红软基地 推荐
2012-07-01
作者:柳焚烟
2012年5月15日,瑞星发布了杀毒软件网络版2012和5S专业级企业信息安全服务。此次新产品是瑞星继2011年发布16款企业级软硬件新品之后的又一次产品更新,也是瑞星持续发力企业级市场的一个证明。
瑞星杀毒软件网络版2012共有八个版本,分别是高级企业版、高级企业专用版、企业版、企业专用版、教育专用版、军队专用版、行业专用版及中小企业版。
本次我们用来测试的是瑞星2012网络版中的企业版,为测试最新版本对系统平台的硬件配 置要求和系统兼容性等方面因素,我们采用硬件配置不高甚至是相对于今天来说比较落后的硬件平台配置。系统中心部署在Windows Server 2008 R2中,另外部署一台内存只有512M的常见的32位Windows XP客户端,采用一对一的环境进行测试。
一、安装和部署
瑞星2012版本在安装和部署上与2007以后的版本基本上没有什么区别,还是分为系统中心、服务器端和客户端三类。以下是我们本次测试的服务器及客户端信息:
1.自动运行安装程序
瑞星2012安装自动运行程序与以往版本区别不大,在界面颜色和动画淡入淡出方面做了一些改变,看上去更美观了一些。
2.系统中心和服务器端安装
点击安装系统中心组件,显示软件版本为24.00.00.51,更新日期为2012年5月9日,
选择数据库安装目录时可更改为任意分区下program files路径而不限于Program Files (x86),可以看出软件能够识别64位系统并予以支持。
组件选择时与以往类似,但在“资源文件”中精简了皮肤资源和多语言资源。
系统密码选项中依然保留了之前的客户端保护密码选项
按照惯例,瑞星系统中心部署会连带自动安装服务器端,2012版也不例外,不过安装完成后默认是在Windows Server 2008 R2的program files(x86)目录下而不是想象中的program files目录
系统重启后依然在登陆界面左上角显示出典型的瑞星狮子图标
3.Web安装
2012版依然支持Web安装部署方式,且与以前一样,Web安装不需要额外配置,只需要简单点击界面上的按钮即可实现。
安装完成后按照提示输入http://系统中心计算机名或IP地址/RAV即可访问客户端Web安装界面,需要注意的是,因为Windows Server 2008安全机制与Windows Server 2003以前的版本不同,所以需要以https://方式访问
4.域登陆脚本安装
事先选择需要部署的用户
瑞星脚本安装组件自动把脚本安装到DC脚本目录中
5.客户端安装
客户端安装主要分为手动安装、域登陆脚本安装和Web安装三种方式,我们可以在系统中心事先制作客户端安装包。
为便于测试全部功能,我们选择所有组件而不进行精简。将该安装包直接下发给客户端手动安装即可。Web安装更为简单,只要输入系统中心IP点击下载客户端安装包即可。
二、系统资源占用
1.系统中心资源占用
系统中心占用1.23G硬盘空间,占用接近77M内存资源,对于一个系统中心外加一个服务器端来说这种资源占用还是比较可观的。
2.Windows XP客户端资源占用
客户端占用632M硬盘空间,内存资源占用为接近42M多,比以前的版本多了一些,不过考虑到版 本升级带来的新功能组件增加以及硬盘更新换代的速度因素,还是可以接受的。而且,对于我们进行测试的仅仅512M内存的系统来说,这些资源占用并不是很影 响系统的正常使用速度,说明软件的资源占用方面还是做了一些优化。
三、客户端自保护功能
顾名思义,客户端自保护也就是保护客户端自己的防护功能不被恶意程序攻击,包括篡改、中止、禁用等。最直观的方式就是在客户端安装目录下新建文件和删除文件、重命名文件,以及结束杀毒软件的进程。如果以上四种行为都被软件禁止,则说明软件的自我保护功能较强大。
尝试结束瑞星相关进程,已经触发自我保护规则,行为被拒绝。
瑞星文件夹属性默认为只读,
我们尝试将只读属性去掉,
虽然看上去已经去掉了只读属性,其实操作成功后再次查看rav文件夹属性仍然为只读,更改属性并不生效。
尝试在瑞星文件夹下新建文件,被拒绝。
而尝试删除瑞星相关文件时仍然被拒绝。
我们尝试将瑞星客户端主程序RsMain.exe重命名为123.exe同类型exe文件同样被拒绝。而将该文件重命名为其他类型文件123.cmd,还是被拒绝。
从上不难看出,瑞星杀毒软件网络版2012的自我保护功能还是非常强大的,不易被恶意程序篡改。
四、客户端查杀时间
512M内存客户端,20G硬盘空间,除瑞星和CA HIPS、WinRAR之外未安装任何其他程序,CA占用40.7M空间,只存在两个文本文档,大小不超过5K,不存在其他任何文档和数据库数据文件。启 用瑞星助手等附加组件情况下进行全盘扫描,耗时19分8秒。平均差不多1G/分钟,速度还是很不错的。
更换为只查杀内存/引导区/关键区域的快速查杀,耗时3分28秒,大大节省了资源占用和时间消耗。如果用户确认除系统分区外其他分区没有病毒文件的话,采用快速查杀是个不错的选择。
五、客户端查杀能力
1.解压缩文件实时监控
文件解压缩的过程其实就是写入到系统临时文件夹下然后再次写入到指定解压缩目录的过程。这一过程是否受到杀毒软件监控是衡量杀毒软件能力的一个基本标准。
我们尝试解压缩带有病毒文件的压缩包时,病毒文件自动被瑞星清除掉。
2.病毒样本扫描测试
我们采用带有最新超级火焰样本的2012年5月病毒样本包进行扫描测试,共有117个病 毒文件,瑞星病毒库更新为最新状态,扫描结果为109,病毒种类46种,接近94%的查杀率还是非常好的。这种病毒统计信息比较直观,系统中心日志以种类 数量为标记,而客户端本地为病毒个数为标记。两种统计信息分别展现给IT管理员和最终用户,各取所需。
六、客户端主动防御能力
主动防御功能
主动防御主要包含系统自身的保护和木马入侵的防御,我们针对比较重要的系统加固和木马入侵拦截功能方面进行测试。
1.系统加固
从中可以看出,系统加固包括系统动作监控、注册表监控、关键进程保护和系统文件保护四类。
1.)系统动作监控
以“修改系统日期及时间”为例,按照字面理解,勾选该选项后客户端不得随意更改系统时 间。我们采取更改客户端系统年、月和时间三种方式来测试时间保护功能,先后将年改为2010年、月改为九月、时间改为23点,更改时间和日期后刷新一下或 稍等3,4秒钟时间马上恢复到当前正确状态。
2.)注册表监控
注册表监控包含很多项目,我们选取与病毒入侵相关的IE浏览器首页和注册表自动运行项两个项目进行测试:
拒绝更改客户端IE浏览器首页。我们尝试将客户端IE浏览器默认的空白首页改为www.baidu.com,
点击确定后运行IE浏览器打开的首页仍然是空白页,首页更改完全不生效,这样就防止了恶意程序非法更改浏览器首页从而侵入系统的途径。
注册表自动运行项基本上是绝大部分病毒都会写入的位置,如果能很好的防护住自动运行项也就能禁止恶意程序非法注册为系统启动自动运行。
我们配置主动防御规则禁止当前用户及本地电脑自动运行项,然后尝试在客户端注册表regedit和regedt32中的自动运行项内建立键值,结果不论在HKEY_CURRENT_USER还是HKEY_LOCAL_MACHINE的Run中,都拒绝创建任意键值。
3.)系统文件保护
我们重点关注病毒主要侵入或伪装的关键系统文件,包括系统目录、系统驱动文件目录、IE浏览器目录、开始菜单启动目录、hosts文件和在各分区创建或修改autorun.inf几个方面的测试:
首先在系统目录创建文件,被拒绝。
其次在驱动目录创建文件,也被拒绝。
然后在All Users开始菜单启动项中创建文件,仍然被拒绝。
尝试修改hosts文件新增一行0.0.0.0 www.rising.com.cn,提示拒绝访问。
然后在IE浏览器目录创建文件也无法成功。
最后,在分区根目录下创建autorun.inf,同样访问被拒绝。
通过以上系统关键位置文件的保护设置,结合前面描述的系统动作和注册表监控防护功能,我们就能很 好的防范绝大部分病毒的入侵。病毒的防范永远要高于病毒的查杀,将病毒阻挡在系统大门之外而不是等病毒进入了以后再想办法清除是病毒防范的最合理途径。利 用主动防御功能,将系统自身打造成安全的堡垒,也就扼杀了病毒的传播。
2.木马拦截
木马拦截功能分为网站拦截和U盘拦截两部分。网站拦截不必赘述,就是当访问挂马网站时候自动拦截木马。我们感兴趣的是U盘拦截功能,如图所示:
U盘拦截不仅仅指移动存储介质,还包括网络执行程序的监控。众所周知,当用户系统自身防护的非常安全的时候,一不小心访问其他用户共享文件夹时顺手点击了可执行程序,而该程序如果为恶意程序的话,也可能导致中毒,这也是病毒传播的一个重要途径。
我们配置主动防御为直接拒绝在网络上执行程序,当尝试在共享文件夹中执行可执行程序时,直接被阻止。
七、系统中心集中管理功能
作为一款企业版杀毒软件,集中管理功能是非常重要的部分。集中管理要体现出贴近用户的使用习惯,同时界面应操作简便、通俗易懂。瑞星2012网络版继承了以往版本的系统中心控制台界面样式菜单与操作界面,相比以前基本无变化,仍然具备一目了然、上手容易的特色。
对于安装了客户端的计算机能显示出详细的信息,包括计算机名、IP地址、子网掩码、通讯端口、操作系统类型、监控和主动防御的实时状态等。
1.)自动分组
所有的客户端可手动拖拽到事先建好的分组中,也可以应用事先建好的自动分组规则,将客户端自动分到指定的组中。
我们制定一个按照IP地址段分组的规则,应用自动分组规则后,对应IP地址段的客户端即自动分配到指定的test组中。
2.)广播消息
广播消息对IT主管来说是一个非常有用的功能,当网管人员发现客户端病毒信息后,可以通过广播方式给客户端发送中毒警告或应急处理方法等信息。发送消息后客户端马上就会弹出消息框
3.)多级管理员
默认的Admin用户为超级管理员,具有最高管理权限,而在实际应用中需要多个下级管理员辅助超级管理员管理下级分组。Admin可以建立多级管理员去管理各自的分组,管理员分为操作管理员和审计管理员,
不同的管理员分配给不同的分组管理权限,我们将新建的管理员test只赋予test组的管理权限,
以test用户登陆系统中心后,只能看到admin赋予该用户管理的客户端,超级管理员admin建立的分组test对于下级管理员test来说是看不到的。
反过来也是同样的情况,如上图,我们以test管理员登陆系统中心,建立一个分组test1,注销登陆后以超级管理员admin登陆,同样也看不到test管理员建立的test1分组。
Test管理员具备的权限如下所示,做为操作管理员,test只能对管理下的客户端进行病毒查杀、开启和关闭监控等操作而不能制定防毒策略、主动防御策略等。
这种多级管理方式其实相当于超级管理员只负责制定统一的防毒策略,而下属分组的具体日常操作下发 给具体的分组管理员进行。超级管理员把握大的防毒方向,细节的行为充分下放,大大减少了超级管理员的工作量。而且,下级操作管理员的行为又无法影响到整个 网络的防毒策略,不至于造成因为多级管理员的存在而使得企业整体防毒策略变得混乱的现象。
我们又建立了一个审计管理员audit该,审计管理员默认就具备了所有客户端的审计权限且无法添加或删除审计的客户端,
以审计管理员audit登陆系统中心后可以看到不具备任何操作权限。
操作管理员的设置是很人性化的,但审计管理员的设置我们认为稍有欠缺,对于企业用户来说,审计功能也是多级分组的,不同的审计员应该审计不同的分组和信息,这样一旦建立审计管理员即具备所有客户端审计权限的设置赋予了审计员过大的权限。
4.)客户端选项
主要包括客户端配置方面的一些统一设置,客户端密码保护包括停止查杀、停止监控、修改配置等,当然,我们可以勾选客户端操作不需要密码保护的行为。
虽然密码保护例外设置中并不包括客户端卸载排除,但不要因此就认为客户端卸载不受密码保护了,我们尝试在客户端进行卸载或添加删除组件操作时,立即弹出输入密码框。说明瑞星2012的客户端卸载密码保护是强制性的,不允许排除。
值得一提的是升级方式设置方面,增加了从系统中心和官网升级的选择选项,这种选择对用户来说是透明的,这就是瑞星的游离升级,当我们将系统中心断网后,从客户端点击智能升级,后台找不到系统中心时会自动连官网更新,对于长期出差在外的员工来说是很便捷的更新手段。
5.)客户端远程控制
从上可见,管理员可在系统中心中对客户端进行远程操作,包括远程查杀病毒、扫描漏洞、打开/关闭实时监控、打开/关闭主动防御、远程关闭自我保护等,当管理怀疑某些客户端存在病毒或发现某些客户端长期未进行全盘查杀时可远程操作。
6.)防毒策略设置
管理员统一对客户端制定防毒策略,可设置全局策略、组策略和客户端单独策略。
所有的策略选项都可点击绿色锁头标志进行锁定,锁定后客户端无法私自更改选项。
需要注意的是邮件监控中的端口设置。默认的邮件客户端端口是POP3 110和SMTP 25,当企业内存在例如exchange等企业邮件系统的特定通讯端口,或企业自行更改过自定义端口时,需要在这里添加,以便瑞星能够监控指定端口的病毒情况。
在其他设置中,可勾选客户端节省资源查杀,自定义是否使用声音报警、是否显示瑞星助手及历史记录的保存天数等选项。
7.)漏洞扫描
漏洞扫描历来都是瑞星网络版特有的功能,2012版也继承了下来,选择指定客户端进行漏洞扫描,勾选系统漏洞和不安全设置,扫描后可即时得到扫描结果,双击某漏洞扫描结果可直接查看详细信息,可实时显示出该漏洞对应补丁的官方下载链接。
当然,也可通过系统中心的漏洞信息管理工具查看更详细的漏洞信息。不过由于客户端系统配置的安全性等多种原因,不安全设置会提示需要客户端手动修复。
通过漏洞扫描工具,企业部署一套瑞星网络版杀毒软件,相当于还附赠了一套网络漏洞扫描系统,让管理员及时掌握全网的安全漏洞信息,无疑具有很高的性价比。
总结
瑞星2012网络版新版继承了以往版本的优质功能,而且在资源占用方面进行了优化。主动 防御中增加了一些针对病毒攻击目标的策略性防护设置,防护能力得到了大幅度增强。虽然在个别方面也存在一些不足之处,但考虑到任何一款安全软件都是在发现 不足中逐步进行完善的,所以,瑞星2012不失为一款性价比较高的企业级防病毒软件。当前国际主流防病毒软件都逐步采取了B/S + C/S混合的管理模式,管理员通过浏览器即可访问系统中心,希望瑞星在以后的版本中能够增加B/S架构,进一步扩展软件的管理性。
来源:赛迪网