程式」的防護機制，一旦自動防護遭到停用，系統會依照設定時間，在1小時內自動啟動。新版防毒又加入防竄改（Tamper Protection）功能，更積極地防止常駐的防毒程式因病毒感染或惡意程式攻擊而受到移除或停用，抵禦非法存取與修改設定，維護安全機制的正常運作。

竄改防護能攔截、記錄其他應用程式是否違規存取賽門鐵克防毒相關的處理程序，還可以同時發出相應的警示通知，你也可以將強制設定竄改防護在即時防毒遭關閉後，還能夠繼續運作。

用戶端防火牆從IDS進化至IPS
SCS比SAVCE多了用戶端防火牆Symantec Client Firewall，目前已發展到8.0，它就像少了防毒和防垃圾郵件的Norton Internet Secuirty。

用戶端防火牆一樣有隱私權控管，能攔截網站、電子郵件的隱私資訊傳輸之外，現在可以額外監控即時傳訊（IM）內的私人資訊傳遞。而統計值的攻擊記錄則針對網頁cookie與私人資訊，記錄攔截網頁廣告採取的動作。暫停Symantec Client Firewall與入侵預防警示，也是新版提供的彈性設計。

用戶須注意Symantec Client Firewall 和入侵預防引擎，目前不支援64 位元平臺，而廣告攔截是指阻擋彈出式網頁視窗，用戶端防火牆僅能針對入侵預防特徵攔截，過濾間諜程式和廣告程式還是由企業版防毒的功能主導。

Symantec Client Firewall新的版本將「入侵偵測」改為「入侵預防」（IPS），增加智慧型攻擊防禦特徵，同時具備能追蹤進出流量的狀態式引擎。

IPS通常會掃描電腦進出的網路封包是否有攻擊特徵，辨識出利用作業系統或程式已知弱點的攻擊。

Symantec Client Firewall的IPS會個別掃描每個封包，尋找典型攻擊特徵，將封包視為資訊流監視，為了躲過特徵比對，駭客會變更入侵行為特徵，新的IPS因應這種趨勢，將檢查與攔截可能的攻擊變體，同時還能辨識涵蓋多個封包的攻擊行為。入侵預防新的狀態式引擎則負責記憶網路流量的型樣，然後將資訊套用至隨後的流量檢測上，如果屬於已知的攻擊行為，IPS會自動捨棄封包。Symantec Client Firewall也會隨時注意電腦外送的所有資訊，確保電腦不會主動攻擊其他電腦，或遭殭屍程式利用。如果系統偵測出電腦正在傳送典型的攻擊資訊，用戶端防火牆會立刻攔截連線並發出警告。文⊙李宗翰