在目前市面上的企業版防毒軟體中,大部分都已經直接整合個人防火牆、主機入侵防護等端點網路安全功能,McAfee的作法卻跟其他廠商大不相同,他們將各種端點安全的功能分成不同產品來處理,需要時再部署,並且搭配單一主控臺ePolicy Orchestrator。例如,防毒的部份,主要是透過VirusScan Enterprise(VSE)針對病毒與惡意程式做到即時防護,並適用於x86個人電腦與伺服器環境,若要同時啟用個人防火牆與主機入侵防護,則要搭配McAfee Desktop Firewall和HIPS。

原廠將這些產品組合成不同包裝,以建議售價所列舉的Active VirusScan套餐為例,它搭配McAfee端點安全產品的集中管理平臺ePolicy Orchestrator,也包含個人端與伺服器端的防毒產品,共通的部份是VirusScan Enterprise,個人端還有VirusScan Command Line for DOS & Unix和SiteAdvisor Enterprise,伺服器端則包含NetShield 4.5 for NetWare。

利用檔案快取來提升掃描速度

上述版本中的任何一套都包含VSE,而今年初發表的最新8.8版中,主要的特色是針對兩種掃描方式──常駐掃描(On-access scanning,OAS)與按指定掃描(On-demand scanning,ODS),降低所耗費的時間及VSE本身啟動的時間,與前一版8.7 SP1相比,我們實測後的確看到有很大的進步。

同樣都是完整掃描,8.8版一開始所耗費的時間大約在40分鐘到1小時,之後幾天再執行相同的掃描作業,就可以降至30分鐘內;而8.7 SP1不論測試次數再多,完成掃描的時間都維持在1小時40分鐘上下。

就兩個版本預設的掃描項目而言,8.7 SP1版只針對Rootkits使用的記憶體、正在執行的處理程序、所有本機的磁碟機,而8.8版雖然耗費的時間短,但實際執行檢查的項目反而更多,增加了登錄和Cookie這兩項,而且速度不降反增。

為什麼掃描時間可以縮短?原廠表示,主要是利用檔案快取(File caching)的方式來改善,簡單地說,就是將系統判定為乾淨的檔案放到快取中,下次掃描時,不需對這些檔案重複執行惡意程式的特徵碼比對。從原廠的文件來看,在8.7版時,這機制是有的,但只要遇到系統重開機,先前掃描過且當時置於快取的檔案會無法保留,因而要重新檢查,而8.8版已經克服這樣的限制,做到持續快取(Persist caching),檔案的快取資料可以持續保持住,同時能讓兩種掃描模式共用。

針對這方面的改進,我們實際在同一臺電腦安裝與測試VSE的8.8版和8.7 SP1版,來比較之間的差異。在完整掃描速度上,8.8版在初期執行時,要完成該項作業最長需1個小時左右,到後來執行時,只需一半時間;反觀8.7 SP1,不論掃描次數多寡或重開機與否,都要花上1.5小時左右才能掃完。可見新版所用的檔案快取機制,的確發揮了作用。

內建企業版防間諜軟體的功能模組

過去Anti-Spyware Enterprise這套防間諜軟體的產品,原本是要付費才能選購的獨立模組,使用上也要額外安裝,但到了8.8版的VSE,已經直接內含,而且使用者可定義的無用程式(unwanted programs)的偵測項目數量,可擴充到200個。

當VSE 8.8安裝後,預設是自動掃描系統內存取的檔案、應用程式及Outlook電子郵件,是否包含無用程式,McAfee所謂的無用程式,包括:間諜軟體、廣告軟體、遠端管理工具、撥號程式、密碼破解程式、惡作劇程式、Key Logger等類型的管制項目都是勾選啟用的。相較之下,8.7 SP1版的無用程式的偵測預設是不啟動的。

針對信任網址的Script檔執行,可排除掃描

在VSE常駐掃描的設定中,根據套用的處理程序範圍,分為多種方式。可涵蓋整個系統的是一般設定,管理者或使用者可以自行調整掃描對象(例如開機磁區、受信任的安裝程式等、Cookie檔)。在指令碼掃描的功能中,我們可以加入要排除掃描的處理程序關鍵字,8.8特別在這裡擴增了URL網址排除的設定對話框,讓系統不需持續掃描受信任網站的Script所包含的網址。先前要達到這樣的需求,只能手動編輯系統登錄檔才有辦法。

若要針對不同風險等級的處理程序加以設定,可以進一步到VSE去定義,在低風險與高風險等兩種規則中,系統已提供預設偵測的程式項目、掃描範圍、排除掃描的儲存位置,以及套用的動作,同時,使用者還可以手動加入其他的程式。

整合GTI雲端信譽服務

常駐掃描裡面,在VSE的前幾版也已經正式整合雲端名譽服務的機制,稱為Artemis(2008年發行的8.5版開始加入)。該功能現在已改名為Global Threat Intelligence(GTI),但在VSE介面設定上,仍叫做Artemis。

當系統偵測到電腦中出現新的檔案、DLL時,會針對這些尚待確認可信度的檔案製作成40 Bytes大小的資訊,裡面包含所依據的McAfee惡意程式定義檔版本、該檔案的MD5雜湊值、檔案結構的內部特徵,以及OS儲存檔案方式等執行環境的資訊,傳送到McAfee所管理的GTI資料庫伺服器,以便即時查詢、比對(就像連至網站時,電腦會查詢該站的DNS),這算是一種啟發式的檔案可信度檢查方式。

GTI目前提供的信譽服務,也針對很多種對象,例如檔案、網站、網站分類、郵件、網路連線。VSE所搭配的Artemis,主要是檔案信譽服務,而網站信譽服務和網路信譽服務,分別由McAfee的另外兩套產品Siteadvisor和HIPS所使用。

 

可掃描系統登錄檔

VSE這一版增加對系統登錄檔的檢查,完整掃描的項目預設已包含在內。在按指定掃描中,使用者可以任意搭配所需掃描的對象(系統提供17項),建立各種掃描模式很方便。

 

整合Outlook 2010

在前一版的VSE,尚未充分支援Outlook 2010,到了8.8版,這部份功能已經提供,看得到專屬工具列與按鈕,可直接設定與掃描指定的郵件項目。

 


產品資訊
建議售價●Active VirusScan每年每套為1,930元(5套~25套) 原廠●McAfee 電話●(02)2721-7766 網址●www.mcafee.com 處理器需求●Pentium 記憶體需求●512 MB
硬碟需求●450MB 作業系統需求●Windows 2000 ~Windows 7、Windows 2000 Server ~2008 電子郵件軟體●Outlook 2003~2010、Notes 7.0~8.5.1

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容