【大纪元9月17日讯】(大纪元记者陈常鹏编译报导)目前有越来越多的电脑安全工具采用新的策略来对抗恶意软件。它们舍弃了清除每一个病毒的方式,而是以限制恶意程式发挥致命作用为其最高方针,即使电脑已经中毒,也不会发生重大的危害。
据《PCworld》网站之报导,采取这种预防性策略的软件至少已有5个。名为Amust’s 1-Defender与 DropMyRights的程式是免费的软件,它们以限制软件(含恶意程式)对电脑进行重要变动的方式来达到保护。例如,防止程式改变非使用者控制的视窗登录码(Windows Registry)。虽然这是很基本的方式,但这些工具确实有很好的效果,特别是DropMyRights,它对任何程式均有效果。
效果更强的应用程式还有两种,即GreenBorder Pro及Fortres Grand的Virtual Sandbox。它们的策略是将互联网程式封在“砂箱(sandbox)”之中。在砂箱中执行的软件会被阻隔,使其无法进行系统层面的更改及接触个人性档案,如金融应用软件中的个人银行往来文件之类。
GreenBorder Pro目前只能在IE浏览器下执行,但火狐版也在规划中,促销价为美金30元,消费者可获得使用许可及一年的产品更新权。Virtual Sandbox的售价为美金50元,可与任何应用程与并用。它会对任何欲在您电脑上执行的程式予以把关,请求使用者的批准,因此其时常出现的警讯颇为扰人,而且它的设定较GreenBorder Pro为复杂。
若要更强的防护,可考虑免费的VMWare Player and Browser Appliance (VMWare播放与浏览器)。这个很有份量的下载程式中含有一火狐浏览器,系在一个完全虚拟的环境中执行,有如专门执行网络作业的另一台独立电脑。
以下再就各种防护措施进行详细的介绍。
缩减使用权限
对于使用者账户相关的防护,微软视窗系统很需要外援,来帮忙处理基本的安全问题。一般人为了方便多使用Windows管理者等级之账户(administrator account)身份来登入系统,但多不知该权限赋予了使用者变更登录码、安装软体及存取所有档案的完全处置权力。为提升安全性,使用者可改采以“限权使用者账户(limited user account)”亦称为“最低待遇级使用者账户(least-privileged user account, LUA)”来登入系统,此身份亦会跟随任何想渗透你的系统的恶意程式,因而可以将其危害的权力也降至最低。
然而,实务上几乎无人愿意如此做,因为以这种帐别来使用电脑会带来许多不便。诸如改变系统的时区或安装合法软体等平常的操作,视窗系统便不会悉听尊便,您必须登出后再以管理者身份登入才能达成。
为求便利,大部分的使用者不愿另设一账户,于是牺牲了安全性。恶意软件来自有毒的网站或带毒的邮件,经由系统或应用程式的漏洞渗透到电脑内部,也被赋予了全权处置的权力,登堂入室地把自己安置在系统目录下,便可任意地破坏防毒程式,电脑只能任其宰割了。相比之下,若病毒不被赋予特权,则如同被拔爪去牙的猛兽,成不了气候了。
◎ Amust’s 1-Defender便是此种限权的免费应用程式。去年12月发表后,今年4月已升级至2.0版。它可与微软IE、Outlook及Windows Messenger相容,安装简易。使用时,您可选择建立新的桌面及快速启动图块,以便将各种程式以非管理者的身份启动,即使您原本是以管理者来登入系统。在视窗的左上部分会出现一个提示画面(splash screen)及一个图块,表示您正在安全的互联网(SafeInternet)模式下操作。在这种模式下使用您的PC,您及任何的恶意程式都不能再对系统进行任何形式的安装,也不能对登录码进行危害性的变更。
从别的程式或档案中点选的连结将会使IE以安全模式启动。您可以按shift键再点选连结来避开这种启动方式,或直接点击旧图块来以管理者身份启动IE。其它的动作如开启档案或安装新的工具列等均保持不变。
◎ DropMyRights是另一种以限权身份启动应用程式的免费小软件。系由微软资深的安全程式经理霍华德(Michael Howard)所发展,约在2004年间问世,但微软并未将此软件推上市场。它可与任何程式并用,安装后您必须对欲应用此功能的软体一一进行设定与建立捷径。微软MSDN网站的Microsoft Security Developer Center网页中有详细的使用手册。
您若在另一个程式(如Word)中点选某个网页的连结,除非该程式已设定与DropMyRights并用,否则预设的浏览器会照常启动,但无安全防护。只能在安全模式下启动浏览器后,再复制与贴上该连结,才能安全的开启网页。
微软在新版视窗系统Vista中虽已准备规划一个“防护模式(protected mode)”,可使IE 7在非管理者的权限下执行。微软正尝试要将采用LUA身份登入所造成的困扰予以解除,但目前Vista 的beta版显示仍有须加强的努力空间。
隔离应用程式
◎ GreenBorder Pro未经您的许可前,会阻止任何企图以IE来开启档案的动作。GreenBorder Pro目前专为IE所设计,它比DropMyRights 或1-Defender更进一步,它创造了一个砂箱好让浏览器程式在其中运作。该软件可阻挡恶意程式企图写入系统资料夹及执行各种管理者权限之类的活动,并且断绝所有欲染指使用者档案的接触。
此外,它还提供了一个更高阶的防护—隐私区(Privacy Zone)模式,可防止外部接触到使用者的浏览历史记录及其它如线上金融活动相关的资料。在执行中,您可明显感觉到IE被设了一圈安全警界线。若IE中的工具列或任何东西试图开启一个档案,您可收到一个弹出视窗请求您的允准。在您未解除GreenBorder的防护前,所下载的可执行档皆不能执行。若您对下载的应用程式陌生或未知,可在批准前先研究一下它的来历,再决定是否安装。
浏览器中书签的增删皆不会受到GreenBorder砂箱的限制,但新的工具列或其它新增程式则会被阻挡。您必须以未防护的模式启动IE后,安装工具列才可使它成为永久可用。
GreenBorder的安装与执行皆很顺畅,火狐版本正在开发中。但其订购费用为每年30美元,可能会使消费者感到所得的防护差强人意。
◎ Fortres Grand所发展的Virtual Sandbox (虚拟砂箱)也建造了一个砂箱。当您安装该程式时,它便会扫描您的系统,并预设所有浏览器的执行皆在砂箱内完成。电子邮件照常运作,但在双击附件档案时便会启动砂箱。它亦可让您针对所需的程式来指定是否要在砂箱内执行。
由于Virtual Sandbox可与任何的程式相容,亦可阻挡新的应用程式之执行并请求使用者的允准,故它所提供的防护高于GreenBorder,故其索价不菲—50美元。美中不足之处是,目前该软件对于任何新的程式,不论是安装新程式、标准的视窗程式或该应用软件尚不认识的程式等,一律以弹出式视窗要求使用者判断;而且其组态设定的选单,并不让人容易了解。
◎ VMWare所发展的浏览器装置,系利用虚拟化技术实现了PC内架构另一台PC的设置,来将互联网恶意软件与视窗系统隔离。使用者若希望更加强的防护,但又不希望处理虚拟砂箱复杂的设定问题,则免费的VMWare播放与浏览器软件或可为不错的选择。
该软件的安装分成两个步骤,过程简单得令人感到意外。安装后,内建的火狐浏览器便可在完全独立的Linux作业系统下执行。故此程式颇具份量,大小约为300MB。使用该系统的上网作业完全与微软视窗作业系统脱离,即使恶意程式能突破火狐渗入Linux环境进行破坏,也不会伤及Windows分毫,而且要清理及复原这个受损的隔离作业系统,也变得很单纯。
该软件为上网冲浪活动提供强大的保护,但浏览器本身便消耗大量的硬碟资源,约300MB的记忆空间。此外,您必须为新的浏览器独自设定,您不能直接了当地将已储存的书签档汇入虚拟的播放器环境下使用。
以上所介绍的应用程式皆可让您在浏览网页及处理电邮时无后顾之忧,皆能使您电脑的安全性有效的提升。据互联网研究公司LURHQ资深安全研究员史都华 (Joe Stewart) 指出,就现况而言,修正管理者权限的弱点后,便可阻挡大部分的恶意程式码。除非真的需要如砂箱及虚拟化浏览器等高阶防护措施外,通常权限限制工具便可发挥良好的效用。
免费又有效的防护:DropMyRights
虽然其它的应用软件可提供较昂贵的安全防护,DropMyRights却提供了简易、免费而又有效的保护,以限制使用者权限的方式来阻挡恶意程式作怪,而且它还可以和任何的程式相容。
(http://www.dajiyuan.com)
