如何有效确保终端安全

McAfee Total Protection for Secure Business　　

　　包括 McAfee VirusScan Enterprise 8.7i在内， McAfee 将自己的产品按功能分为不同的功能包，企业用户只需要选择自己企业所需的部分即可。默认安装的反病毒程序并不包含任何防火墙或HIPS(主机入侵防御系统)功能，而这些功能都打包于单独的“主机入侵防御”产品中。为了配置这套产品，用户需要在其他系统上安装McAfee Agent以及 McAfee ePolicy Orchestrator (ePO)套装。比如，要在测试系统上配置防火墙规则，管理员需要登录服务器上的ePO web界面，选择该测试系统，再进行单独配置。

　　不同之处

　　和其它产品相比McAfee产品在与Windows系统内核嵌入深度方面有所不同。其它反病毒产品都是与SSDT挂钩，而McAfee则采用名为inline hooking 的技术。与前者相比，这种技术带来的结果是一样的，唯一的不同在于恶意的攻击者更加难以清除McAfee产品的内核。

　　扫描结果

　　在2297个样本中，McAfee仅漏掉了116个，这个成绩在全部评测产品中名列第一。

　　重新封装恶意软件测试

　　对于经过重新封装的恶意软件，McAfee的表现并不尽如人意，在27个样本中仅检测出了6个。 这可能是因为，虽然McAfee有庞大的病毒样本库，但是在启发式查毒和变异样本方面做得还不够完善。当然，这只是个人的猜测。

　　商业后门软件测试

　　McAfee是所有评测产品中唯一一个完全检测出 Metasploit 测试的产品，这让我们印象深刻。但是不幸的是，它在检测CANVAS文件时表现不佳。

　　在CANVAS攻击测试中， McAfee并没有发现我们加载病毒驱动的动作，而这会让整个系统的控制权落入攻击者之手，并进一步禁止任何反病毒软件正常工作。在向其他进程注入恶意代码时，McAfee能够及时发现并阻止我们的注入行为。

　　防火墙测试

　　在防火墙/包过滤的测试中，我们使用了ePO 中的“典型企业防火墙”配置策略。默认设置已经很好了，不过我们也发现McAfee有时候过于谨慎，所给出的建议是宁可让网络存在潜在风险，也要尽量保证诸如SMB以及NetBIOS网络功能正常。

　　(Credit: Securus Global)