下面将逐步介绍McAfee VirusScan Enterprise 8.5i(最新的企业版本)的安装、使用、及规则设置。
一、安装
与其它软件的安装相似,双击安装包中的setup.exe可执行文件,一路下一步即可完成安装。其中有几点需要注意一下:
图1
如(图1)所示,在这里“许可期限类型”可以选择使用期限,点击右侧倒三角型按钮,可以从下拉列表中进行选择“一年、二年或者永久”。在“请选择购买和使用的国家或地区”的下拉列表中可以选择所在国家。
图2
可以选择典型安装或者自定义安装,典型安装默认进行所有功能组件的最大化安装。自宝义安装,可以选择安装相关的组件,如(图2)所示。两种安装方式都可以自定义安装目录。
图3
如(图3)所示,安装过程到这一步的时候,可以选择按访问保护的级别,标准保护或者最大保护。在这里推荐选择标准保护,在软件安装成功后,访问保护规则仍然可以自行定义和修改的。
图4
该软件安装完成后,不需要重新启动电脑,即能使用。这是我第一个次碰到安装完成无需重启是杀毒软件,觉得这真是一个进步。之前的8.0i版本安装完成后需要重启。如(图4)所示,显示的是“VirusScan Enterprise 8.5i”。
图5
推荐安装与之配套的Anti-Spyware Enterprise 8.5i 反间谍插件。安装过程比较简单,双击安装包中的setup.exe一路点击“下一步”即可完成安装。成功安装其反间谍插件后,查看软件相关信息界面,如(图5)所示,已经显示为“VirusScan Enterprise +Anti-Spyware Enterprise 8.5i”。
二、设置
Mcafee的最大特点就是可以设置规则来防病毒(包括未知病毒)。
图6
图7
右击Mcafee屏幕右下角图标,选择“VirusScan控制台(图6),打开mcafee的控制台(图7)。
1、访问保护
图8
右击“访问保护”,选择属性,打开访问保护属性对话框。如(图8)所示。从上至下共计八条。
⑴防间谍标准保护
规则里仅有一项内容,设置如(图8)所示,不建议勾选“阻止”和“报告”。其中“阻止”的意思就是对右边所定义的规则进行保护,“报告”的意思就是当有操作触犯了该规则的时候,进行记录到报告,以方便我们查询。如果启用了该规则,虽然保护了IE收藏夹和设置不被更改,但同时也造成了另一个问题:那就是在浏览器的收藏夹管理中将不可管理IE收藏夹(添加或者删除其中的网址)。当然,如果到IE收藏夹文件夹中进行操作,是可以删除收藏夹中的网址的,不过却无法添加新的网址。是为遗憾!曾使用编辑对其规则的排除进程进行添加操作,添加IEXPLORE.EXE,无法解决如上问题。因此不推荐启用该规则,同时使用傲游浏览器,其能够保护IE首页不被修改,在一定程度上保证IE的安全。
⑵防间谍最大保护、防病毒标准保护
图9
这两项中的所有规则建议全部启用阻止,并同时启用报告。注意:其中防间谍最大保护中的“禁止用有程序从Temp文件夹运行文件”(图9)可能会阻止一些正常程序的运行。
图10
例如,启用该阻止规则后,photoshop cs2不能启动运行,提示错误。这个时候,就会发现mcafee在系统栏的图标与之前相比,多了一层红色的背景。这种状态表示它是在提示,有操作触犯了规则。那么由此判断是由于mcafee的规则阻止了软件的正常运行。这个时候,我们可以右击mcafee图标,如(图10)所示。发现多出了一项“打开访问保护日志文件”(可与图6做个比较),选择它,打开访问保护日志可以看到如下内容:
“2006-12-27 16:14:01 1092 CHINA-BCB1B2709/chenjian D:/Program Files/Adobe/Adobe Photoshop CS2/Photoshop.exe G:/temp/Adobelm_Cleanup.0001 防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件”
依次是触犯规则的时间、系统用户、触犯规则的程序、触犯规则的程序试图何种操作、哪一个规则阻挡了程序。由此可以看出,是“防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件”这一规则阻挡了photoshop的正常运行。
图11
为了能够正常使用photoshop,我们可以编辑规则,对进程进行排除。首先选择“防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件”规则(图9),点击下面的编辑。在规则详细信息对话框中的“要排除的进程”中添加“photoshop.exe”如(图11)所示,确定返回访问保护属性并点击应用。至此排除进程设置完成。再运行photoshop一切正常。
提示:若其它的正常程序不能启动或者运行不正常,可参考上面的方法查看日志,在相应阻挡规则的进程排除项中给以排除即可。启用了哪一个阻挡规则,就应该启用对应的报告。这样的好处是在碰到问题的时候,方便查看和排除。若是不启用报告,就算有操作触犯了规则,也不会生成报告,那么就无法进行查看和准确的排除了。
⑶防病毒最大保护
图12
设置如(图12)所示,“保护缓存文件免受密码和电子邮件地址窃贼的攻击”这一规则,如果启用,可能会造成傲游浏览器等程序运行变慢,可以排除项中排除相关进程。
⑷防病毒爆发控制、通用标准保护
图13
这两项中的规则建议全部启用阻止。Mcafee具有自我保护功能,如(图13)所示,“禁止修改mcafee……”这三项即是。如果希望更改mcafee的设置,需要首先禁用这三项阻止规则,否则某些设置可能设置完成后无却无法保存,甚至无法卸载mcafee。
⑸通用最大保护
图14
该项中的规则设置如(图14)所示。“禁止程序注册为服务”规则,如果启用,需要在排除项中排除相关进程。相当部分的程序需要将自己注册为服务才能正常使用,我没有设置启用。“禁止HTTP通讯”规则,如果启用,同样需要在排除项中排除相关进程,否则,将不能进行浏览网页等很多网络操作。
最后一个用户自定义规则,是mcafee的高级设置,将在后面与mcafee的常用语法和通配符一同介绍。
2、缓冲区溢出保护
图15
建议开启保护模式。右击缓冲溢出保护,选择属性,打开属性设置对话框设置如(图15)所示。不建议安装两个杀毒软件,如果安装两个杀毒软件,造成冲突,在排除项中排除另外一个杀毒软件的程序名,可能可以解决问题。
3、电子邮件传递扫描程序
右击选择属性,可以进行相关设置。该项使用默认设置即可。
4、有害程序策略
图16
建议全部开启。我们还可以自定义检测项。如(图16)所示,选择“用户自定义检测项”选项卡,点击添加按钮。在弹出的用户自定义有害程序对话框中的文件名处,输入病毒或者是流氓软件的可执行程序名(例如:3721.exe),描述处添加描述即可。
5、按访问扫描程序
图17
这个就是mcafee的实时监控了。打开属性,选择常规设置“常规”选项卡,去掉“关机过程中扫描软盘”前的勾,其它设置保持默认即可,如(图17)。
图18
选择所有进程“检测项”选项卡,如果你的电脑不在局域网中,请去掉“在网络驱动器”前的勾,如(图18)所示。
图19
选择所有进程“高级”选项卡,可以去掉压缩文件栏里两个项目前的勾,如(图19)所示。因这里的设置的时实时监控,我认为没有必要启用这两项,同时可以节省些系统资源。我将在后面的按需扫描设置时再将之开启。
图20
选择所有进程“操作”选项卡,如(图20)所示。这里可以设置发现威胁时的主要操作和辅助操作(即发现威胁时的第一操作,及第一操作失效后执行的第二辅助操作)。“有害程序”选项卡设置同理。
6、隔离管理器策略
图21
右击隔离管理器策略,打开属性,选择“策略”选项卡,如(图21)。在这里点击浏览,可以自定义设置病毒隔离文件夹的路径以及被隔离多久的文件将被删除。
图22
选择“管理器”选项卡,可以对隔离器中选定的项目进行重新扫描、检查误报、删除、查看属性等操作。也可以一次选择多个项目。方法是首先选择一个,然后按住“CTRL”键再单击另外的项目。若是需要选择连续的多个项目,可以首先选择一个,然后按下“SHIFT”键不放,在最后一个项目上点击即可。
7、完全扫描、目标扫描
图23
这两项都属于按需扫描。打开完全扫描属性对话框,选择“位置”选项卡,如(图23)。这里可以设置需要扫描的位置。
图24
选择“检测”选项卡如(图24)。因这里是按需扫描,请勾选压缩文件下两个项目前的勾。
图25
“高级”选项卡设置如(图25)。在系统利用率那里可以拖动拉杆调节扫描时对系统资源的占用率,使其在扫描时不至于占用过多系统资源,导致其它程序运行变慢。
“操作”和“有害程序”这两个选项卡可以设置检测到威胁和有害程序时执行的主要操作和辅助操作。
图26
“报告”选项卡,如(图26)。勾选记录到文件,即是记录到报告日志。点击浏览,可以设置报告日志的保存位置。勾选记录到文件的同时,应勾选限制日志文件大小,并设置一个数值。如不勾选,那么日志文件的大小将是没有限制。随着记录的日志内容越来越多,这个日志文件将会越来越大。(目标扫描与按访问扫描中的报告设置,与它是完全一样的。)
图27
图28
按需扫描,我们是可以定制的。可以让它在我们设定的时间里执行扫描任务。如(图26),点击右侧的“计划”按钮,打开如(图27)对话框,勾选“启用”后点击“计划”选项卡,即可定制任务,如(图28)。
8、AutoUpdata
图29
图30
图31
这个就是mcafee的升级设置。右击AutoUpdata选择属性,打开升级对话框如(图29)。点击“立即更新”按钮,mcafee将马上更新。这与右击mcafee屏幕右下角图标,选择立即更新是一样的。点击“计划”按钮,勾选“启用”(如图30),再点击“计划”选项卡,从运行任务的下拉列表中,可以定制自动更新的时间(如图31)。
三、mcafee常用通配符及语法
1、? :表示单个的任意字符。例如,S??表示以S开头的三个字符。可以表示STX、SSY、SYS……而不能表示STMP、SU、SSSSS……
2、 * :当它做为通配符使用的时候,表示任意的多个字符。例如,ST*表示以ST开头的任意个字符。可以表示STMP、STK、STUUPO……S*.*表示以 S开头的所有文件。可以表示SETUP.EXE、SKY.REG、SYS.BMP……等等。同时它还具有另外一层含义,表示所有的操作(所有的进程)。
3、**/*/** :表示硬盘里的所有文件。
4、System:Remote :表示所有的远程操作控制。
5、** :表示在反斜杠(/)字符前后任意多个层级目录。例如,**/*.EXE表示本地所有的.EXE可执行文件,C:/WINDOWS/**表示C盘WINDOWS目录下的所有文件。
6、那么C:/WINDOWS/**与C:/WINDOWS/有什么区别呢?这里需要特别注意一下。C:/WINDOWS/**表示的是C盘WINDOWS目录下的所有文件,包括子文件夹中的文件。而C:/WINDOWS/仅表示C盘WINDOWS目录中的文件,并不包括子目录中的文件。仔细想想即可明白。
四、用户自定义规则设置
这里的设置就是mcafee的精髓之所在,设置得好,几乎能够做到百毒不侵。对系统的了解程度越高,就能够设置得越详细,安全程度也就越高。
(注:以上通配符、语法的含义需要大家深刻理解,在下面要说的用户自定义规则中非常有用。)