虽然杀毒等工具可以在很大程度上保障系统与服务的安全。但是其也会带来比较大的负面作用。如利用瑞星等扫描的时候,会占用比较多的系统资源,所耗费的时间也比较长。再如杀毒软件的扫描功能也会有误判的时候。对系统文件进行误删导致崩溃的事件也时有发生。Forefront虽然不能够从根本上避免这些缺陷,但是至少在许多方便进行了改善。为了提高Froefront扫锚的安全与工作效率,笔者有如下建议供大家参考。
一、还原点与后悔药
在对操作系统文件进行病毒或者恶意软件扫描的时候,用户最担心的是Forefront进行了错误的判断,{zh1}删除了不该删除的文件。从而导致操作系统瘫痪或者某个软件不能够使用。此时用户后悔也来不及了。类似的案例,在好几个xx的杀毒软件上都出现过。
世界上真的没有后悔药吗?并不见得。至少在Forefront中就提供了一种“后悔药”机制。打开Forefront控制台界面,选择“工具”、“选项”,可以打开如上的界面。在这个界面中大家会欣喜的发现一个比较有用的选项:在对检测到的项应用操作之前创建还原点。
这个选项有什么作用呢?由于用户可以将Forefront设置为自动删除检测到的项。如果选择此选项时系统就会自动删除那些它认为是病毒或者恶意软件的文件,而不会向用户确认。此时为了安全起见,启用这个选项后,用户可以还原系统设置,以防您要使用意外删除的软件。如扫描后发现某个应用软件无法使用。查看扫描日志后发现是误删除了某个文件。此时用户仍然可以通过“还原点”功能恢复刚才删除了的文件,从而给用户一个后悔的机会。
在启用这个选项的时候,需要注意一个效率问题。因为在扫描过程中发现可以的文件会创建“还原点”,相当于对可以文件进行备份。如果可疑的文件比较大或者数量比较多,则整个扫描的过程耗费的时间就会比较长。故用户需要在这个安全性与效率上取得一个均衡。一个比较折中的做法是,对系统盘的扫描选择这个选项,而对其他盘的扫描(主要的时常规文件,而不是系统或者应用程序文件)则不采用这个选项。如此的话,在考虑到系统稳定性的同时,也能够提高软件扫描的效率。
二、风险分析给Forefront来点智慧
众所周知,总是先有病毒或者恶意,工具才会出现与之对应的杀毒措施。为此从某种意义上来说,病毒、恶意软件总是先走一步。这种情况下,安全工具就显得有点被动。其实某个病毒出现之前总会有一点“先兆”。如果能够抓住这点先兆的话,安全工具还是能够分析某个文件是否存在潜在的威胁。
在Forefront中就采取了类似的措施。如上图所示,这款软件提供了一个“使用启发式检测尚未分析风险的软件的有害或者不需要的行为”。这个选项是什么意思呢?通常情况下,ForeFront在检测时只能够识别已知的威胁。但是如果启用这个选项的话,系统也可以检测那些在定义文件中尚未列出的软件的有害或者不需要的行为向用户发出警报。如20、21是FTP协议所采用的端口。在扫描的过程中,如果发现其他应用软件(如不是微软的IIS)需要使用到这个端口,那么即使这个软件在定义文件中没有被拉入黑名单,系统也会向用户发出警报。然后让用户去确认这个软件是否合法,通过这种机制就可以{zd0}程度的发现有安全隐患的文件与应用程序。
三、定义文件要及时升级
Forefront在扫描恶意时,主要根据的就是“定义文件”。简单的说,定义文件就好像是一部百科全书,里面列举了到现在为止已知的恶意软件和其他可能存在隐患或者不需要的软件。当进入到这个黑名单之后,恶意软件在中就无处藏身了。
但是众所周知,恶意软件总是在不断的被开发出来。如果定义文件不及时更新的话,那么新出来的恶意软件就不能够识别。故Forefront只有依靠{zx1}定义文件才能够确保{zd0}程度上屏蔽恶意软件与有害文件。也就是说,用户要学会及时更新Forefront工具的的定义文件。笔者建议,在使用这个工具对操作系统进行扫描之前,{zh0}能够检查定义文件是否是{zx1}的。系统提供了自动检查与手工检查两种方式。
一是手工检查。打开ForeFront的控制台窗口,然后点击帮助旁边的小按钮,系统会出现一个下拉框。在这个下拉框中选择“检查更新”即可。选中之后,系统就会查看微软的官方网站,看看是否有{zx1}的定义文件出来。如果有的话,就会进行更新。
二是让系统在每次扫描之前自动检查。要设置这个功能的话,用户可以点击工具栏上的工具按钮,然后单击“选项”。在“自动扫描”下面有一个“自动扫描进计算机”的选项。选中这个选项后系统就会出现“扫描钱检查更新的定义”复选框。以后系统在每次扫描的时候,就会先去判断当前的定义文件是否是{zx1}的。如果不是的话,则会先更新然后再扫描。
启用这个选项的话,需要注意一点。如果速度不理想,则更细的速度会比较慢,从而影响到最终的扫描进度。在实际工作中,笔者建议将Forefront定义文件更新与 Windows 中的自动更新配合使用。也就是说,通过Windows操作系统的自动更新功能,在企业内部建立一台自动更新。然后让这台定时的从微软官方网站下载{zx1}的更新文件。Forefront客户端在需要更新的时候,直接向这台更新服务器要求更新的定义文件,提高更新的效率。
