防毒軟體的移除功能(上)
» Bookmark on del.icio.us前一陣子, 在公司內部的會議上, 業務部門有一位同事提到一個案例, 某間公司的 MIS 提到, 為什麼 NOD32 3.0 移除不用密碼? 結果他原本已經將全公司的 NOD32 2.7 升級到 3.0. 後來因為移除沒有密碼管制, 所以又將 3.0 移除, 再裝回 2.7. 而且這位 MIS 表示, 因為 3.0 的移除沒有密碼管制, 所以未來考慮改用其他的產品.
在開始切入正題之前, 我們先來看一下, 這位 MIS 所依賴的 NOD32 2.7 移除密碼是完全有效的管制嗎? 其實有心人真的想移除, 照樣可以移除, 例如: 我們公司額外提供給客戶的輕鬆部署程式, 就可以直接略過某些防毒軟體 (包括 NOD32) 的密碼管制. NOD32 2.7 的移除密碼真的可以略過嗎? 有影片有真相, 請看影片. 一開始, 直接進入新增/移除程式裡, 直接將 NOD32 2.7 移除, 此時確實跳出詢問密碼的畫面, 按確定之後, 又回到新增/移除視窗, NOD32 2.7 並未移除. 接下來我們執行桌面上的一個批次檔, 結果很快地, 不僅沒有詢問密碼, 而且 NOD32 已經移除完畢. 由此可見, 移除有沒有密碼管制, 有很大的差異嗎? 有 Google 大神在, 很多資訊並不是秘密. 重點是在 User 想不想 (或者敢不敢) 做.
回到正題, 確實陸續有些客戶都問到這個問題. 那既然 NOD32 3.0 沒有移除密碼, 怎麼辨呢? 我個人想了幾個可能的方法:
- 從公司管理的角度去做, 也就是用規定來管制 User 任意移除. (正常的企業總是有制度的, 對員工的行為應該有一定的拘束力, 不可能放任員工做出影響企業正常營運的行為.)
- 將新增/移除及程式集裡的移除捷徑拿掉. 當然, 這樣做, 有心人還是可以移除, 但從前面的例子可知, 就算設密碼, 還是照樣被移除. 腦筋動得快的人, 也許馬上聯想到, 總不能每一部裝完之後, 都手動去將移除捷徑拿掉吧?! 沒錯, 那很浪費時間, 所以我們的輕鬆部署程式可以直接做到這部分.
- 使用 Windows 本身的權限來控管, 讓平常 User 登入的帳號沒有權限可以移除. (如果企業內本來就有這樣的機制, 那就沒問題. 但如果僅是為了 NOD32 而做, 就得考慮值不值得.)
- 如果 Client 有登入 AD 的話, 從 AD 設定判斷 Client 是否存在某個條件 (檔案或Registry), 若未存在, 則自動再執行安裝程式. 這樣如果防毒軟體被移除了, 只要 Client 登入 AD, 防毒軟體便自動再裝回去.
好吧, 假設我採用了某個方法, 怎麼知道有沒有人偷偷將 NOD32 移除? 或者換個方式來看, 如何知道公司內哪些電腦尚未安裝 NOD32? 席克資訊提供一個工具, 可以掃描企業內是否有未安裝 NOD32 的電腦, 然後產生類似這樣的報表. 如果公司內有好幾個 Subnet, 這個工具一樣可以使用.
最後提出一個問題, 我們可以思考一下, 用防毒軟體移除是否有密碼來決定是否要不要用這個產品, 是否恰當?!
10月 20th, 2008 at 5:56 pm
Steven:
以 IT 從業人員的角度,應該要求Nod32原廠改善安全機制才對,因為It 人力都很吃緊,能自動化就自動化,制度的規範是很重要,但使用者不遵守IT又能奈何!難道IT 可以開除人員嗎?沒人會理的,但電腦中毒倒一定是IT要負責任.
其他AD 的設定等等方式,只能算是預防性質,總不然因為家中買了一個超堅固的保險櫃,就可以說大門不重要,對嗎?
所以我說請Nod32改善比較重要.
br
Leo
10月 20th, 2008 at 7:33 pm
ESET根本無需要改善,員工不想用,照樣有辦法移除(重灌,專業移除程式等…).
如果公司已經買好正版的防毒軟體授權,當員工自行移除而後來中毒,MIS大可以說是他自己的錯,胡搞瞎搞愛換防毒.
這好比有些防毒軟體要手動關閉時會要求輸入密碼,一樣可以從工作管理員或系統服務工具關閉相關機制.
此招只能防君子而已.不過對MIS來說,少一分考慮就是少一分麻煩.加入移除密碼的功能也是合情合理,但非必須的.
10月 21st, 2008 at 12:18 pm
本文想要表達的是, 用密碼管制是否能移除, 並不是絕對有效的方法, 真正關鍵是 User 想不想移除 (或破壞). 雖然文章中是以 NOD32 為範例, 但 OfficeScan 又何嘗不是如此呢? 這個影片證明, 有密碼管制的 OfficeScan 照樣可以移除. 有密碼管制也許是不錯的, 但沒有會是嚴重的瑕疵嗎?
這個世界是不完美的, 軟體也難免無法滿足所有人的需求. 但軟體是死的, 人是活的, 問題不見得只有一個解答吧! 我們永遠都會遇到各種問題, 但如何面對問題及解決問題, 就值得我們思考了.
10月 22nd, 2008 at 10:00 am
不好意思 我們家是用avg
其實我是覺得 可不可以讓使用者移除 要加密的問題~~~~
講講我的想法:
1.這跟系統管理的人,做事方式有關,如果使用者,根本不能安裝跟移除軟體,只能用而已,那這問題是不存在的
2.若真的就移除時要問密碼來看,那可能真的需要,因為,以我們公司來看,就是有24小時上線的電腦,
但是單機接測試機未連網,像這樣的環境就需要
不過,我覺得防毒軟體只是裝來,安慰自己的,其實作用不大,沒多久還不是要重灌(重點還是做好備份)
不想重灌的就叫他們用ubuntu吧!
用了avg後,真的發現比 趨勢好 比 版上談的這個好
10月 22nd, 2008 at 10:20 am
只要有心,人人都可以移除防毒軟體。XD,最壞的情況就是重灌成自己喜歡的環境…
當然,有能力做這種事情的員工,固然要自行負責。
簡單,MIS提列證據(未安裝防毒、私自移除、東搞西搞…),舉報給這位員工的主管,要殺要剮,都在你的手裡。
如果主管包庇(或他就是主管),再往上一級,副總,總經理,董事長(他們也不想被這種小事被你煩)…
你問我有沒有效果?灰熊有效阿!(缺點是你扮黑臉,人氣指數會下滑2%,舉報越大尾與%數成正比)…
反正問題全部都歸在”員工管理”上,自己找個最適用自己的公司的方法吧。
10月 22nd, 2008 at 11:02 am
補充說明, 產品的好壞會因人而異, 因為每個人看的點並不相同. 本文也沒有任何意圖要說明某個產品好, 或者某個產品不好. 但對於防毒軟體, 我們絕不認為是裝來安慰自己的, 不管是哪個品牌. 如果真是安慰自己, 為什麼要浪費時間安裝? 還要耗費系統的資源來執行防毒程式? 而且以病毒的角度來看, 我們也不認同採用重灌 Windows 的方法. 至少在我們協助客戶處理病毒的經驗上, 除非有極為特殊的狀況, 否則我們並不會告訴客戶重灌.
10月 23rd, 2008 at 10:52 am
其實,不管是哪一種防毒軟體,要針對移除程式這個部份加上安全密碼去提防使用者,都不會是很大的問題。
只是,密碼,這並不是一個很好的方法。因為,說難聽的話,這些防毒軟體公司大多都會加上一條「通用」移除密碼或是有其他的移除程式,因為這是為了自己公司工程師方便維護的緣故。另一個方法就是常見的強力移除程式,一是用影片中的批次檔移除,ㄧ是用其他坊間的直接移除方式(不使用軟體本身的移除,直接掃出電腦中的相關檔案並刪除)。治標的方法大家都會。治本的方法?只要電腦是人在用,就沒有治本的方法。
所以,對人,最好的方法還是人。就像上面的 黃文宣 所說的,提報是唯一可行辦法,用制度去管制。可以先用宣導,不要隨便移除防毒軟體,後過自負。自行移除又遭到病毒破壞的員工,提報以降低該員工考績來作懲處。可是你會變成公司的大黑臉。
本文中有提到的可行方案,有一個方式是我認為最可行的。就是使用「偵測 + AD網域」的方式。在公司的網路環境下,設定一定要加入網域才能夠對外連線及存取公司網路。雖然這也是治標,可是總比當黑臉好。(雖然這對NB是很麻煩的一件事)
防毒軟體不能夠幫你完美的擋下所有破壞,可是沒有防毒軟體,就好比你家是連個大門都沒有裝,讓人隨便進出(還可以住下來)。