`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Windows Defender: защиту от шпионов – на каждый ПК

0 
 

Как известно, главнейшим из зол в сфере компьютерной безопасности сегодня считается spyware, тем более что за этим емким термином скрывается самое разнообразное ПО – от банальных систем сбора Web-статистики до изощренных «троянцев». Не спасает ситуацию и существование специализированных защитных программ – большинство пользователей склонны прибегать к их помощи уже после возникновения неприятностей. Радикально изменить данную ситуацию пытается Microsoft, причем своим излюбленным способом – включив соответствующий инструментарий в поставку ОС.

Windows Defender – новое (и, видимо, окончательное) название для программы Microsoft Antispyware, с бета-версией которой мы знакомились еще год назад. Впрочем, это далеко не единственное изменение, фактически мы видим перед собой совершенно другой продукт – и внешне, и внутренне. Достаточно сказать, что исходный код на Visual Basic был переведен на С++, а центральный компонент теперь выполнен в виде системной службы. И это, конечно, не просто дань моде, а действительно принципиальные шаги – благодаря первому программа была портирована на х64-платформу, второй позволяет работать с ней даже без полномочий администратора. Более четко вырисовалась и маркетинговая стратегия – Windows Defender будет не только стандартно присутствовать в Windows Vista (по сути это уже выполнено, начиная со сборки 5270), но и бесплатно доступен для пользователей предыдущих версий ОС. Поэтому совершенно не вызывает удивления тот факт, что Windows Defender устанавливается только на системы, прошедшие процедуру Genuine Advantage.

Windows Defender защиту от шпионов – на каждый ПК
Интерфейс Windows Defender симпатичен и функционален, но в идеале пользователь должен видеть его как можно реже
Windows Defender защиту от шпионов – на каждый ПК
Обновление баз описаний через стандартную систему Autmatic Updates удобно и конечным пользователям, и сисадминам

Итак, ПО класса antispyware становится обязательным атрибутом Windows-компьютера (в Windows Vista это даже отражено в Security Center) – наряду с антивирусом, персональным брандмауэром и системой обновления. Естественно, каждый защитный механизм подразумевает определенные оповещения пользователя и соответствующие реакции с его стороны, а все вместе они могут требовать слишком много внимания. Поэтому разработчики постарались сделать свое детище максимально ненавязчивым, даже пиктограмма в системной панели будет появляться только в случае каких-то происшествий, требующих стороннего вмешательства. Число последних можно еще больше сократить, если разрешить программе принимать самостоятельные решения относительно ПО, имеющего четкую классификацию (благодаря SpyNet).

Для еще большей автономности Windows Defender позволяет выполнять сканирование по графику и перед каждой процедурой актуализировать базы описаний spyware. Причем их загрузка осуществляется через стандартный механизм Automatic Updates, и, что особенно приятно, для этих же целей уже можно применять WSUS. Последнее действительно важно, поскольку пока что обновленные базы распространяются целиком, а их размер составляет более полутора мегабайт. Таким образом, благодаря интеграции технологий, обычная пользовательская программа вполне способна вписаться в корпоративную среду – осталось лишь добавить шаблон для групповых политик.

Важные изменения, впрочем, коснулись и базовой функциональности. Сканер стал работать значительно быстрее – так, процедура Quick Scan в нашем случае завершалась за 30 с, а ведь она состоит в проверке более 10 тыс. объектов (файлов и ключей реестра). Кроме того, Windows Defender научился иследовать содержимое архивов –полный список не заявлен, как минимум поддерживаются ZIP, CAB и даже CHM. Судя по окну опций, появились какие-то эвристические алгоритмы, хотя, по аналогии с антивирусами, реальная их необходимость не вполне ясна. Тем более что резидентная защита предусматривает контроль за различными подозрительными действиями, вроде изменений в списках автозагрузки и в системной конфигурации или установки всевозможных дополнительных модулей, независимо от того, кто или что является их инициатором. Кроме того, Windows Defender автоматически проверяет файлы, загружаемые через Internet Explorer версий 6 и 7 (только в системах с последними сервис-пакетами), правда, в большинстве случаев предупреждение будет получено только после завершения загрузки (поскольку обычно файлы передаются сжатыми). Также исследуются почтовые вложения Outlook.

Windows Defender защиту от шпионов – на каждый ПК Windows Defender защиту от шпионов – на каждый ПК
В случае инцидента можно либо быстро принять решение, либо попытаться вникнуть в суть проблемы

Однако совсем уж безукоризненным сканирующий механизм (или, соответственно, полноту баз описаний) Windows Defender назвать нельзя. Оказалось, к примеру, что он не обнаруживает модули aureate/radiate, которые использовались еще несколько лет назад. Подобным, конечно, грешат и многие другие программы (но не все), но правильней было бы применять подход, свойственный традиционным антивирусам, методично накапливающим информацию на протяжении всего своего существования и никогда ничего не «забывающим». По-прежнему не уделяется никакого внимания файлам cookie, но это принципиальная позиция разработчиков – Internet Explorer (как и многие альтернативные браузеры) располагает для этого собственными инструментами.

Как известно, программа, унаследованная Microsoft от компании Giant, изобиловала дополнительными инструментами, нередко дублирующими функциональность уже имеющихся (особенно появившихся в SP2 для Windows XP). Теперь часть из них исчезла, а оставшиеся объединены в модуль Software Explorer. С его помощью можно просмотреть списки автозагрузки, выполняющихся процессов, программ, демонстрирующих сетевую активность или создающих системные сокеты. Принципиальным отличием от прочих утилит в данном случае является классификация по версии SpyNet, впрочем, довольно много приложений все еще остаются «неопознанными». Есть и некоторые другие преимущества. Скажем, в отличии от обычного Task Manager, Software Explorer предлагает более развернутую информацию, в частности позволяет элементарно выяснить, какой именно код скрывается под личиной SVCHOST.EXE (эта своеобразная оболочка для пакетного запуска служб и DLL нередко применяется для сокрытия присутствия в системе постороннего кода). Безусловно, для решения подобных задач существуют гораздо более совершенные утилиты, в том числе и бесплатные, но их применение требует весьма высокой квалификации.

В целом Windows Defender выглядит довольно привлекательно даже на фоне коммерческих аналогов, что неудивительно, поскольку и Giant Antispyware в свое время была одной из лучших. Конечно, с точки зрения рядового пользователя появление такой программы можно только приветствовать. И точно так же понятно, что реакция сторонних разработчиков будет полностью противоположной – не исключено, что после выхода Windows Vista многие из них уйдут с данного рынка.

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT