企業反間諜軟體－McAfee AntiSpyware Enterprise 8.5sa

McAfee推出獨立的反間諜軟體AntiSpyware Enterprise 8.5sa（stand alone），目的是為了針對使用他牌防毒軟體的用戶，擴充對廣告程式、木馬程式和Cookies等間諜程式監控、主動阻擋與清除功能。這個獨立版本與McAfee的企業版防毒軟體VirusScan Enterprise不相容，假如要啟動反間諜軟體功能，還是得裝外掛模組Anti-Spyware Enterprise Module 8.0。

四級防護，亦保護反間諜主程式
AntiSpyware Enterprise 8.5sa和VirusScan Enterprise 8.0i的主控臺操作介面幾乎完全相同，同樣具有即時存取防護與常駐程式掃描，大致上差別只在於少了緩衝區溢位防護和郵件掃毒，不過細部設定就有顯著不同。例如存取保護提供標準、最大、一般標準和一般最大等四組防護。標準保護在防止修改部份設定和檔案之餘，可繼續安裝軟體，而最大保護鎖定最重要的系統設定和檔案，有可能影響軟體安裝。

由於間諜程式逐漸具備停用反間諜軟體的能力，因此AntiSpyware Enterprise 8.5sa也提供預防沒有偵錯權限的使用者隨意終止主程式，而產生漏洞。不過這個設定在安裝預設值並沒有自動啟動。

當AntiSpyware Enterprise 8.5sa發現到與間諜程式相關的異常檔案修改，常駐在Windows桌面右下角通知區域的圖示會自動加上紅色外框，並持續顯示30分鐘。這時候使用者可以用滑鼠右鍵從圖示上檢視存取保護日誌檔（AccessProtectionLog.txt），檢視行為阻擋規則所攔截下來的各種異常存取事件。不過系統只是以Windows記事本程式（Notepad.exe）開啟這個純文字檔，而非事件檢視器或專屬的報表視窗介面。假如持續發生異常，記事本並不會因為日誌檔變動而自動重讀檔案。

經過測試，AntiSpyware Enterprise 8.5sa自動發現與阻擋下載與安裝Hotbar和FlashGet這兩種典型的間諜程式。我們這次特別安裝了3721網路實名，系統同樣偵測到行為異常，並且在背景程序中攔阻，常駐圖示也隨之變色，但沒有跳出相關視窗，提示使用者處理；之後從AccessProtectionLog.txt中，我們還是繼續觀察到網路實名偽裝成各種應用程式，例如記事本、IE瀏覽器等，不斷試圖改寫系統登錄檔關於IE「我的最愛」設定，雖然沒有警示，系統仍然受到保護。

啟動企業級控管須仰賴McAfee ePO
如果要遠端控管多部電腦的反間諜軟體設定，就要靠McAfee的企業級中央控管系統ePolicy Orchestrator或McAfee中小企業版防毒套件所整合的管理平臺Protection Pilot。而管理者必須要從AntiSpyware Enterprise 8.5sa的安裝檔中，找出三個產品封裝檔與型錄檔匯入系統的儲存庫，才能讓ePolicy Orchestrator和Protection Pilot偵測到那些已經安裝好AntiSpyware Enterprise 8.5sa的個人端電腦。文⊙李宗翰