病毒、木马、恶意软件等等一直都在困扰着企业安全管理人员。道高一尺、魔高一丈，安全是一项斗智斗力的工作。如果管理员手头没有一款合适的管理工具，那么很可能其会上演“出师未捷身先死”的悲剧。长话短说，笔者这里就以微软的ForeFront为例，谈谈如何使用“软件资源管理器”让恶意软件在企业的系统中无处可藏。

　　一、软件资源管理器监控操作系统上的所有应用程序

　　软件资源管理器可以查看服务器或者工作站上当前在运行的软件以及可能会影响到计算机安全的软件的相关信息。具体界面如下图所示：

　　由于服务器上可能运行着很多软件，为了便于管理，在软件资源管理器中提供了“类别”的管理。如上图所示，总共包括四个类别，分别是启动程序、当前运行的程序、网络连接的程序和Winsock服务提供程序。顾名思义，启动程序就是指在启动Windows时所操作系统启动而自动启动的应用程序。如果管理的不好，启动程序往往是容易藏污纳垢的地方。有些恶意软件往往藏身其中。

　　当前运行的程序就是当前正在屏幕上或者后台中运行的程序。注意，有些程序可能是在后台运行，如FTP服务器等等。后台运行的程序也可以在这里显示出来。网络连接的程序是指那些连接到互联网或者企业局域网的程序和进程。Winsock服务提供程序是指那些为Windows或者在Windows平台上运行的程序执行级别比较低的网络和通信服务程序。

　　作为安全管理人员在使用ForeFront工具的时候，首先需要学会使用这个类别来简化管理。毕竟要一个个的去查看软件是否是恶意软件，会耗费比较多的时间与精力，划不来。大部分情况下，管理人员首先需要查询的就是“网络连接的程序”。因为如果只是在本机上操作，不涉及到互联网或者局域网，即使有恶意软件，其危害也不是很大。故与网络有连接的程序，是管理员监控的重点。

　　其次是需要主要Winsock服务提供程序。虽然这大部分是Windows自带的应用程序。但是因为这些程序通常可以访问操作系统的重要区域，如注册表、配置文件等等。当其一旦被非法使用，则危害性为很大。故在日常工作中，也需要时常查看这个类型的程序与进程，看看是否有比较可疑的软件。