McAfee VirusScan Enterprise 8.0i

將入侵防禦技術整合至規則化設定，增加防毒面向

McAfee推出新版的VirusScan Enterprise 8.0i（以下簡稱為VSE 8.0i），在既有的防毒技術基礎整合新的主動式入侵防禦和緩衝區溢位防護（Buffer Overflow Prevention）功能，讓個人電腦與伺服器能夠主動阻擋與移除惡意程式，延伸安全防護範圍，並且簡化病毒爆發回應的管理工作。McAfee特別在VirusScan Enterprise的版本數字加上i，即有強調入侵防禦（Intrusion Prevention）功能之意。

由於McAfee 去年併購2家入侵防禦廠商IntruVert Networks和Entercept，分別從這2家廠商手中取得主機型入侵防禦系統（HIPS）IntruShield和網路型入侵防禦產品（NIPS）Entercept。McAfee利用這兩套產品的技術，逐步實現近來常強調的深層防護策略（Protection-in-Depth Strategy），現在，VSE 8.0i整合入侵防禦功能，也加入這個新的安全體系。VSE 8.0i想要突破傳統防毒軟體的限制，做到減緩Windows系統漏洞的影響，即使在無法取得Windows Update的情況下，還能夠阻擋安全威脅，而且要能夠防禦潛在、不必要的間諜軟體，及辨識病毒感染源，達到產生報告、自動阻擋與系統自動防護回應。

新版的VSE支援Lotus Notes的電子郵件掃描和網頁的Java Script/VBScript掃描，8.0i也增加防毒程式修復安裝與整合本機事件的警示管理員Alert Manager 4.7與錯誤報告服務。因為有些病毒的確會直接損毀防毒軟體的程式檔案，感染電腦同時也癱瘓防毒軟體的即時監控，掃毒主控臺提供修復安裝功能有其必要。

McAfee曾經宣稱VSE 8.0i將會支援Cisco NAC，整合Cisco Trust Agent，但是在VSE 8.0i RC2英文測試版，我們沒有看到任何與Cisco Trust Agent相關的功能整合與說明。即時存取保護

McAfee替企業內部的電腦規畫2種最佳實務類型，一類是伺服器與重要電腦，為了減少這些電腦的停機時間與提高營運系統的可用性，用戶可以搭配使用VSE 8.0i、ePO和Entecept，用來防禦作業系統層級的緩衝區溢位漏洞、網站伺服器和資料庫等應用程式漏洞，以及加密攻擊、本機攻擊和權限擴增攻擊（Privilege Escalation Attack）。另一類是一般個人電腦，使用VSE 8.0i、ePO和Desktop Firewall等產品就足以應付。即時存取保護（Access Protection）是新版VSE相當重要的功能，藉由存取權限制，保護網路埠、檔案、資料夾分享免於入侵，用戶可以建立阻擋和限制規則，如果系統偵測到病毒或攻擊爆發啟動，管理者可以限制感染區等到新的安全定義檔釋出，再手動解禁。

VSE 8.0i裡面已經提供一些規則範例，網路埠阻隔規則包括郵件蠕蟲、IRC連線限制和網際網路下載。系統預設啟用阻絕6666至6669埠的IRC入埠與出埠連線，以及寄信用的25埠，因為有一些病毒和蠕蟲會透過irc軟體和電子郵件大量發送，如果用戶確定這些埠是安全的，尤其是25埠，事關使用者寄信，管理者還是得開放這條規則。而檔案和資料夾分享阻隔規則範例，則涵蓋IE、Outlook/Outlook Express、檔案包裝程式、TFTP和Share-Hopping蠕蟲（透過開放式無密碼的資料夾分享的病毒感染），這些範例規則大多用來防止從暫存資料夾執行特定應用程式。緩衝區溢位防護

VSE上一個版本7.5其實就已經提供緩衝區溢位防護，這項功能能夠監控使用者模式的API呼叫，在發生緩衝區溢位時辨識，自動發出警告，目前可保護微軟Windows作業系統的服務、IE、Outlook/Outlook Express、Office、Media Player和MSN Messenger等20多種應用程式，這些都定義在獨立的緩衝區溢位防護定義檔裡面，用戶在自動更新時可以取得更新檔。

緩衝區溢位防護在安裝時預設啟動，用戶可以選擇警告模式或是保護模式，警告模式適合用在不確定的新防護規則上，保護模式則是自動關閉導致緩衝區溢位的應用程式，為了避免誤判，VSE 8.0i也提供排除系統防護的規則，類似防垃圾郵件的白名單，由於有些病毒與蠕蟲會在暫存資料夾裡面使用和正常應用程式一模一樣的檔名，逃避檢查。用戶最好在填入處理程序名稱和API名稱時，程序名稱上最好加上完整的檔案路徑，避免有安全威脅混水摸魚。McAfee網站也準備了緩衝區溢位範例程式供測試。

雖然，緩衝區溢位防護可以預防程式碼開始從堆疊（heap）或堆積（stack）裡面執行，McAfee坦承，這項功能無法阻止資料寫入到堆疊與堆積內，系統會終止執行緒，以便拖延系統當機，由於緩衝區溢位並沒有停止，遭到篡改的應用程式已經變得不穩定，緩衝區溢位防護不能挽回這些處理程序。

緩衝區溢位防護和一些軟體也有衝突，例如Zone Alarm Pr/Integrity Agent、BlackICE Firewall、Tiny Personal Firewall等個人防火牆，Media Player Classic、mIRC和United Devices Research Agent的網格專案計畫程式，如果一定要使用這些軟體，用戶最好停用VSE的緩衝區溢位防護功能。防護設定規則化

除了跨及網路的存取防護，非必要程式規則（Unwanted Program Policy）也是8.0i的新功能之一，這兩種功能都是以規則化的方式設定。非必要程式規則能夠偵測廣告軟體、間諜軟體、遠端管理工具、撥號程式、密碼破解器、惡作劇程式等，McAfee會將這些類型的軟體型錄包裝在更新DAT檔，8.0i讓用戶可以自行調整非必要軟體的清單，前提當然是管理者必須將介面開放給使用者設定，這些功能本來就是保留給MIS人員或進階IT人員控管的。如果常使用的軟體被McAfee認定為非必要軟體，系統也有排除選項，讓應用程式可以繼續執行。

其他防毒軟體在功能提升的前提下，往往力求使用介面與管理設定簡化，主要功能則盡量簡化成讓用戶設定開啟或關閉即可運用，不允許一般使用者甚至管理者看到任何安全設定細節；VSE 8.0i卻反其道而行，將安全防護設定規則化，走向開放式的發展方向。

規則化雖然方便產品本身功能持續延展，規則多了以後可能會產生一些問題。一旦使用者反應他的應用程式發生問題，即使你已經知道可能是因為系統限制網路埠所導致，從使用或管理介面並不易快速找到控制點，網路埠管理雖然都可以設定限制範圍，卻無法從網路埠的觀點整體察看哪些埠數已經被封鎖了，本來企業防火牆就有可能絆住使用者應用程式，後來為了安全考量，多了個人防火牆這個變數，如今防毒軟體也要參與這些網路限制，只能說以後MIS人員或程式開發人員問題排除或跨網路做程式除錯須更謹慎，我們建議用戶端一開始最好不要輕易啟用網路埠或應用程式限制功能。文⊙李宗翰