我最近注意到我的系统上的病毒数量有所增加。我们使用 CA eTrust 8.1 进行防病毒,并且所有用户都是“域用户”,因此不应有权在其计算机上安装任何软件。
在随机计算机审计中,我发现 eTrust 漏掉了 Malwarebytes Antimalware 中的恶意软件(实时扫描已开启)——它发现了我认为是不是因为似乎没有任何注册表编辑,所以没有安装。我猜想其中大部分都是来自浏览网站,因为它们似乎位于 IE.5 文件夹中。
我该怎么做才能进一步防止病毒入侵我的网络?eTrust 似乎缺少很多实时扫描功能,而且我并不完全相信所有 .exe 的安装都是被禁止的(我有几个用户自己安装了 Chrome)。
提前致谢。
答案1
我假设您的声明“所有用户都是“域用户””意味着您的用户没有使用本地管理员权限运行。如果他们使用本地管理员权限,那么请在执行其他操作之前修复该问题。
即使你的用户使用受限帐户运行,恶意软件也会伟大的今天运行有限用户权限的工作(比许多商业软件要好,令人沮丧)。就像软件限制策略是阻止此类威胁的最佳选择。这是一场军备竞赛,反恶意软件公司永远无法跟上。您需要阻止不受信任的可执行文件运行——就是这样。
当然,软件限制策略对于通过缓冲区/堆溢出等执行的代码没有太大帮助。修补您的操作系统和应用程序软件也是一件好事。
从网络流量中过滤 HTTP、电子邮件等(使用“周边扫描仪”等)以查找已知的可执行内容可能会有所帮助,但可执行文件在传输过程中可能会被掩盖,因此这不是一个万能的解决方案。用户在停车场拿起 USB 并将其插入计算机也不会被基于网络的扫描仪检测到。扫描网络流量只是纵深防御的一种。
答案2
基本上,有两个检测点可以检测渗透到您网络中的恶意软件和病毒...外围和桌面/服务器。听起来您似乎没有以任何方式保护外围。我会从那里开始研究可能的情况。一般来说,外围由某种类型的防病毒设备保护(思科、赛门铁克等)。
我可能还会放弃 CA,转而选择一些在捕获病毒方面具有“更好”声誉的东西。
希望您所说的“域用户”是指您的用户没有工作站的本地管理员权限?如果他们确实有本地管理员权限,您将需要剥夺他们的权限。
答案3
确保您的桌面已应用所有关键更新。大多数旧漏洞已被更新阻止。
虽然你可能已经为 CA 付费,但你没有义务使用它。至少我要补充一点微软安全必备到您当前的 AV 解决方案。