Вопросы по ESET Smart Security
В этой теме обсуждаем все вопросы связанные с настройкой, багами и т.п. программы ESET Smart Security Eset Smart Security - первое знакомство
1. Вместо предисловия Вчера компания Eset объявила о выходе долгожданной версии пакета Eset Smart Security, а сокращённо – ESS. Событие это весьма значимое. Первые слухи о выходе этого пакета дошли до меня около года назад. Бета-версия, тогда ещё носившая название NOD32 3.0, была обещана на лето прошлого года. Но её так и не выпустили. При этом информации было всего ничего. Слухи доносили лишь, что NOD32 3.0 получит firewall (а по-немецки – брандмауэр) в наследство от Kerio. То есть на лицо интегрированный пакет. Так сказать, NOD Internet Security. Но либо оттого, что аббревиатура NIS уже занята, либо просто оттого, что в неординарности всегда своя романтика, Eset название пакета сменила. Причём так же тихо и незаметно. И спустя год, мы вдруг получаем её самую! Публичную бета-версию Eset Smart Security!
А между тем, времена нынче не простые. Про суматоху вокруг нового детища Microsoft писать много не буду, ибо это уже не оригинально. Но ясно одно: с выходом Windows Vista блок «инноваторов» в области персональных продуктов информационной безопасности был вежливо отброшен назад на несколько шагов. Различные технологии, над которыми корпели производители в течение последних лет, вдруг взяли и отказались работать. И вот, пока «инноваторы» корпят над попытками заставить свои технологии работать на новой платформе, Eset тихонько дебютирует со своим комплексным продуктом, разработка которого была окутана тайной и мраком. А Eset, между тем, сама «инноватор» хоть куда. И уж чего от неё точно не ждут, так это стандартной «прогаммки» с неактуальным функционалом.
В общем, выхода Eset Smart Security многие ждали, и ждали с большим интересом. Сегодня мы постараемся выяснить, насколько наши ожидания оправдались. Однако не забывайте, что мы говорим о первой публичной бета-версии. Не ждите от меня сравнения продуктов. В этой статье мы лишь обсудим концепции, заложенные в новом «младенце» от Eset.
2. Установка Меня несколько расстроило отсутствие возможности выбора компонентов в процессе установки. Продукт устанавливается всегда целиком. То есть обязательно будут установлены все пять компонентов защиты: файловый антивирус, почтовый антивирус, веб-антивирус, брандмауэр и анти-спам. Разумеется, ненужные компоненты можно отключить. Однако в этом случае будут «мозолить» глаза сообщения о том, что ваш компьютер не защищён как следует. К тому же, будут обязательно установлены сетевые драйверы Eset. Впрочем, этот недостаток может быть легко исправлен в будущем.
В остальном процесс установки не отличается от предыдущих продуктов Eset. Вместе с установкой пользователю предлагается также настроить основные параметры продукта. Имеется и опция довериться специалистам Eset (Typical Installation).
3. Интерфейс Интерфейс Eset Smart Security выполнен в стиле Windows Vista, что совершенно неудивительно. Смотрится, на мой взгляд, вполне приятно. Предусмотрено два режима: простой и продвинутый. В простом режиме доступны только базовые данные и функции: узнать, работает ли защита, обновиться, запустить сканирование, включить либо выключить какой-либо из пяти компонентов защиты (файловый антивирус, почтовый антивирус, веб-антивирус, брандмауэр, анти-спам) и активировать режимы «Блокировать всё» или «Пропускать всё» для брандмауэра. В продвинутом режиме становится доступной дополнительная статистика, отчёты, карантин, монитор сети и т.д.
Не могу сказать, что такой подход меня восхитил, хотя и вреда от него тоже никому не будет. Скорее всего, те, кто вообще открывает окно антивируса, будут постоянно работать в продвинутом режиме, а всем остальным режим вообще не важен.
Единственное замечание, возникшее у меня по интерфейсу, касается включения и выключения компонентов защиты. В Eset Smart Security этот функционал находится на закладке Setup в главном окне, в то время как статистика о работе компонентов находится на другой закладке, Protection Status. Я считаю, эти две закладки следовало бы объединить. Так же не хватает возможности полностью отключить защиту. Нужно по отдельности отключить каждый компонент, переключаясь между подгруппами закладки Setup. Нет и возможности полностью выгрузить программу.
Однако ещё раз повторюсь, что в целом интерфейс оставляет вполне приятное впечатление.
4. Антивирус Файловый антивирус По сравнению с предыдущей версией антивируса от Eset, в ESS немного изменилась политика проверки файлов. Теперь можно настроить антивирус таким образом, что новые и изменённые файлы будут сканироваться «глубже», чем все остальные. К примеру, по умолчанию продвинутый эвристический анализатор будет использован только для новых и изменённых файлов, а все остальные файлы будут проверены только обычной эвристикой. Проверка «упаковщиков» так же по умолчанию работает только для новых и изменённых файлов. Что из всего этого получается в результате? Если учесть уже известный по предыдущим версиям режим оптимизированного сканирования, при котором файлы сканируются только если с момента предыдущего сканирования они были изменены, либо были обновлены базы, то мы получим следующую модель проверки файлов по умолчанию в Eset Smart Security: новый файл проверяется «по полной» (с расширенной эвристикой и включая распаковку), затем после обновления баз (при условии что он не изменился) он перепроверяется уже менее тщательно (обычная эвристика и без распаковки), затем после его модификации он вновь перепроверяется «по полной» и так далее.
Проверка самораспаковывающихся архивов возможна только для новых и изменённых файлов. Проверка обычных архивов постоянной защитой не поддерживается. То же самое касается проверки альтернативных потоков NTFS. Всё это присутствует только при проверке по требованию.
По умолчанию ESS настроен «по западному стилю»: решение о том, что делать с обнаруженными вредоносными программами, принимается автоматически. Однако это поведение настраивается. Правда, я не сразу сообразил как. Дело в том, что настройка производится всего одним «ползунком», у которого три состояния. Как выяснилось, первое означает ручной режим, второе – полуавтоматический режим (по умолчанию), третье – автоматический.
Веб-антивирус Проверка HTTP-трафика знакома нам уже по предыдущим версиям продукта, и внешних изменений в ней практически не замечено. Проверяется HTTP-трафик, по заданным портам.
ESS не способен проверять защищённый трафик. Также не совсем ясно, как обстоят дела с проверкой сценариев в браузере. Под рукой не оказалось ничего для тестов.
Имеется возможность создать «чёрный» список адресов, доступ к которым будет блокироваться. В купе с возможностью защитить настройки паролем, мы получаем простейший модуль родительского контроля. Конечно, немного импровизированный.
Почтовый антивирус Почтовый антивирус работает на двух уровнях. Во-первых, проверяется весь POP3-трафик. Во-вторых, специальное расширение (plug-in) для почтового клиента занимается проверкой почты уже по приходу в ящик. Второй уровень обеспечивает независимость от протокола и способен проверять, в том числе, и почту, передаваемую в зашифрованном виде – она будет проверена уже после её расшифровки почтовым клиентом. В текущей реализации имеется поддержка только почтовых клиентов Microsoft – Outlook и Outlook Express.
Дополнительно имеется возможность конвертирования всей корреспонденции в формат plain text – дополнительная мера безопасности.
Проверка макросов Увы и ах, старого доброго DMON почему-то в Eset Smart Security не обнаружилось. Либо макросы теперь проверяются незаметно, либо… вообще не проверяются.
Поведенческий анализ и контроль процессов
Точнее было бы назвать раздел «Отсутствие поведенческого анализа и контроля процессов». Как это ни печально, но никаких намёков ни на то, ни на другое мною замечено не было. Это означает, что по-прежнему отсутствует контроль записи в автозапуск, по-прежнему не ловятся попытки внедрения в другие процессы и так далее. То же самое касательно более «параноидальных» средств контроля (контроль запуска неизвестных приложений, загрузка новых библиотек и т.п.) – этого нет. А это означает, что борьба с новыми вирусами по-прежнему возлагается только на эвристику. Не стоит забывать, разумеется, что эвристика у Eset замечательная. Однако жаль, что ещё одного шага вперёд в этом отношении сделано не было.
Почему жаль, если есть такая замечательная эвристика? А потому, что отныне ESS – это ещё и брандмауэр, а значит, теперь на него возлагается дополнительная ответственность. И хотя я пишу это в главе про антивирус, больше всего поведенческого анализа будет не хватать как раз брандмауэру. В следующей главе мы увидим, как слабо противостоит Eset Smart Security leak-тестам. И виной тому именно отсутствие поведенческого анализа, так как на сегодняшний день он стал обязательным атрибутом персонального брандмауэра, хотим мы того или не хотим.
Справедливости ради не могу не отметить, что мы стоим на пороге плавного, но верного перехода на Windows Vista. Как известно, поведенческий анализ под этой ОС заметно затруднился, что привело к тому, что существующие решения не были легко портированы на новую платформу. На сегодняшний день в области поведенческих анализаторов под Windows Vista наблюдается дефицит, и это ещё мягко сказано – полноценных решений попросту нет. Так что конкуренция, можно сказать, в самом разгаре. Одним нужно вернуть потерянное, а вторым – его реализовать. Хотя не уверен, что это входит в планы вторых.
Защита от «руткитов» Модуль защиты от «руткитов» носит название Anti-Stealth и уже знаком нам по предыдущей версии антивируса от Eset – NOD32 2.7.
Сканирование «в фоне» Теперь сканирование по требованию может проводиться в фоновом режиме, значительно экономя ресурсы компьютера. Это может оказаться удобным тем, кто продолжает работу за компьютером во время сканирования.
Обновления По умолчанию Eset Smart Security совершает попытку обновиться каждый час. Обновление настраивается посредством встроенного планировщика задач. Стоит отметить несколько интересных возможностей, которые предоставляет нам планировщик: можно настроить обновление после установки DialUp-соединения или после входа в учётную запись. Также ESS «умеет» проверять объекты автозапуска после каждой загрузки компьютера либо после каждого обновления – опять-таки посредством встроенного планировщика.
Заключение Антивирус не перетерпел каких-либо значительных внешних изменений по сравнению с предыдущей версией. Если же «внутри» ядро всё-таки усовершенствовали, то нам остаётся только дожидаться результатов тестов. Впрочем, даже если и нет, он уже успел заработать себе немало поклонников.
5. Антиспам Встроенный в Eset Smart Security модуль защиты от спама реализован, как водится, в виде модуля расширения (plug-in) для почтового клиента. Фильтрация комбинирует в себе три техники: обучающаяся фильтрация по алгоритму Байеса, регулярно обновляемые сигнатуры, а также правила, определённые пользователем. В текущей реализации, однако, последняя техника представлена лишь «чёрным» и «белым» списками адресов.
Как и в случае с почтовым антивирусом, пока поддерживаются только почтовые клиенты Microsoft – Outlook и Outlook Express. Eset Smart Security добавляет в них свою панель инструментов, позволяющую вручную классифицировать корреспонденцию, а также редактировать «белый» и «чёрный» списки адресов. Последнее необходимо, например, для начального обучения фильтра. Чем большее количество писем будет классифицировано пользователем, тем «умнее» будет автоматический фильтр.
6. Персональный firewall Персональный firewall, он же брандмауэр, для Eset является дебютом. Сначала говорилось о том, что это будет просто Kerio. Потом говорилось, что брандмауэр у Eset будет свой собственный. До конца не ясно, но это и не принципиально. Итак, брандмауэр есть, и это главное.
В Eset Smart Security предусмотрено три режима работы встроенного брандмауэра.
Автоматический режим (Automatic mode) В этом режиме разрешается любое стандартное исходящее соединение, но любое входящее – блокируется. Именно этот режим рекомендуется большинству пользователей. Подчеркну, что он не является реализацией принципа «Разрешено всё, что не запрещено»: создание правил в этом режиме вообще невозможно, а созданные ранее правила полностью игнорируются. Мне не очень понятно, в чём преимущество такого режима перед встроенным брандмауэром Windows Vista.
Интерактивный режим (Interactive mode) 
Этот режим – это режима обучения. Соединения разрешаются и запрещаются на основе таблицы правил. В случае если подходящего правила не обнаружено, решение перекладывается на пользователя, который может разрешить или запретить соединение в одноразовом порядке, либо создать постоянное правило. Существует так же удобная возможность создать правило только до конца жизни процесса. Понравилось и то, что по умолчанию создаваемое правило разрешает приложению полную сетевую активность. Хотя создание правил для конкретных адресов, портов и протоколов безопаснее, зачастую такой подход требует от пользователя слишком большого терпения. Разумеется, если пользователь таким терпением обладает, то соответствующие опции имеются.
Режим политик (Policy-based mode) В этом режиме соединения также разрешаются и запрещаются на основе таблицы правил, но в случае если подходящего правила не обнаружено, соединение автоматически запрещается. Режим является реализацией принципа «Запрещено всё, что не разрешено». Логичным будет переключение в этот режим после достаточного обучения брандмауэра.
Правила Все правила в Eset Smart Security сгруппированы в одной таблице. Правило может быть привязано к конкретному приложению либо (если таковое не указано) действительно для всех приложений. Что касается интерфейса, то в Eset Smart Security существует два режима просмотра таблицы правил: с группировкой по приложению и без. При просмотре с группировкой правила, действительные для всех приложений, показаны не будут. Часть правил в ESS предопределено заранее и не подлежит изменению.
В описании правил Eset Smart Security указывает назначение известных портов. Так, рядом с портом 80 будет написано http, рядом с портом 88 – Kerberos и т.д. Это показалось мне удобным. К примеру, я не помнил, что порт 88 – это именно Kerberos. Редактируя правило, вы также можете выбрать порт из списка, по его назначению, вместо того, чтобы вводить номер вручную. В правилах возможно указание как IPv4-адресов, так и IPv6-адресов. Для каждого правила указывается время его создания и создавший его пользователь.
Зоны Зоны в Eset Smart Security – это определённые пользователем группы адресов, с возможностью настройки правил для конкретных зон. Так, при создании правила можно указать не только отдельные адреса, но и целые зоны. Можно создать любое количество зон. Одна зона выделяется среди других – это «Доверенная зона». Специальное предустановленное правило разрешает ICMP и NETBIOS внутри этой зоны. Другими словами, «Доверенная зона» - это ваша доверенная локальная сеть, внутри которой вас (а также ваши общие файлы, папки и принтеры) видно. ESS способен автоматически определить доверенную зону, хотя возможно и ручное редактирование.
Система IDS Как подобает уважающему себя брандмауэру, Eset Smart Security содержит систему предотвращения вторжений – IDS. Окно настроек IDS позволяет выбрать типы атак, которые требуется детектировать. По умолчанию все атаки отмечены.
Возможность блокировки атакующего компьютера в Eset Smart Security отсутствует.
Контроль модификации исполнимых файлов Eset Smart Security следит за модификацией исполнимых файлов, которым был разрешён доступ в сеть. В случае модификации пользователь получает довольно тревожное предупреждение красного цвета.
Мониторинг сети Все текущие установленные соединения представлены в специальной таблице, сгруппированной по процессу, установившему соединение. Помимо параметров соединения, в этой таблице можно наблюдать суммарный входящий и исходящий трафик данного соединения, а также среднюю скорость передачи данных.
Дополнительные возможности Очень полезной мне показалась возможность записи в лог всех запрещённых соединений. При этом в лог записывается подробная информация о событии, включая название правила, «виновного» в запрете.
Противостояние leak-тестам Я, как мог, оттягивал этот момент, но рано или поздно это должно было случиться. Leak-тесты. Следующие тесты были запущены при работающем ESS на Windows Vista: DNS Tester, Ghost, Leak Test 1.2, PC Audit 6.3, PC Flank, Too Leaky, Thermite, Wall Breaker. Из перечисленных тестов только Leak Test 1.2 был успешно пройден и Thermite был пойман эвристикой с вердиктом “NewHeur_PE virus”. Все остальные тесты были провалены. К сожалению, Eset Smart Security слабо противостоит скрытой отсылке данных. Будут ли предприняты попытки решить эту проблему – покажет время. Очень надеюсь, что да. Судя по опыту конкурентов, без поведенческого анализа здесь не обойтись.
Заключение Со встроенным брандмауэром в Eset Smart Security вышла очень обидная история. С одной стороны, он произвёл на меня очень приятное впечатление. Он отличается гибкостью и большим количеством весьма приятных мелочей. С другой стороны, поведенческий анализатор настолько тесно связан сегодня с брандмауэром, что его отсутствие в ESS неумолимо портит картину. Другими словами, мы имеем дело с замечательным брандмауэром в классическом значении этого термина и с очень слабым решением в современном значении. Что не может не расстраивать.
7. Администрирование Удалённое администрирование ESS может управляться удалённо. Достаточно указать адрес сервера удалённого администрирования и, разумеется, настроить сам сервер. У меня не было возможности проверить этот функционал на практике, но в теории звучит заманчиво.
Отчёты Система отчётов в Eset Smart Security мне не понравилась. Говоря точнее, она попросту не особо изменилась. Отчёты по-прежнему представляют собой большую свалку записей. Существует четыре отдельных журнала: журнал обнаруженных «вредителей», журнал событий, журнал брандмауэра и журнал сканирования по требованию. В последнем двойной щелчок по записи открывает подробный отчёт соответствующего сканирования. Какая-либо дальнейшая группировка отсутствует. Так же очень не хватает функции поиска в отчётах.
ESS умеет посылать уведомления администратору по электронной почте. Так же имеется возможность отсылки уведомлений по локальной сети посредством сервиса Messenger, однако лично мне такая идея не симпатична. Сохранять записи в системный журнал событий (Event Viewer) Eset Smart Security не умеет.
8. Прочее Самозащита Самозащита в Eset Smart Security реализована тем же методом, что и в предыдущей версии – если сервисный процесс умирает, он автоматически перезапускается. К сожалению, настоящей самозащитой это назвать сложно, так как способ обхода подобной защиты крайне прост. Тем не менее, не будем забывать, что под Windows Vista для обхода этой защиты всё же придётся спросить у пользователя разрешения поднятия привилегий (либо обмануть User Account Control, что тоже возможно, но уже не так тривиально).
Как и в предыдущей версии, можно безнаказанно удалять все файлы Eset Smart Security и все его ключи в реестре, а также удалять его из автозапуска. Опять-таки, всё это при условии, что пользователь разрешил поднять привилегии, либо мы обманули User Account Control.
Управление настройками Существует возможность экспорта настроек в файл в формате XML. Так же существует возможность защиты настроек паролем.
Дополнительные компоненты Модные ныне компоненты, такие как блокировщик рекламы и всплывающих окон, анти-фишинг, родительский контроль, хранилище персональных данных и т.п. в ESS включены не были. Впрочем, лично я это недостатком не считаю. Все эти компоненты кроме двух последних доступны в современных браузерах. А без двух последних большинство пользователей вполне способно обойтись. В конце концов, на рынке существует достаточно специализированных решений для этого.
20.01.2009 - 22:06
