Обзор Microsoft Forefront Client Security

Источник: antimalware
Артем Сальников

Обзор новейшего антивируса Microsoft Forefront Client Security для защиты рабочих станций предприятий, появления которого с опаской ждали, пожалуй, все существующие производители антивирусного ПО.


1. Введение

Наверное, даже не стоит представлять компанию, которая создала данный продукт, но пару слов я всё равно скажу. На данный момент она самая крупная по производству программного обеспечения, решила всерьёз взяться и за программы антивирусной защиты. Новый продукт для клиентских машин по защите от вирусов\троянов и другого вредоносного контента ориентированного на корпоративный рынок (подозреваю, что лавры Symantec, McAfee лидеров в этой области покоя не дают).

Помнится в своё время, когда Windows OneCare только появлялся, большинство людей думали, что позиции гигантов антивирусной защиты пошатнутся, но прошло время и в домашнем сегменте почти ничего не изменилось. Да, он занял какую-то долю рынка, но что бы подвинуть кого-то из лидеров, такого не произошло, как все думали.

Microsoft Forefront Client Security позиционирует себя как антивирусный инструментарий уровня предприятия. Узнав, что 15 мая будет презентация в России данного продукта, мне сразу стало интересно посмотреть, что предлагает Microsoft корпоративному рынку. Это пока еще первая публичная бета версия, поэтому много от него ожидать не следует (релиз в России запланирован на 17 мая).

 


2. Установка и пользовательский интерфейс

Прежде чем начать, скажу, что ядро его основано на движке Microsoft и используется не только в Forefront Client Security, но и в Forefront для Microsoft Exchange, персональном антивирусе Microsoft OneCare Live и Malicious Software Removal Tool. Обновление продукта происходит каждый час.

С сайта Microsoft скачивается дистрибутив размером 67мб, в нём находится клиент (как для 64-битной версии Windows, так и для x86), сервер, hotfix (для английской версии Windows, для русской качается вручную), без которого клиент для x86 систем не будет устанавливаться. В этой статье я не буду затрагивать серверную часть (возможно в будущем), хотелось описать сам антивирус.

После установки пользовательский интерфейс очень легок в навигации, и очень похож на интерфейс Windows OneCare Live.

Рисунок 1: Мониторинг состояния антивируса Microsoft Forefront Client Security

Мониторинг состояния антивируса Microsoft Forefront Client Security

 

Сверху находятся закладки:

Home - главная страница ForeFront тут выводится необходимая информация о статусе продукта, времени последнего обновления и последнего сканирования.

Scan - с подзакладками Quick Scan (быстрое сканирование), Full Scan (полное сканирование), Custom Scan (выборочное сканирование).

Рисунок 2: Сканер по требованию в Microsoft Forefront Client Security

Сканер по требованию в Microsoft Forefront Client Security

History - история, чего, где, произошло или было обнаружено.

Рисунок 3: History в Microsoft Forefront Client Security

History в Microsoft Forefront Client Security

Tools - с настройками, карантином и разрешёнными файлами.

Рисунок 4: Настройки в Microsoft Forefront Client Security

Настройки в Microsoft Forefront Client Security

Отдельно стоит упомянуть Software Explorer - это такой менеджер автозагрузки, запущенных процессов, сетевых соединений и winsock providers с минимальными возможностями по удалению ключей, закрытию программ и сетевых соединений.

Рисунок 5: Менеджер автозагрузки Software Explorer

Менеджер автозагрузки Software Explorer

Один из минусов - это то, что антивирус не встраивается в контекстное меню соответственно проверить отдельно папку не из интерфейса нельзя.

 


3. Функционал антивируса

Обновление

Надо сказать, что обновление ForeFront происходит только с установленным Microsoft Update, по-другому ForeFront мне не удалось заставить обновиться. Происходит оно в фоновом режиме, и даже если захочется посмотреть, как оно протекает, это не удастся. Единственное информация это извещение в трее о поиске обновлений и окончании загрузки.

Сканирование

Как я уже говорил, есть 2 варианта предустановленного сканирования, полное и быстрое.

Быстрое сканирование (Quick scan) - производит поиск в основных папках появления malware, ключах реестра автозапуска, запущенных процессах, библиотеках и драйверах.

Полное сканирование (Full scan) - производит сканирование по всем дискам и устройствам.

Сканирование выбранной папки (Costum Scan) - сканирует выбранную папку, отдельно какой-либо файл сканировать нельзя.

Рисунок 6: Варианты сканирования в Microsoft Forefront Client Security

Варианты сканирования в Microsoft Forefront Client Security

По умолчанию, при нажатии просто на кнопку скан производиться сканирование по принципу Quick Scan.

При сканировании проверяются архивы rar, zip, tar, bzip2, sfx, gzip, а вот 7zip не проверяются, видимо разработчики решили, что данный архиватор редко используется вирусописателями (это те архиваторы которые были проверены).

Во время сканирования информацию об обнаруженных объектах на экран выводит неприметная надпись в трее (честно сказать, тут вообще нету всем привычных предупреждений на половину экрана со страшными словами об обнаружении malware, все сообщения появляются в трее), там же меняется значок с зеленого на красный, а на главной странице появляется информация об обнаруженных объектах.

Рисунок 7: Обнаружение malware в Microsoft Forefront Client Security

Обнаружение malware в Microsoft Forefront Client Security

Пройдя по ссылкам, расположенным рядом с кнопкой Smart Clean, можно будет выбрать действия для каждого заражённого объекта (карантин, удаление, разрешить действия файлу). Или нажать на кнопку Smart Clean и выполнить действие предложенное антивирусом.

Рисунок 8: Результаты сканирования и описание найденного malware

Результаты сканирования и описание найденного malware

 

Хочется отметить очень хорошее описание, вплоть до найденных ключей реестра.

Детекты в ForeFront делятся на 5 уровней:

  • Severe - широко распространенные и исключительно злонамеренные программы, которые могут испортить данные, украсть пароли, нарушить секретность и безопасность системы.
  • High - программы могущие воровать личные данные, изменять настройки системы без ведома пользователя.
  • Medium - то же самое что и High, но видимо с менее деструктивными способностями.
  • Low - потенциально нежелательное программное обеспечение, которое могло бы собирать информацию о пользователях и компьютере, но устанавливается в результате лицензионного соглашения.
  • Not yet classified - программы, которые могут являться вредоносными, если установлены без ведома пользователя.

Качество детекта и лечения

Ещё в начале тестирования у меня встал вопрос, насчёт этого пункта, как тестировать, на каких семплах проводить тестирование, в итоге была выбрана методика лечения активного заражения.

Действия производились такие: установка антивируса - обновление - отключение - запуск семпла - перезагрузка - полная проверка компьютера - удаление\лечение.

TrojanProxy:Win32/Xorpix.gen!B (уровень Severe) - после установки файл arm32.dll детектируется эвристиком как VirTool:Win32/Obfuscator.C. (заранее скажу, из-за одного бага в бете не позволяющего выбрать другое действие с malware кроме изначально предложенного, для уровня Sever вообще непонятно по какому принципу выбирается действие, то карантин предлагаться, то удаление, по этому придётся описывать с возможным действием). Данный malware ForeFront отказался удалять, ссылаясь на его монопольное открытие и выдавая ошибку удаления (в карантин файл отправляться с последующем удалением файла из системы, поэтому будем считать, что удалить он его тоже не смог бы).

Worm:Win32/Bagle.EG@mm (уровень Sever) - после установки файлы m_hook.sys (детектируется как Trojan:Win32/Borkle.A) и hidn.exe (Worm:Win32/Bagle.EG@mm) были обнаружены и удалены с перезагрузкой.

Worm:Win32/Scano.gen (уровень Sever) - после загрузки системы детектируется файл csrss.exe в папке Windows. При перемещении в карантин активируется функция защиты системных файлов и файл csrss.exe восстановился и так по кругу - детект, карантин, восстановление. Из чего я делаю вывод, что ForeFront с ним не справился.

Worm:Win32/Feebs.CV (уровень Sever) - после перезагрузки антивирус не активируется и при любых попытках запуска выдаётся ошибка.

Backdoor:Win32/Haxdoor.IV (уровень Sever) - За 2 перезагрузки и 3 прохода были обнаружены 5 файлов и успешно удалены. Оставив при этом всего один ключ в реестре на библиотеку.

Тест не претендует на единственно правильный метод тестирования.


4. Настройки антивируса

Настроек минимум, оно и понятно корпоративный антивирус:

  • Automatical scan - автоматическое сканирование настраивается на любой день недели или каждый день в установленное время (можно делать и в рабочее время, благо даже на слабеньких машинах сканирование происходит вообще незаметно).
  • Default action - настройки действия для трёх уровней детекта: High, Medium, Low.
  • Use real-time protection - настройки защиты в реальном времени.
  • Advanced options - отключение\включение сканирования потенциально опасных мест при сканировании по требованию (если не отключить данный пункт, то производится при любом выбранном методе сканирования), включение\отключение эвристики, добавление исключений сканирования.
  • Administrator options - Отключение\включение защиты, отдельных элементов (antispyware, antivirus) и разрешение на использование всем пользователям.

Рисунок 9: Настроки Microsoft Forefront Client Security

Настроки Microsoft Forefront Client Security

 


5. Выводы

Из явных плюсов, наверное, можно отметить только приятный интерфейс, в котором приятно работать, хорошее описание обнаруженного malware, такую вещь как Softaware Explorer. Приятно что такое есть.

В свою очередь минусов довольно много, например, количество настроек минимально, что лично меня совсем не устраивает, т.е. на отдельно взятую машину поставить и настроить хорошо проблематично. Отсутствие какой-либо самозащиты, есть всякие мелкие недочёты, такие как отсутствие ручного обновления, проверки отдельного файла и т.д.

Данный продукт еще немного сыроват и не дотягивает до уровня лидеров корпоративного рынка (Symantec, McAfee, Trend Micro), не стоит, конечно, забывать, что это всё-таки первая версия. Я вот что думаю, если меня будут спрашивать, имеет ли смысл использовать Microsoft Forefront Client Security, я бы сказал, лучше ещё раз 20 подумать, хотя всё зависит от стоимости. Например, если стоимость лицензии на 50 машин будет составлять не более 500$, то многие мелкие и средние компании не отказались бы поставить себе такой продукт. В этом случае Microsoft Forefront Client Security вполне можно будет рекомендовать для данного сегмента.

Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=17195