Microsoft Security Essentials

logo02

Autor: Ondřej Ševeček
MCM: Directory Services, MVP: Enterprise Security
blog: www.sevecek.com

Jsem nadšen! Microsoft nám uvolnil ke stažení první verzi antiviru a antispyware zadarmo! Jmenuje se Microsoft Security Essentials a můžete si to stáhnout na adrese https://www.microsoft.com/Security_Essentials.

home-page

Jedná se o odlehčenou verzi podnikového antimalware (tedy antivirus, antispyware apod.) řešení Forefront Client Security. Je určen pro použití koncových uživatelů, jako třeba domácích uživatelů. Odlehčenou verzí Client Security je proto, že sice používá jeho motor, ale neobsahuje některá podniková rozšíření. Domácí uživatelé nepotřebují centrální správu ani sledování, nepotřebují ani centrální testování bezpečnosti počítače jako je seznam sdílených adresářů a nebezpečných uživatelských účtů.

Tímto se tedy tento špičkový antivirový software dostává zdarma na libovolné počítače a zajistí vám stejnou úroveň bezpečí. Virové signatury jsou totiž společné pro všechny Microsoft produkty proti nežádoucímu software jako je dále například Forefront Server Security, ForeFront Client Security, Live OneCare (jehož distribuce skončila k 15.10.2009), Windows Defender nebo Malicious Software Removal Tool.

Pokud si chcete projít databází všech detekovaných škodlivých programů, můžete se podívat na portál jejich specializovaného detekčního centra Microsoft Malware Protection Center (MMPC, https://www.microsoft.com/security/portal/ ). Jsou zde vidět i různé statistiky ohledně počtů detekovaných virů a nasazení Security Essentials na různých podporovaných platformách (tzv. Security Intelligence Report).

To nejlepší co ale Security Essentials přináší je minimální zásah do systému, jeho výkonu a stability. Stejně jako Forefront Client Security, je i jeho mladší bráška plně podporován, plně testován se všemi aktualizacemi operačního systému, ještě před tím, než vyjdou. Jeho zásah do systému je minimální a používá jen podporované API, což na rozdíl od ostatních výrobců zajišťuje hladký běh a spolehlivý provoz. Ale o detailech až kousek dále. Uvidíte sami, že se jedná o velice lehké řešení bez zbytečných složitostí.

Rodokmen

Vzhledem k většímu množství různých řešení proti škodlivým programům, které Microsoft nabízí, bychom si měli Security Essentials poněkud zařadit. Takže jen rychlý přehled. Podstatné je, že všechny programy používají stejné definice generované oddělením MPPC (viz. výše). Některé ovšem stahují jen menší část.

MPPC obecně dělí definice na dva typy. Antivirus a antispyware. Je to stejné dělení, se kterým se k instalovaným programům chová známé Security Center (Centrum zabezpečení) nebo Action Center na Windows 7. Definice se vztahují na škodlivý software, tedy kód, který se ukládá v souborech na disku infikovaného počítače, otevírá se jako soubor ze sítě, nebo například v Exchange a Outlook databázích. Na základě toho se dá vytvořit jakási tabulka:

Produkt

Charakteristika

Definice

Malicious Software Removal Tool

zdarma pro Windows 2000 a novější

antispyware

jen malá podmnožina

Windows Defender

zdarma pro Windows XP a novější

antispyware

Security Essentials

zdarma pro Windows XP a novější

antispyware i antivirus

Live OneCare

placený antivirus, jemuž byla ukončena distribuce dne 15.10.2009

antispyware i antivirus

Forefront Client Security

placená podniková licence pro

Windows 2000 a novější

centrální správa a sledování

kontrola bezpečnostních parametrů podobně jako MBSA

antispyware i antivirus

Forefront Server Security

placená podniková licence pro

Exchange Server 2007 a novější

Office SharePoint Server 2007 a novější

antispyware i antivirus

Pozn.: Vzhledem k tomu, že Security Essentials je schopen chránit proti virům i spyware, v dalším textu nebudeme používat složitě (i když správně) termín „škodlivý software“, ale už jen pojem „virus“ a budeme Security Essentials nazývat „antivirovým“ programem.

Stažení a instalace

Stáhnout Security Essentials je možné online přímé z webu na adrese https://www.microsoft.com/Security_Essentials. Pokud máte zájem, můžete si zde vybrat i jinou jazykovou verzi, nebo jiný operační systém, než ten, ze kterého stahujete. V okamžiku psaní tohoto článku byla k dispozici jen anglická (a některé další) jazykové verze. Na češtině se ale pilně pracuje.

Antivirus je možno provozovat na Windows XP (jen 32bitové verze) a Windows Vista nebo Windows 7 (v obou případech i 64bitové verze). Jazykově je nezávislý na jazyku operačního systému, není tedy problém stáhnout si do českých Windows 7 klidně anglickou verzi software. Verze (přesněji podverze v1.0), která je k dispozici v okamžiku psaní článku je vidět na obrázku:

version-info

Celý balík, který musíte stáhnout má okolo 5 MB! To je nevídané! Po stažení, bleskové instalaci, při které musíte maximálně potvrdit licenční ujednání a nechat si ověřit pravost operačního systému, se ještě musí aktualizovat virové definice.

Instalace aplikace se provádí automaticky do adresáře (program je dostupný i v plně 64bitové verzi, takže adresář je stejný na obou typech operačního systému):

%SYSTEMDRIVE%\Program Files\Microsoft Security Essentials

Aktualizace virových definic

Aktualizace se stahují tedy buď ručně, automaticky těsně před naplánovaným skenováním počítače, nebo automaticky spolu s Windows (Microsoft) Update. Program má vlastní prostředí pro stahování aktualizací na vyžádání. Stačí otevřít ikonku vedle hodin a přepnout se na záložku Update.

update-page

Jinak se definice stahují normálně pomocí Windows (Microsoft) Update. Výhodou celého stahování je samozřejmě použití technologie BITS (Background Intelligent Transfer Service), který používá HTTP hlavičku Content-Range. Umožňuje tedy stahovat jen kousky aktualizací na pozadí, stejně jako je tomu v případě Windows (Microsoft) Update.

Prvotní aktualizace je poněkud větší, jedná se o přibližně 40 MB základních souborů definic vydaných v okamžiku vydání software samotného. Později se již stahují jen přírůstkové definice nových virů, které jsou výrazně menší.

Na obsah aktualizace se můžete podívat i sami do adresáře:

ve Windows Vista a novějších:
%ProgramData%\ Microsoft\Microsoft Antimalware\Definition Updates

ve Windows XP:
%AllUsersProfile%\Application Data\Microsoft\Microsoft Antimalware\Definition Updates

Obsah tohoto adresáře si můžete prohlédnout na obrázku. Všimněte si dvou typů souborů definic. Prvním jsou definice antivirové (mpAV soubory), druhým antispyware definice (mpAS soubory). Od každého typu zde naleznete soubor nazvaný BASE.VDM (základ) a DLTA.VDM (delta). Základní soubor je právě ten, který se musí stáhnout pouze jednou v okamžiku instalace programu, zatímco delta soubor přijímá postupně nové a nové definice a postupně roste.

definition-updates

Pokud by čistě náhodou došlo k nějaké chybě po instalaci nových definic (protože aktualizujete i jejich zpracovávající motor MPENGINE.DLL), můžete si obnovit jejich předchozí verzi pomocí programu (při aktualizace se vytvoří jednoduše jejich kopie do složky Backup ve stejném adresáři):

%ProgramFiles%\Microsoft Security Essentials\MPCMDRUN –RemoveDefinitions

Skenování počítače

Jakmile máte aktualizace, vrhněte se do prohlídky a trvalé ochrany stroje.

Pokud chcete, můžete provádět pravidelné skenování počítače. Je zřejmě vhodné to provést rovnou po instalaci, abyste se zbavili buď aktuálně běžících, nebo porůznu schovaných virů. Program má jinak samozřejmě (real-time) rezidentní ochranu proti pronikání virů (pokud je zapnut). Pravidelné skenování není tedy příliš nutné, protože virus se nedokáže na počítač ani nainstalovat, natož spustit.

K provedení ručního průzkumu počítače můžete použít záložku Home, tak jak je vidět úplně na začátku. Parametry skenování a zapnutí, nebo vypnut rezidentní ochrany, je možno nastavit na záložce Settings. To je asi nejlépe vidět přímo na obrázcích:

settings-page

real-time-protection-settings

advanced-settings

V obrázku jsou vidět výchozí nastavení, která říkají, že rezidentní ochrana (real-time protection) je zapnuta, pravidelně se skenuje jen jednou týdně v neděli v noci a při pravidelném skenu se nekontrolují výměnná média. Na obrázku je bublinka, která vyskočí, když se provádí naplánovaná úloha.

 scheduled-scan-notification

Výměnná média samozřejmě podléhají rezidentní ochraně, nemusíte se tedy bát, že by se vám přes ně do počítače šířili viry. Jde jen o to, že není možná úplně vhodné (například je to časově náročné) skenovat výměnné harddisky, na kterých máte zálohy, gigabajty fotek, filmů a podobných dat.

Pokud si necháte výchozí plán skenování, nebo i pokud ho libovolně změníte, změna se promítne v nastavení naplánovaných úloh operačního systému (používá opět program MPCMDRUN.EXE), jak můžete vidět na obrázku:

scheduled-scan

Jen pro pořádek. Naplánovaná úloha se vytváří jen v případě, že v nastavení máte zaškrtnutu volbu „Start the scheduled scan only when my computer is on but not in use“. Protože naplánovaná úloha má vlastní kontrolu stavu „Idle“ počítače. Pokud to vypnete a chcete sken spouštět za všech okolností, služba si to pohlídá sama a naplánovanou úlohu vůbec neuvidíte.

Rezidentní ochrana a detekce nákazy

Program samozřejmě obsahuje i dva rezidentní štíty ve formě ovladačů (typu filtr, soubor .SYS) v jádře operačního systému. Jedná se o filtrování dvou vstupních bran do počítače. Přístup k souborům na discích a výměnných médiích a přístup k souborům na síti přes sdílené soubory. Ovladače v jádře pouze zachytávají požadavky na přístup. Samotné testování na přítomnost nákazy provádí až nainstalovaná systémová služba (service) nazvaná Microsoft Antimalware Service. Běží pod účtem SYSTEM a její proces se jmenuje MSMPENG.EXE (je normálně instalován do adresáře Program Files s ostatními soubory aplikace).

Pokud se podíváte do instalačního adresáře programu, naleznete v podadresáři DRIVERS dva ovladače typu .SYS, jak je vidět na obrázcích (jen pro informaci, toto jsou ve skutečnosti jen instalační adresáře. Ovladače se spouštějí přímo z %WINDIR%\System32\DRIVERS):

mpfilter-sys-driver

mpnwmon-sys-driver

Prvním z nich MPFILTER.SYS (Microsoft On-Access Malware Protection Mini-Filter Driver), který je filter souborového systému. Pracuje v jádře těsně nad ovladačem souborového systému (například NTFS.SYS, FASTFAT.SYS, nebo CDFS.SYS apod.) a filtruje veškeré přístupy k místním souborům.

Druhý ovladač MPNWMON.SYS (Microsoft Network Monitor Malware Protection Driver) je filtrem nad síťovým rozhraním. Přesněji řečeno, používá tzv. Base Filtering Engine, tedy obecnou technologii pro filtrování paketů v jádře. Stejnou technologii využívá například i Windows Firewall. Tím je zajištěn naprosto nekonfliktní běh na všech typech síťových připojení, se kterými mívají občas jiné antiviry problémy.

Jakmile se libovolný proces (program) snaží nějaký soubor otevřít, ovladač tento pokus na chvíli zabrzdí. Následně řekne službě MSMPENG.EXE aby soubor zkontrolovala pomocí (.DLL) knihovny motoru a použila na to aktuální definice. Pokud je soubor v pořádku, služba sdělí ovladači, že může požadavek uvolnit.

V opačném případě ovladač přístup okamžitě zablokuje. Odmítne ho, jakoby šlo o neoprávněný přístup se stavovým kódem 5 (Access denied, přístup zamítnut), jak je vidět na obrázku:

alert-threat-detected-access-denied

Tento fakt se také projeví změnou zelené ikonky u hodin (Notification Area) ze zelené na červenou. Vyskočí na vás také varování ve formě bublinky a uživatel je vyzván, aby na hrozbu nějak zareagoval, ideálně tedy aplikoval výchozí akci typu odstranit, nebo přesunout do karantény:

require-attention-ok

require-attention

alert-threat-detected

alert-threat-detected-home-page

Služba Microsoft Antimalware Service musí samozřejmě běžet, jinak by testy nebylo možné provádět. Pokud z nějakého důvodu neběží, dozvíte se to pomocí podobné bubliny.

alert-service-not-running

Podívejme se nyní na detaily nalezeného viru. Pokud se jednalo o místní soubor, který byl objeven ovladačem MPFILTER.SYS, přístup k souboru je prostě zamítnut a v detailech hrozby je vidět přesná cesta k souboru, který tuto nepříjemnost způsobil:

alert-threat-detected-details

V případě souboru ze sítě je to poněkud zajímavější. Soubory ze sítě musí být nejprve zkopírovány na lokální počítač a teprve zde je skenován službou Microsoft Antimalware Service (MSMPENG.EXE). Přístup na soubor na síti je samozřejmě zakázán stejně jako v případě místního souboru, ale ke skenování se používá místní dočasný adresář s kopií. Umístění těchto dočasných souborů je vidět na obrázku detailního výpisu informací o viru:

alert-threat-detected-NETWORK-SMB-access

Jedná se opět o dočasnou složku umístěnou v adresáři Application Data, stejně jako tomu bylo v případě aktualizací definic.

ve Windows Vista a novějších:
%ProgramData%\ Microsoft\Microsoft Antimalware\Local Copy

ve Windows XP:
%AllUsersProfile%\Application Data\Microsoft\Microsoft Antimalware\Local Copy

Možná zde stojí za zmínku (a to se týká i aktualizací virových definic), že adresář Microsoft Antimalware je zabezpečen proti přístupu všech uživatelů kromě uživatele SYSTEM. Pod tím běží antivirová služba a ta jediná si může řídit aktualizace a i přistupovat k zavirovaným souborům v mezipaměti. Řešení je tedy dostatečně bezpečné proti útoku na definice apod.

Prohlížení historie, karantény a události v logu

Pokud je nalezen virus, program ho buď rovnou odstraní, nebo ho může jen přesunout do karantény. Karanténa se nachází opět v adresáři Application Data. Stejně jako v předchozích případech tedy:

ve Windows Vista a novějších:
%ProgramData%\ Microsoft\Microsoft Antimalware\Quarantine

ve Windows XP:
%AllUsersProfile%\Application Data\Microsoft\Microsoft Antimalware\Quarantine

Prohlížení karantény, nebo třeba jen historie nalezených infekcí a případně všech povolených virů je možné na tabulce History v hlavním okně antivirové aplikace. Je zde možné přepínat mezi těmito třemi seznamy virů. Pozor, volba All detected Items nezobrazuje položky obsažené v ostatních dvou seznamech. Její jméno může být tedy trošku matoucí:

history-page

Fakt, že byla nějaká nákaza odhalena je možno zjistit také ze systémového protokolu událostí (System Event Log). Hláška o nalezení nákazy je typu varování (Warning) a obsahuje dokonce více detailů, než detailní zobrazní hrozby pomocí aplikačního okna antiviru. Speciálně je zde vidět jméno procesu, který se snažil k zavirovanému souboru přistupovat:

alert-threat-detected-event-log

Jakmile uživatel vybere nějakou akci, která se má provést s dotčenou nákazou, systém zaloguje další událost. Tentokrát se jedná jen o informaci ale opět s dostatečnými informacemi pro pozdější řešení potíží:

event-log-action-applied

Zavádění v nouzovém režimu

Základním kriteriem hodnocení antiviru je pro mnohé otázka, zda se zavádí i v nouzovém režimu (Safe Mode), nebo jestli zaveden není. Je to velmi sporná otázka, protože nouzový režim slouží právě pro případy, kdy startujete počítač v okamžiku nějaké havárie. Někteří by raději, aby se antivirus nezaváděl.

Pro mnohé je ale podstatnější mít systém chráněn právě i v těchto případech, protože pokud si nastartujete například nouzový režim s přístupem k síti (Safe Mode with Networking), nemůžete si nikdy být jisti.

Jen pro zajímavost, jak se takový fakt pozná? Stačí se podívat na seznam všech služeb, které se zavádí v těchto dvou nouzových režimech, který najdete v registrech v cestě:

HKLM\System\CurrentControlSet\Control\SafeBoot
a najděte si podklíč MsMpSvc, který značí právě přítomnost služby antiviru.

A to je vše

Pokusili jsme se dnes ukázat, jak nádherně jednoduchá a průhledná je celá operace zbrusu nového Microsoft Security Essentials a doufáme, že si ho také zamilujete. Obzvláště pro svoji stabilitu a minimální systémové nároky. Program nabízí přesně to, co po něm požadujete. Ochranu před škodlivým software. Nesnaží se vám vnucovat žádnými dalšími serepetičkami, které by jen uživateli otravovaly život.