Обзор Anti-Executable - проактивная защита на основе «белого списка»

Традиционный антивирус с собственной базой сигнатур сверяет файлы с образцами в базе. Поведенческий анализ определяет вредоносные программы по характерным следам и активности. Anti-Executable использует гораздо более простое решение. Любая программа при отсутствии в белом списке не может быть запущена и точка! 5 версия приложения значительно упрощает взаимодействие с пользователем, но имеет несколько неординарных решений.

Давайте будем мыслить абстрактно и проведем аналогию антивируса со службой безопасности на входе в модный ночной клуб. Bitdefender Antivirus Plus 2014 защищает традиционным способом с помощью базы вирусных сигнатур – это все ровно что охранник со списком нежелательных гостей, которым запрещен вход в клуб. Технология SONAR, встроенная в Norton Antivirus 2013 и использующая эвристический анализ будет словно фейс-контроль, способный отличить респектабельных персон от основной толпы. Что же касается Anti-Executable, то это просто строгий охранник, который постоянно рычит: «Вас нет в списке».

Faronics также предлагает специализированную версию программы для серверов. Есть также специальная версия, разработанная исключительно для корпоративных пользователей. Но в основе всех версий лежит простой алгоритм блокирования всех программ, отсутствующих в списке.

Приступая к работе

Инсталляционный пакет Anti-Executable включает файл с документацией в формате .pdf. Comss.ru рекомендует ознакомиться с файлом справки до установки программы. Там прекрасно объясняется, зачем нужно задать пароль администратора, пароль доверенного пользователя и активировать опцию «Включать файлы DLL при создании списка».

Процесс установки претерпел изменения по сравнению с предыдущей версией. Раньше можно было выбирать, должен ли Anti-Executable сканировать систему для автоматического добавления программ в белый список. Отказ от первоначального сканирования позволял оставить белый список пустым, т.е. любая программа блокировалась. Текущая версия всегда выполняет первичное сканирование.

Изначально Anti-Executable предполагает, что в системе отсутствуют вредоносные программы. Первоначальное сканирование добавляет каждую программу в белый список, независимо от ее потенциальной опасности. Для максимальной защиты советуем сперва просканировать систему бесплатными специализированными утилитами, например: Malwarebytes Anti-Malware, Comodo Cleaning Essentials или Norton Power Eraser.

При включении в сканирование библиотек DLL можно защититься от вредоносного кода в специальных объектах, например браузерных плагинах, которые не запускается с .exe файла. Модно также включить сканирование файлов JAR, т.е. апплетов и приложений на Java. Теоретически, увеличение типов файлов должно сказаться на производительности, однако при тестировании никакой разницы не было замечено.

Список управления запуском программ

Предыдущие версии содержали белый список и черный список, в новом Anti-Executable вместо этого появился единый список управления запуском. Как уже отмечалось, приложение автоматически добавляет в белый список все исполняемые файлы, которые она находит при сканировании. Пользователь в любой момент может просмотреть список и добавить специфическую программу в случае необходимости. Не уверены в безопасности файла? Прямо из окна списка можно запустить поиск Google или найти программу в базе данных Faronics.

При добавлении DLL файлов в сканирование, нужно обновить список. В противном случае, при запуске надежного исполняемого файла будут выведено несколько десятков сообщений о заблокированных DLL библиотеках, используемых этой программой. Просто нажмите кнопку «Добавить», выберите соответствующие диски и запустите сканирование. Пользователь может сканировать отдельные папки, разрешать и блокировать все найденные объекты в папке или в этой папке и во всех вложенных диреториях.

Можно пометить любой исполняемый файл в списке как надежный. Это означает, что данная программа может запускать другие исполняемые файлы, даже отсутствующие в белом списке. Данная опция может быть опасной. Изменяйте статус программ на надежные, только если вы действительно знаете, что делаете.

Можно добавлять файлы в белый список в зависимости от издателя. Просто выберите опцию «Показать издателя» и запустите сканирование. Favronics успешно разблокирует программу издателя, только если она не была заблокирована вручную пользователем. Эта версия также предоставляет точный контроль над процедурой внесения программ в белый список на основе издателя. Чаще всего, пользователи добавляют в белый список все файлы, подписанные конкретным издателем. Теперь вносить в список можно по категории имени продукта, имени файла и даже по специфическим версиям файла. Для домашних пользователей эта опция не очень популярная, самая большая востребованность определенно у корпоративных пользователей.

Типы пользователей

По умолчанию учетная запись, с которой выполняется установка Anti-Executable используется в качестве аккаунта администратора и имеет доступ ко всем настройкам программы. Среди доступных параметров: редактирование списка управления запуском, настройка аккаунтов других пользователей и контроль доступа в режим временного выполнения.

Когда вы используете другой аккаунт доверенного пользователя, вы по-прежнему можете редактировать список, разрешать и блокировать запуск отдельных программ, но выполнение серьезных изменений в конфигурации Anti-Executable невозможно. Вкладка с информацией о часто блокируемых программах доступна только администраторам и доверенным пользователям.

Добавление других аккаунтов может вызвать затруднение у среднестатистического пользователя, особенно если он не знаком с системной политикой «Выбор пользователей и групп». Нужно ввести название, потом пройти проверку на правильность, а затем появляется довольно массивное окно с расширенными настройками.

Различия между доверенным пользователем и администратором заключается в одной из галочек в соответствующем поле. Anti-Executable не оповещает об отмене привилегий администратора. Единственным способом восстановить полный доступ к программе станет загрузка в учетной записи администратора Windows, поэтому будьте внимательны.

Anti-Executable  в действии

После установки программы в браузере Firefox было запущено обновление. После его завершения, когда браузер попытался запуститься, Anti-Executable вывел оповещение «Действие нарушает допустимую политику» («This action violates the acceptable use policy»)  с логотипом стилизованного охранника от Favronics. Выведенный диалог содержит кнопки «разрешить» и «отклонить» с флажком запоминания действия и записи в список управления.

Для того чтобы любой выбор вступил в силу нужно ввести пароль администратора. Firefox не является единичным исполняемым файлом, поэтому пароль пришлось вводить несколько раз для включения в список разрешенных файлов библиотек DLL (отслеживание файлов DLL было активно).

Доверенные пользователи имеют те же права для блокирования или разрешения запуска неизвестных программ. Другие пользователи не получают никакого выбора. Если программы нет в списке, она не будет работать. Для бизнес нужд может потребоваться изменение сообщения уведомления. Вы можете установить логотип своей компании и настроить сообщение, указав свои контактные данные, например.

Anti-Executable  очень эффективен в блокировании новых вредоносных программ. При тестировании не нашлось способа обойти блокировку программы. К сожалению, вредоносные программы, уже установленные в системе до Anti-Executable были занесены в белый список со всеми остальными приложениями.

Режимы работы

Администратор может перевести Anti-Executable в срытый режим работы (Stealth Mode) . Можно убрать иконку программы из системного трея и отключить уведомления. Обычный пользователь просто не сможет запустить несанкционированные программы. Администратор сможет открыть консоль управления с помощью секретной комбинации. Для бизнес целей нужно будет создать список управления на чистой системе, а затем экспортировать его на другие машины. Этот режим служит для ограничения запуска программ для сотрудников организации.

Режим временного выполнения (Temporary Execution Mode) позволяет запускать любую программу, которая не была заблокирована вручную администратором. Просто кликните по иконке программы в трее и задайте интервал нахождения в данном режиме. За три минуты до окончания выводится сообщение, поэтому можно продлить время в случае необходимости.

По умолчанию только администратор может запускать режим временного выполнения, но можно расширить эту опцию для доверенных пользователей и даже для пользователей. Имейте в виду, что если вы установите или обновите какую-либо программу в этом режиме, нужно будет запустить новое сканирование для ее добавления в белый список при переходе в обычный режим. Будем надеяться, что вы не установите троян при работе режима временного выполнения.

Режим обслуживания (Maintenance Mode) используется, когда вы делаете большие системные изменения, например обновление Windows или установка новых программ. Все исполняемые файлы при запуске в данном режиме добавляются в белый список, включая ошибочно запущенные вредоносные программы. Anti-Executable будет регулярно выводить оповещения об активности режима обслуживания.

Реализация переключения в режим обслуживания очень спорная. При переключении с режима обслуживания на обычный режим программа завершает добавление программ в список управления запуском. При переходе с режима обслуживание в режим отключенной защиты Anti-Executable отменяет все изменения в списке, т.е. все, что вы добавили во время работы режима не будет содержаться в белом списке.

Для работы требуются знания

Концепция Anti-Executable проста – блокируются все программы, если они отсутствуют в белом списке. Реализация этой идеи с различными типами пользователей и режимами работы не является очень простой. Это не самое лучшее решение для домашних ПК. Вы бы хотели каждый раз заходить через учетную запись администратора, кода дети устанавливают новую игру?

Самым главным применением Anti-Executable являются компьютеры для малого бизнеса. Программы на офисных компьютерах меняются не часто, и сотрудники не должны запускать любые программы. Безусловно, программа предотвращает запуск вредоносного ПО (как впрочем, и всех новых программ), поэтому стоит потратить необходимое время для ее настройки.

Обзор Anti-Executable: Оценка PC Magazine

Достоинства

- Предотвращает выполнение любого вредоносного ПО;
- Автоматически добавляет в список разрешенных программ установленные приложения;
- Может добавлять в белый список, основываясь на цифровой подписи издателя;
- Администратор может расширить ограниченный набор опции для конкретных пользователей;
- Может работать в скрытом режиме;
- Возможна индивидуальная настройка оповещений с пользовательским логотипом и текстом сообщения;
- Режим обслуживания позволяет выполнять важные системные изменения, например обновление Windows.

Недостатки

- Предотвращает выполнение некоторых надежных программ;
- Автоматически добавляет в белый список все установленные программы, включая вредоносные;
- Можно очень просто отключить права администратора;
- Странный интерфейс в режиме обслуживания.

Общая оценка

Anti-Executable блокирует выполнение любой программы, которая не содержится в белом списке. Приложение определенно предотвратит установку новых вредоносных программ,  до тех пор пока пользователь по ошибке самостоятельно не переопределит блокировку. Как бы то ни было, для обычного пользователя управление такой защитой может оказаться тяжким трудом.