加载中…
Windows Defender消费者价值概览
(2007-03-19 11:26:33)Windows Defender消费者价值概览
1.恶意软件
随着互联网络的广泛应用以及网络服务的迅速发展,计算机网络安全已经成为日益引起世界各国政府,企业以及个人关注的重要问题。与此同时,网络安全技术水平在与病毒,黑客等的较量中也不断得到提高。但是网络攻击的手法也逐渐的呈现出多样化,从拒绝服务攻击到脚本注入攻击,从病毒攻击到蠕虫攻击,而近些年又出现了一个新的名词,恶意软件。
恶意软件,国外一般习惯称之为间谍软件,而国内则更多的出现为流氓软件。
根据互联网协会的定义,恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。
同时中国互联网协会指出,具有下列8个特征中任意之一的软件可以被认为是恶意软件:
1.
2.
3.
4.
5.
6.
7.
8.
受到攻击的用户往往在未授权的情况下,恶意软件便自行安装在电脑中,不定时地弹出广告,收集并提交个人信息,降低系统性能,甚至更改某些系统配置。而当用户发现并要删除恶意软件时,会发现这些软件根本无法像卸载其他应用程序一样去卸载这一类软件,用户也许会发现,重新启动电脑后,这些软件又出现在电脑中。
2.网络现状
安全,一个永恒的话题,自从网络诞生,安全问题就一直伴随在左右。最开始的病毒攻击仅仅是一个争夺系统资源的游戏,但是在利益的驱使下,恶意攻击越来越多,攻击的方式也从简单的单一攻击模式逐渐演化成复杂的多元攻击。以病毒攻击为例,1998年,CIH病毒感染并破坏主机BIOS芯片;1999年,”梅利莎”作为Word宏病毒通过电子邮件感染无数企业公司的文档;2000年,”我爱你”蠕虫病毒将被感染的主机的用户账号和密码发送给作者; 2001年,”红色代码”专门针对运行微软互联网信息服务软件 (IIS) 的网络服务器进行攻击;2003年,SQL Slammer针对未打补丁的微软SQL服务器桌面引擎攻击;2003年,”冲击波”蠕虫病毒针对Windows的RPC服务进行攻击;同样还是2003年,”Bagle”蠕虫病毒在感染的主机中开启一个后门,远程用户和应用程序可以利用这个后门获得被感染系统中的数据;2004年,”MyDoom”试图通过P2P软件进行传播和攻击,其间全球互联网的速度性能下降了10%,网页的下载时间增加了50%;2004年8月,”震荡波”病毒通过自行攻击系统漏洞来传播自己,并导致法国一些新闻机构不得不关闭了卫星通讯,德尔塔航空公司(Delta)取消了数个航班,全球范围内的许多公司不得不关闭了系统。仅仅这几种病毒便造成了全球约400亿美元的损失。可以发现,攻击模式从单纯的针对计算机攻击已经变成了针对应用程序,服务,数据等多方面的攻击,究其根本其实就是利益在作祟。
如今,在利益的驱使下,攻击的种类也越发的繁多。以往的病毒和入侵手段受到安全软件的制约,在一定程度上无法简单迅速的产生巨大的经济效益,这就给了恶意软件一个”发扬光大”的舞台。一些小规模的企业或者组织为了迅速的打开市场并宣传自身,通过恶意软件或插件强制在用户不知情的情况下将广告软件安装在客户的电脑中;有一定规模的企业或组织则见到了简单有效并且低成本的宣传手段,也逐渐模仿这些做法。并且为了保护自己的广告能够随时地显现在用户的计算机屏幕上,制造者们各显神通,要么就想方设法给你的卸载工作制造麻烦,要么就干脆不让删除,更有模仿黑客程序去隐藏并保护自己的。2006年可以说是恶意软件的一年,几乎每一个用户的电脑都成为了一些组织或企业争夺的地盘,甚至一些知名网站和软件也不计后果的加入这场淘金大潮中。安装软件,浏览网站,在2006年成了最危险的操作。
2.1企业需求
对于一个企业来讲,网络环境以及办公系统的可靠和稳定将很大程度的影响企业日常工作的正常运行。我们一般通过组策略限制和维护客户端,通过各种安全或管理类别的服务器对客户端进行统一的部署和规划,但是我们无法通过这些手段去抵御恶意软件的攻击。
首先,恶意软件并非病毒或黑客程序,杀毒软件和防火墙无法起到应有的作用;其次,大量的广告信息以及对浏览器的劫持将导致客户端操作系统和企业网络的性能下降;再者,恶意软件所捆绑的插件将极有可能含有病毒或黑客程序,给企业的安全带来隐患;最后,恶意软件会自行收集客户端中的敏感信息和数据,造成企业的损失。
可见,抵御恶意软件,保证企业客户端的安全稳定对于企业来讲是非常重要的。
2.2用户需求
对于最终用户来讲,个人信息的保密以及系统的安全性非常重要。一般我们常用防火墙,杀毒软件保护电脑的安全,但是在恶意软件的面前,这些系统卫士并不能起到有效的作用。个人用户的电脑往往是通过管理员账户登录,这就给了恶意软件一个可趁之机,用户在安装某些软件或者浏览网页时很有可能在不知情的情况下安装上恶意软件。
驻留在系统中的恶意软件会自动收集敏感信息并发送到攻击者的手中。频繁的广告窗口弹出和性能的大幅度下降不但导致系统性能的降低,还影响了用户的使用心情。如果在恶意软件中捆绑黑客程序,用户的网上银行支付信息也有可能因此外泄。
如何能防患于未然,阻止恶意软件安装到操作系统中,对于企业和最终用户来讲都是至关重要的。
2.3解决方案
俗话说要对症下药,病毒要用杀毒软件来杀;黑客攻击要通过增强系统以及防火墙来抵御;而恶意软件则要通过相应的专杀工具或者防御软件。
常用的防御恶意软件的方法
|
防御方法 |
优点 |
缺点 |
|
系统(IE)优化软件 |
恢复被恶意软件篡改的系统配置 |
无法预防或清除大多数恶意软件 |
|
杀毒软件 |
可以清除病毒和部分知名恶意软件 |
无法预防或清除大多数恶意软件 |
|
专杀工具 |
专门针对某一种或几种恶意软件 |
无法预防恶意软件攻击 |
|
专业清除软件 |
针对大量恶意软件进行清除 |
无法预防恶意软件攻击 |
可以看到,现在市面上经常采用的方式主要为清除恶意软件或还原系统配置功能为主,并没有能够在恶意软件攻击前就提前预防的软件。
在Windows Vista中自带的安全组件Windows Defender则可以很好的完成预防这一步的工作。
3.Windows Defender
3.1定义
Windows Defender帮助用户保护电脑防止弹出窗口,降低性能并且还可以安全处理间谍软件和其他恶意软件。为了保证Windows Defender中含有最新的间谍软件列表,你必须经常的升级你的Windows Defender。
间谍软件,在未经授权的情况下,在电脑中显示广告信息,收集并提交个人信息,或者更改系统配置。
恶意软件,包含间谍软件,很难被删除。如果你像卸载其他应用程序一样去卸载这一类软件,你也许会发现,当你重新启动电脑后,这些软件又出现在你的电脑中。
Windows Defender是一个免费的安全软件,它可以帮助用户抵御间谍软件和恶意软件。用户可以通过Windows Defender的自动更新保证其有效性和安全性。它还包含即时保护的功能,一个能够提供用户推荐动作以抵御间谍软件的监视系统和最大程度减少系统意外中断。
3.2工作原理
在使用计算机的同时运行反间谍软件非常重要。间谍软件和其他可能不需要的软件会在您连接到 Internet 时尝试自行安装到计算机上。如果使用 CD、DVD 或其他可移动介质安装程序,它也会感染计算机。可能不需要的或恶意软件并非仅在安装后才能运行,它还会被编程为随时运行。
Windows Defender 提供了三种途径来帮助阻止间谍软件和其他可能不需要的软件感染计算机。
- 实时保护。当间谍软件或其他可能不需要的软件试图在计算机上自行安装或运行时,Windows Defender 会发出警报。如果程序试图更改重要的 Windows 设置,它也会发出警报。
- SpyNet 社区。 联机 Microsoft SpyNet 社区可帮助您查看其他人是如何响应未按风险分类的软件的。查看社区中其他成员是否允许使用此软件,能够帮助您选择是否允许此软件在计算机上运行。同样,如果加入社区,您的选择也将添加到社区分级以帮助其他人作出选择。
- 扫描选项。 使用 Windows Defender 可以扫描可能已安装到计算机上的间谍软件和其他可能不需要的软件,定期计划扫描,还可以自动删除扫描过程中检测到的任何恶意软件。
使用 Windows Defender 时,更新定义非常重要。定义是一些文件,它们就像一本不断更新的有关潜在软件威胁的百科全书。Windows Defender 使用这些定义来确定它所检测的软件是否为间谍软件或其他可能不需要的软件,然后发出警报提示您潜在风险。为了帮助您保持定义为最新,Windows Defender 与 Windows Update 一起运行,以便在发布新定义时自动进行安装。还可将 Windows Defender 设置为在扫描之前联机检查更新的定义。
微软会将软件进行分级,通过等级来判断是否为恶意软件,对于未分级的软件,用户可以把这类软件上报给微软,或者报告为恶意软件,或者允许微软收集大部分用户对此类软件的行为,以此来帮助监测软件的威胁性。
警报等级可帮助您选择如何响应间谍软件和可能不需要的软件。Windows Defender 将建议您删除间谍软件,而不是被检测为恶意或不需要的所有软件。此表中的信息可在 Windows Defender 检测到计算机中可能不需要的软件时帮助您决定如何处理。
|
警报级别 |
含义 |
如何操作 |
|
严重 |
范围广或异常的恶意程序,与病毒或蠕虫类似,会对您的隐私和计算机安全造成负面影响,并损害计算机。 |
立即删除此软件。 |
|
高 |
可能搜集个人信息并对您的隐私产生负面影响或损害计算机的程序,例如,通常在您未指示或未同意的情况下,搜集信息或更改设置。 |
立即删除此软件。 |
|
中 |
可能影响您的隐私或更改计算机对计算体验产生负面影响的程序,例如,搜集个人信息或更改设置。 |
复查警报详细信息,查看为何会检测到此软件。如果不喜欢软件的操作方式,或如果不了解和信任发行者,则考虑阻止或删除此软件。 |
|
低 |
可能不需要的软件会搜集有关您或计算机的信息,或更改计算机的运行方式,但它按照协议操作,安装时会显示许可条款。 |
除非此软件在您未指示的情况下安装,否则它通常会作为有益软件在计算机上运行。如果您不确定是否允许其运行,则复查警报详细信息或查看您是否了解和信任该软件的发行者。 |
|
未分类 |
除非在您未指示的情况下安装到计算机,否则通常为有益程序。 |
如果了解和信任此软件,则允许其运行。如果不了解该软件或发行者,则复查警报详细信息以确定如何操作。如果您是 SpyNet 社区的成员,请检查社区分级以查看其他用户是否信任该软件。 |
3.3特性
3.3.1扫描
通过扫描,Windows Defender可以找到隐藏在系统深处的恶意软件。
3.3.2工具和设置
3.3.2.1选项
3.3.2.1.1设置自动扫描
我们建议您在设置 Windows Defender时,将其计划为执行每日快速扫描。快速扫描将检查计算机中间谍软件以及其他可能有害的软件最可能感染的区域。如果想要 Windows Defender检查计算机上的所有文件和程序,请运行或计划完整扫描。
要增强计算机的安全性,如果扫描过程中检测到间谍软件以及其他可能有害的软件,您可以选择自动将其删除。
注意: 要完成这些步骤,您必须以管理员身份登录或者属于 Administrators 组的成员。
计划使用 Windows Defender进行扫描
|
1. |
|
2. |
|
3. |
|
4. |
|
5. |
3.3.2.1.2设置实时保护
当间谍软件或其他可能不需要的软件试图在计算机上安装或运行时,实时间谍软件保护会发出警报。根据警报等级,可以选择下列操作之一应用到软件:
- 忽略。允许软件在计算机上安装或运行。如果在下次扫描过程中此软件仍在运行,或此软件试图更改计算机上与安全相关的设置,则 Windows Defender 将再次发出有关此软件的警报。
- 隔离。Windows Defender 在隔离软件时,会将软件移动到计算机上的其他位置,然后在您选择恢复或删除此软件之前,阻止其运行。
- 删除。 将软件从计算机上永久删除。
- 始终允许。 将软件添加到 Windows Defender 允许列表以允许它在计算机上运行。Windows Defender 将停止警报此软件可能给您的隐私或计算机带来的风险。仅在信任该软件及其发行者时,才可将其添加到允许列表。
如果软件试图更改重要的 Windows 设置,也会发出警报。由于软件已在计算机上运行,因此可以选择下列操作之一:
- 许可。 允许软件更改计算机上与安全相关的设置。
- 拒绝。 阻止软件更改计算机上与安全相关的设置。
可以选择想要 Windows Defender 监视的软件和设置,但建议选中所有名为“代理”的实时保护选项。下表说明了每个代理及其重要性。
|
实时保护代理 |
用途 |
|
自动启动 |
监视在启动计算机时允许其自动运行的程序的列表。间谍软件和其他可能不需要的软件可设置为在 Windows 启动时自动运行。这样,它便能够在您未指示的情况下运行并搜集信息。还会使计算机启动或运行缓慢。 |
|
系统配置(设置) |
监视 Windows 中与安全相关的设置。间谍软件和其他可能不需要的软件会更改硬件和软件的安全设置,然后搜集可用于进一步破坏计算机安全性的信息。 |
|
Internet Explorer 加载项 |
监视在启动 Internet Explorer 时自动运行的程序。间谍软件和其他可能不需要的软件会伪装成 web 浏览器加载项并在您未指示的情况下运行。 |
|
Internet Explorer 配置(设置) |
监视浏览器安全设置是防御 Internet 上恶意内容的第一道防线。间谍软件和其他可能不需要的软件会在您未指示的情况下尝试更改这些设置。 |
|
Internet Explorer 下载 |
监视专门与 Internet Explorer 一起运行的文件和程序,比如 ActiveX 控件和软件安装程序。浏览器可以自行下载、安装或运行这些文件。间谍软件和其他可能不需要的软件会在您未指示的情况下包含在这些文件中并进行安装。 |
|
服务和驱动程序 |
当服务和驱动程序与 Windows 和程序进行交互时,监视它们。由于服务和驱动程序执行关键的计算机功能(如允许设备在计算机上运行),因此它们具有访问操作系统中重要软件的权限。间谍软件和其他可能不需要的软件会使用服务和驱动程序获取计算机的访问权限,并像运行正常的操作系统组件那样尝试运行未检测的组件。 |
|
执行应用程序 |
在运行时监视程序何时启动及其执行的所有操作。间谍软件和其他可能不需要的软件会在您未指示的情况下,利用已安装程序的漏洞运行恶意或不需要的软件。例如,间谍软件会在您启动常用程序时在后台自行运行。Windows Defender 可以监视程序并在检测到可疑活动时发出警报。 |
|
注册应用程序 |
监视操作系统中的工具和文件,此处程序可以随时注册运行,而不是仅在启动 Windows 或其他程序时才注册运行。间谍软件和其他可能不需要的软件会将程序注册为在不发出通知的情况下启动并运行,例如,在每天预定的时间运行。这样会允许程序在您未指示的情况下,搜集有关您或您的计算机的信息,或获取对操作系统中重要软件的访问权限。 |
|
Windows 加载项 |
监视 Windows 的加载项程序(也称为软件工具)。加载项专门增强安全、浏览、生产和多媒体等方面的计算体验。但是,加载项也会安装一些可以搜集有关您或您的联机活动的信息的程序,并通常会将敏感的个人信息暴露给广告商。 |
3.3.2.2Microsoft SpyNET
Windows Defender 可以检测已知的间谍软件和其他可能不需要的软件。这包括尚未进行风险分析的软件,以及该软件对计算机所进行的任何更改。通过加入联机 Microsoft SpyNet 社区,您将了解其他人对警告(有关尚未进行分析的软件)进行响应的方式。了解其他人的响应方式可以帮助您确定应该执行的操作。如果选择参与,则您对这些警告所执行的操作将被添加到社区分级以帮助他人。
间谍软件是不断发展的,因此 SpyNet 分级还会帮助 Microsoft 确定要调查的软件。例如,如果许多人都拒绝接受由尚未分类的软件所进行的更改,则 Microsoft 将分析该软件以确定其是否为间谍软件,并且如果需要,就更新 Windows Defender 定义。最新的定义有助于 Windows Defender 检测最新的间谍软件威胁,并阻止其感染计算机。即使 Windows Defender 不是间谍软件,如果它检测到某个软件正以恶意或不需要的方式运行时也会对您发出警告。
如果加入 Microsoft SpyNet,Windows Defender 将自动向 Microsoft 发送有关间谍软件、可能不需要的软件,及软件或由尚未进行风险分析的软件的更改的信息。还会向 Microsoft 报告应用于该软件的操作。
加入 Microsoft SpyNet 社区的步骤
1.
2.
3.
3.3.2.3隔离的项目
Windows Defender 在隔离软件时,会将软件移动到计算机上的其他位置,然后在您选择恢复或删除此软件之前,阻止其运行。
删除或还原隔离项目的步骤
1.
2.
3.
注意:请勿还原具有严重警报级别或高警报级别的软件,因为它会给您的隐私和计算机安全带来风险。
3.3.2.4允许的项目
如果信任 Windows Defender 检测到的软件,则可以阻止 Windows Defender 发出提示该软件可能会给您的隐私或计算机带来风险的警报。若要阻止警报,需要将软件添加到 Windows Defender 允许列表中。如果决定要稍后再监视该软件,则可以随时将其从 Windows Defender 允许列表中删除。
- 当 Windows Defender
再次对该软件发出警报时,单击“操作”菜单中“警报”对话框上的“始终允许”。
如果系统提示您输入管理员密码或进行确认,请键入密码或提供确认。
1.
2.
3.
注意:请勿允许具有严重警报级别或高警报级别的软件在计算机上运行,因为它会给您的隐私和计算机安全带来风险。
3.3.2.5软件资源管理器
Windows Defender中的软件资源管理器使您可以查看计算机上当前运行的软件的详细信息,该软件可能影响您的隐私或计算机的安全性。例如,您可以看到当您启动 Windows 时自动运行的程序,以及有关这些程序如何与重要的 Windows 程序和服务交互的信息。
|
" |
启动程序,这些程序在启动 Windows 时会自动运行,您有可能知道,也有可能不知道。 |
|
" |
当前运行的程序,这些程序在屏幕上或后台运行。 |
|
" |
联网程序,这些程序或进程可以连接到 Internet 或者家庭或办公室网络。 |
|
" |
Winsock 服务提供程序,这些程序执行 Windows 的低层网络和通信服务以及 Windows 上运行的程序。这些程序通常有权限访问计算机的重要区域。 |
更改程序在计算机上运行的方式(例如,阻止 Internet 或网络连接以及结束进程)可能导致 Windows 以及所使用的其他程序出现问题。仅当您确信某程序会导致问题时才应使用软件资源管理器来更改该程序在计算机上的运行方式。
注意: 您必须以管理员的身份登录或者属于管理员组的成员,才能使用某些软件资源管理器选项。
使用软件资源管理器查看计算机上运行的软件
|
" |
打开 Windows Defender。(单击“开始”,指向“所有程序”,然后单击“Windows Defender”。) |
|
" |
单击“工具”,然后单击“软件资源管理器”。 |
|
" |
在“类别”列表中,选择要监视的软件类型。 |
了解软件资源管理器详细信息
软件资源管理器显示程序的基本信息,例如,程序名称、发行商和版本。根据您选择的类别,有可能还可以看到下列重要信息。
|
种类 |
解释 |
|
自动启动 |
指示程序是否注册为在 Windows 启动时自动启动。 |
|
启动类型 |
将程序注册到 Windows 启动时自动启动的位置;例如,在注册表中或“所有用户启动文件夹”中。 |
|
随操作系统提供 |
指示程序是否是作为 Windows 安装的一部分安装的。 |
|
分类 |
指示是否已经就程序可能会给您的隐私或计算机的安全性带来的风险对程序进行分析。 |
|
数字签名方 |
指示软件是否带有签名,如果有,所列示的发行商是否已签名。如果未签名,我们建议您不要信任随软件提供的发行商信息,并且在选择是否相信软件本身之前应查看更多详细信息。 |
3.3.2.6Windows Defender 网站
Windows Defender网站可以帮助我们获得更多的相关安全工具和安全信息。
3.3.3报告
如果加入 Microsoft SpyNet 社区,且 Windows Defender 在计算机上检测到未分类风险的软件,则可能会要求您向 Microsoft SpyNet 发送一份该软件的示例以进行分析。收到提示后,Windows Defender 会显示能够帮助分析人员确定该软件是否为恶意软件的文件列表。可以选择发送列表中的部分文件或所有文件。
- 如果怀疑计算机上的某个文件或程序可能是间谍软件,可以将其发送到 Microsoft。完成联机向 Microsoft SpyNet 报告可疑软件的说明。
- 如果认为 Windows Defender 警报的软件不是恶意或不需要的软件,可以向 Microsoft 报告该问题,方法是填写 Microsoft 安全之家网站上的错误肯定报告表。
4.适用场景
企业
在企业环境中无可避免的是员工上网浏览和下载文件这样的操作,通过Windows Defender与Internet Explorer 7以及Windows Vista中UAC的功能可以最大程度保证员工在上网浏览和下载文件时的安全。
家庭
在家庭中,恶意软件是困扰用户的一个最为头疼的问题,我们可以通过Windows Defender,Internet Explorer 7和UAC共同配合来阻止恶意软件侵袭我们的系统。
喜欢
0
赠金笔