Efter att ha läst en artikel i Computer Sweden om att Microsofts Antivirus fått bottenbetyg i en undersökning och en rad felaktiga uttalanden om produkten tyckte jag att det var bra att komma med lite ren fakta om vad Microsofts antimalware levererar.
Att Microsofts antivirus fått dåligt betyg i denna undersökning har jag svårt att uttala mig om, då jag inte satt mig in i exakt hur dessa tester har genomförts och det kommer hela tiden nya tester av antivirus med olika resultat, så beroende på vilka tester man tittar på är det alltid olika resultat men Microsoft brukar ligga i topp i de flesta tester jag har granskat. Där emot är det en del felaktiga uttalanden i denna artikel.
Det står bland att det saknas beteendedetektering och realtidsuppdatering via molntjänster för definitioner av ny skadlig kod.
Vad ingår då i Microsofts antivirus, först främst bör vi säga att det är ett antimalware då det är ett skydd mot fler typer av skadlig kod än bara virus, exempelvis spyware, trojaner, rootkits m.m.
Generics / Heruistics Scanning
Majoriteten av all skadlig kod idag identifieras med signaturer av skadlig kod, men något som bli allt vanligare är att försöka kringgå dessa med hjälp av att modifiera och kompilera om den skadliga koden.
Med hjälp av en teknik kallad Generic and Heuristics scanning identifieras nya varianter av ett befintligt malware. Microsofts antimalware kör en heuristic analys av ett malware och med en generisk detektion kan den detektera flera olika malwarevarianter med en och samma signatur.
Dynamiska uppdateringar
Det är alltid ett glapp mellan identifierad skadlig kod och tiden det tar att både utveckla, testa och sedan distribuera en signatur. Dynamic Signature Service, även kallat DSS är en tjänst i molnet som innehåller en mängd information om skadliga programvaror i form av filnamn, hash av filer samt signaturer som ännu inte paketerats och skickats ut.
Den här tjänsten kommunicerar klienterna med för att få mer information och kunna detektera mer skadlig kod.
Beteendebaserad detektion
Behavior Monitoring identifierar om en applikation eller tjänst beter sig suspekt. Med hjälp av ett gäng olika sensorer och triggerpunkter (bl.a. registerskrivningar, kernel modifikationer, nätverksaktivitet och nedladdningar) identifieras suspekt beteende och en förfrågan kan även skickas till DSS. Om det redan finns DSS information kring den aktuella händelsen kan en signatur laddas ner i realtid för att motverka detta malware.
Vulnerability Shielding
Network Inspection System, även kallat Vulnerability Shielding är ett skydd mot attacker som utnyttjar kända sårbarheter i Microsofts system.
När Microsoft offentliggör att det finns en sårbarhet i någon av deras system har de också levererat en säkerhetsuppdatering som skall täcka sårbarheten.
Däremot blir det oftast ett glapp där klienterna är oskyddade då alla tyvärr inte installerar Microsoftuppdateringar direkt när de släpps.
Från och med att Microsoft nu offentliggör en sårbarhet, släpper de också en NIS-signatur som känner av och blockerar nätverksattacker mot den specifika sårbarheten. Det här gör att glappet mellan identifierad sårbarhet och till dess att man har ett skydd mot sårbarheten minskar och på så sätt skyddar mot en så kallade zero-day attack.
Microsofts antimalware identifierar vilka säkerhetsuppdateringar som saknas på systemet och aktiverar då den NIS-signatur som behövs för att skydda klienten mot aktuell nätverksattack.
Network Inspection System bygger på något som kallas Windows Filtering Plattform, vilket kom först i Windows Vista. Den här funktionen stöds därmed inte på Windows XP. Den saknas även idag på Windows 8 och Windows Server 2012 av den anledningen att det idag inte finns någon känd sårbarhet som är möjlig via nätverket.
Anti-rootkit
Rootkit är skadlig kod som är svåra att både upptäcka och rensa bort när en maskin väl blivit smittad. Oftast agerar rootkit på en lägre nivå än vad ett normalt program så som ett antivirus kan agera på och därmed döljer sig på detta sätt.
Anti-rootkit funktionen i Microsofts antimalware bygger på en beprövad produkt tidigare kallad Komoku, numera uppköpt av Microsoft, som är världsledande i att identifiera och blockera rootkits.
Saknas övriga säkerhetsfunktioner?
Vad gäller lokal brandvägg, hårddiskkryptering och skydd för webbläsare då?
Flera av de större antivirus leverantörerna kommer också med olika övriga skydd som exempelvis lokal brandvägg till klienten som faktiskt saknas i Microsoft antivirus. Att det saknas beror helt enkelt på att detta är enbart en produkt för skydd mot skadlig kod. Övriga säkerhetsfunktioner finns redan inbyggda i Windows plattform. Brandväggen finns inbyggd i Windows, och hårddiskkryptering finns i de flesta Windowsversionerna och heter Bitlocker. Webbläsaren Internet Explorer är en av de säkraste webbläsarna tack vare att den har inbyggda säkerhetsfunktioner för att stoppa phishingförsök, skadlig kod och andra typ av hot för användaren vid surfning.
Användarvänligt och tar minimal prestanda av klienten
Vilka kan då skriva bäst antimalwaremotor mot Microsofts APIer? Självklart är det Microsoft själva som har försprånget här. Det här gör att de flesta nu inte ens märker att de har ett antimalware då det tar minimal prestanda av systemet. Det finns också en tanke med att inte notifiera användaren om allt som händer som lätt orsakar förvirring. Naturligtvis larmar företagsversionerna till en central plats när en klient är utsatt för en attack men så länge klienten är skyddad så informerades inte användaren. Det bara fungerar!
Så med andra ord, Microsofts antimalware är välbeprövat och innehåller minst lika mycket skydd mot skadlig kod som övriga på marknaden, om inte mer.
På microsoft.com/security kan du läsa mer om Microsofts antimalware och bland annat ladda hem Security Essentials eller Microsoft Safety Scanner.
För företag är det antingen Forefront Endpoint Protection 2010 eller senaste version System Center 2012 Endpoint Protection som gäller. Eller varför inte administera allt via molnet och Windows Intune Endpoint Protection? Mer information finns på forefrontbloggen.se/endpoint-protection
eller
Forefront Endpoint Protection på TechNet
System Center Endpoint Protection på TechNet
Windows Intune Endpoint Protection
IT-Säkerhetsguiden 