以防間諜軟體產品Spy Sweeper著稱的Webroot,本身也研發防毒軟體,稱為SecureAnywhere(WSA)。我們這次測試的是針對多人環境使用的端點防護版(Endpoint Protection)。

在多臺電腦集中管理的介面上,Webroot會準備一個架設在網際網路上的入口網頁,讓你能在這裡集中檢視所有列管電腦的安全狀態,並且可執行群組或個別電腦的政策設定、報表統計與記錄檔檢視。

安裝檔不到1MB,部署過程簡易

就集中管理架構而言,WSA端點防護版最大的特色,在於IT人員可以直接透過網站自助式服務的線上申請流程,即可開啟由Webroot所維護的網頁主控臺介面,接著操作所有的端點防護工作,而不需要特別找一臺實體電腦或虛擬機器,花費許多時間在安裝、設定管理伺服器的步驟上。

至於將防毒程式部署到個人電腦的過程,也相當簡易,安裝程式只需要單一執行檔,體積很小,只有700KB,而且執行過程不需額外設定或下載其他檔案,因此即使針對一臺臺電腦去手動安裝,也不會花很多時間。

要建立WSA端點防護版的基本環境,過程大致跟申請Dropbox這類雲端服務差不多。如果你動作快一點,不到十分鐘就可以完成所有的設定與啟用程序。

首先,我們從原廠網站下載30天試用版wsasmetrial.exe後,並且在一臺Windows XP SP3的電腦上執行這個安裝檔,選擇中文(繁)的語系後,安裝程式會要求你輸入預計要保護的裝置數量,按下同意並開始的按鈕後,即會開始產生授權金鑰、掃描系統內的檔案、建立網頁主控臺,隨後會出現登入網頁主控臺的按鈕,按下之後會開啟電腦的瀏覽器,並要求你輸入電子郵件信箱,以便啟動主控臺。

接著你可以到先前輸入的電子郵件信箱中,會看到Webroot寄了一封確認信,打開其中的連結,會進入確認註冊的網頁,這時你必須輸入信中的密碼,填寫自己的主控臺登入密碼、個人安全代碼,以及安全問題、答案,還有管理者與公司的基本資料,即可真正完成啟動程序。

在過程中,可以看到Webroot對於登入的安全性要求很高,例如密碼建立時,會要求不能輸入強度太低的密碼,再加上搭配個人安全代碼和安全問答,等於在登入身分管控上有三重防護。

若要將防毒軟體遠端安裝到員工電腦上,Webroot提供的作法也異於一般企業版防毒軟體,並非直接整合遠端部署功能,而是在端點保護的網頁主控臺上,設立一個專供軟體下載與部署之用的主功能分頁,上面列出目前授權使用的產品金鑰(原廠稱為KeyCode或關鍵代碼)、安裝執行檔的下載連結,以及電子郵件範本。而我們測試時,最常用的是第二種方式,個人電腦只要能連至網際網路,就可以取得檔案安裝。

以線上即時查詢檔案信譽為主,搭配行為檢測與沙盒驗證

在偵測威脅的作法上,WSA採用了不同與傳統防毒軟體的特徵碼比對機制,而是預先掃描電腦所有檔案、產生MD5雜湊碼,當電腦出現新檔案時,連至由Webroot管理的智慧網路系統(WIN)查詢,以判斷其為正常或不良檔案。

值得一提的是,WIN這套系統是架構在Amazon EC2的雲端服務上,上面包含三種資料庫,分別儲存已知檔案的雜湊碼、行為模式和其他威脅,並且整合網路安全設備商提供的IP位址與網址資料庫,例如︰Cisco、Juniper、F5、Palo Alto、SourceFire等。

如果WIN認為是未知檔案,WSA會將檔案放到本身的沙盒,以模擬環境的方式執行,並分析檔案開啟後的行為模式、予以歸類,然後再查詢WIN,若結果是不良檔案,即由WSA阻擋。

也因為這種特殊的防護模式,WSA的相容性很高,目前已經支援Windows 8和Windows Server 2012,而且就算裝在原本已經執行其他廠牌防毒軟體的電腦上,也不會產生衝突。但若先安裝WSA,再安裝其他防毒軟體,則會在過程中被警告不相容不過,還是可以繼續安裝下去,隨後使用時也不會出現兩種相衝的狀況。

從WSA的運作架構來看,它很仰賴後端的WIN系統與網際網路連線,若因故無法上網,防護效果會不會大打折扣?

根據Webroot的說法,當電腦進入離線狀態時,個人電腦端的WSA代理程式仍會檢查本機,會依照先前儲存在本機端的規則和特徵碼來監控檔案的執行。若電腦存取到新檔案,這些檔案會歸在不佳或未知的類別下──被歸在不佳類別的檔案,會送至隔離區,而歸在未知類別的檔案,WSA會持續監控記錄它引發的行為和活動,等到之後連線恢復正常,程式會重新連至WIN,而這些未知檔案經查詢後確定為不良時,WSA可以依據先前記錄,恢復原先狀態。但後續若無法恢復連線呢?我們認為這可能是個問題。

值得注意的是,由於WSA的防護運作架構要完全發揮作用,仍需透過網際網路連線,因此對於一些必須徹底與網際網路隔離的電腦,很可能無法提供和連線模式一樣的完整保護。而且一般企業防毒軟體普遍使用的架構,例如在公司內部網路架設管理伺服器、主控臺或中繼更新伺服器的作法,Webroot現在並未提供,因此這些電腦也無法以上述方法去間接連接、查詢Webroot的雲端服務。

若要檢視詳細的事件記錄,管理者可到網頁介面的記錄檔分頁上檢視,可選擇群組、端點、政策、覆寫或登入等事件類型的條件,過濾出相關的資料。在報表功能上,WSA企業版目前提供8種狀態統計報告,但相較其他防毒軟體,Webroot能提供的報表類型算是很少。

而這些在網頁介面上所查詢的報表或事件記錄內容,若要下載、彙整,可按直接匯出CSV檔。

可呼叫代理程式執行多種指令

除了透過政策控管端點防護狀態之外,從網頁主控臺可以要求指定列管電腦,執行需要進行的動作,例如掃描或清除、重新開機或鎖定桌面。

能設定啟發式演算法的偵測模式

在受控電腦用啟發式演算法來分析威脅的模式時,管理者可以針對本機磁碟、USB隨身碟、網路、光碟等存取對象,或處於離線狀態時,設定偵測層級。

網頁主控臺整合YouTube線上教學短片

在管理主控臺中,WSA在許多視窗右上角按鈕中,除了關閉、最大化和線上說明之用,還額外提供了一個位於YouTube網站的教學影片連結(只有英文版內容),輔助IT人員了解如何操作。


產品資訊

●建議售價:Endpoint Protection版每套每年為1,050元(5~24套,含稅) 

●原廠:Webroot 

●網址:www.webroot.com 

●代理商:網雲科技(02)2388-5801 

●用戶端作業系統需求:Windows XP~8/Server 2003~2012 

●管理主控臺支援瀏覽器:IE7/8/9、Firefox 3.6、Chrome 11/12、Safari 5、Opera 11 

●防護功能:防毒、個人防火牆、身分防護

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容