病毒、木马、恶意软件等等一直都在困扰着企业安全管理人员。道高一尺、魔高一丈，安全是一项斗智斗力的工作。如果管理员手头没有一款合适的管理工具，那么很可能其会上演“出师未捷身先死”的悲剧。长话短说，笔者这里就以微软的ForeFront为例，谈谈如何使用“软件资源管理器”让恶意软件在企业的系统中无处可藏。

　　一、软件资源管理器监控操作系统上的所有应用程序

　　软件资源管理器可以查看服务器或者工作站上当前在运行的软件以及可能会影响到计算机安全的软件的相关信息。具体界面如下图所示：

　　由于服务器上可能运行着很多软件，为了便于管理，在软件资源管理器中提供了“类别”的管理。如上图所示，总共包括四个类别，分别是启动程序、当前运行的程序、网络连接的程序和Winsock服务提供程序。顾名思义，启动程序就是指在启动Windows时所操作系统启动而自动启动的应用程序。如果管理的不好，启动程序往往是容易藏污纳垢的地方。有些恶意软件往往藏身其中。

　　当前运行的程序就是当前正在屏幕上或者后台中运行的程序。注意，有些程序可能是在后台运行，如FTP服务器等等。后台运行的程序也可以在这里显示出来。网络连接的程序是指那些连接到互联网或者企业局域网的程序和进程。Winsock服务提供程序是指那些为Windows或者在Windows平台上运行的程序执行级别比较低的网络和通信服务程序。

　　作为安全管理人员在使用ForeFront工具的时候，首先需要学会使用这个类别来简化管理。毕竟要一个个的去查看软件是否是恶意软件，会耗费比较多的时间与精力，划不来。大部分情况下，管理人员首先需要查询的就是“网络连接的程序”。因为如果只是在本机上操作，不涉及到互联网或者局域网，即使有恶意软件，其危害也不是很大。故与网络有连接的程序，是管理员监控的重点。

　　其次是需要主要Winsock服务提供程序。虽然这大部分是Windows自带的应用程序。但是因为这些程序通常可以访问操作系统的重要区域，如注册表、配置文件等等。当其一旦被非法使用，则危害性为很大。故在日常工作中，也需要时常查看这个类型的程序与进程，看看是否有比较可疑的软件。

　　二、如何判断是否是恶意软件

　　如何判断当前系统中运行的或者已经安全的软件是恶意软件呢?

　　首先，管理员可以在系统的帮助下进行判断。如下图所示，在窗口中会有一个分类的字段。通常哈情况下，如果这个值是允许的，那么说明这个应用程序是得到微软官方认可的，可以放心使用。当然前提是这个应用程序没有被篡改过。不过这个分类系统有时候可能会发生误判。如果操作系统附带的某些程序(如IE浏览器或 Windows 资源管理器)可能被描述为“尚未分类”。这主要是因为Forefront Client Security 检测到附加软件(如浏览器加载项或其他软件实用程序)正在与该程序一起运行，其不能够判断这个加载项是否是安全的。此时也不能够说ForeFront系统误判，只能够说其比较谨慎。

　　在使用过程中，这有一个缺陷。如不能够根据分类的值进行排序。如果能够根据这个值排序，如将允许的(相对来说比较安全的应用程序)放置在下边，这能够便于管理员的操作。期待微软在后续的版本中能够对这个细节进行改进。

　　其次，根据应用程序的详细信息来判断软件是否是恶意软件。如上图所示，在ForeFront软件资源管理器中，左面是应用程序的列表，右边是应用程序的详细信息。通过查看详细信息，也可以判断软件是否是恶意软件。如有些恶意软件为了躲避管理员的观察，往往会在非上班时间安装或者将应用软件部署在一个不容易发现的角落。为此通过查看上图中的“安装日期”和“位置”，可以初步判断某个应用软件是否存在文件。有时候恶意软件会模仿操作系统自带的软件(如名字或者安装路径等等)。通过这个窗口可以进行对比，也可以让恶意软件无处藏身。

　　第三就要凭管理员的经验了。一位有经验的安全管理人员，看到软件的名字就可以判断这个软件是否属于恶意软件。他们能够从应用软件的各种细节中，找到可疑的地方。这种能力只能够靠管理员日积月累。只可意会、不可言传。

　　三、发现恶意软件如何处理

　　当发现某个应用软件可疑的时候，该如何处理呢?笔者的意见是除非你有特别的把握，否则的话最好进行二次确认。也就是说，可以先将有疑问的应用软件关闭掉。关闭后发现没有对其他的常规应用产生不利影响的话，再将这个软件删除。如下图所示：

　　当发现某个应用软件可疑、但是又不能够十分确定其就是恶意软件(特别是在服务器上部署了多项应用)，则最好先采取保险的操作，将可以的软件禁用掉，看看是否会产生不利的后果。等到确认不会对其他的应用产生负面影响之后，再将某个软件删除掉。

　　在使用这个删除和禁用操作的时候需要注意两点。一是这里的禁用并没有永久的效果。这里的禁用就相当于通过启动管理器或者注册表来配置。也就是说，在这个平台上将其禁用，如果是恶意软件的话，仍然可以通过其他手段，如在某个文件中插入恶意代码来更改某个应用软件的启动属性。为此当发现某个软件确实是恶意软件的话，仍然要将其及时的删除。禁用只是权宜之计。

　　二是需要注意，软件类别中选择的内容不同，可以采取的操作也是不同的。

　　如当用户选择的是“当前运行的程序”，则其可以选择的就是“任务管理器”和“结束进程”两个操作。名字不同，其最终的结果大同小异。一个基本的原则就是等到确认以后才能够删除。“杀一儆百”或者“宁可错杀一百、也不可放过一人”，在恶意软件管理上行不通。如果错杀，很有可能导致整个系统的奔溃。所以在恶意软件管理上，还是谨慎为妙。