坦率地说:是的,您仍然需要防病毒软件。Deep Freeze 不能替代防病毒软件,我们也从未声称过它能。
但我们理解为什么人们会问。Deep Freeze 重启时会清除恶意软件,对吧?如果勒索软件加密了您的硬盘,您只需重启一下,它就消失了,对吧?那您还需要什么呢?
这种困惑是可以理解的。而且说实话,Deep Freeze 确实提供了一种真正强大的保护形式——但它提供的保护与防病毒软件不同。它们解决的问题不同。它们在不同的时间工作。一个安全的环境需要两者兼备。
让我们详细分析一下 Deep Freeze 到底能防范什么,不能防范什么,以及如何构建一个真正有效的安全堆栈。
Deep Freeze 实际能防范什么
Deep Freeze 的核心价值主张很简单:对已冻结的系统所做的任何更改——包括恶意软件安装——都会在重启时被清除。系统会恢复到其基线状态,就好像什么都没发生过一样。
这使得 Deep Freeze 在应对几类威胁方面非常有效:
持久性恶意软件。大多数恶意软件试图建立持久性——它希望在重启后仍然存在,嵌入启动进程,并长期保持活跃。Deep Freeze 使持久性成为不可能。注册表更改、文件释放、修改的启动项、试图修改主引导记录的 rootkit——所有这些都会在机器重启时被清除。恶意软件根本无法在重启后生存。
勒索软件(有条件)。加密已冻结系统驱动器的勒索软件可以通过重启来解决——加密的文件仅存在于临时分配表中,该表会被丢弃。原始的、未加密的基线会重新出现。我们有客户在几秒钟内而不是几小时或几天内从勒索软件中恢复。
配置漂移和意外更改。无论是恶意软件更改系统设置,还是用户意外破坏了某些东西,Deep Freeze 都能确保机器恢复到其已知的良好状态。删除了系统文件?已恢复。更改了安全设置?已还原。安装了臃肿软件?已清除。
零日威胁(重启后)。这一点常常让人们感到惊讶:Deep Freeze 提供了一种零日保护。传统的防病毒软件依赖于签名或行为模式——如果它从未见过特定的威胁,它可能就无法捕获。Deep Freeze 不关心恶意软件是什么,也不关心它是否被见过。如果它更改了已冻结的系统,这些更改会在重启时被擦除。就是这样。
这是一种真实而有价值的保护。这就是为什么使用 Deep Freeze 的组织报告说恶意软件修复时间大大缩短,需要重新成像的机器更少。当“重启计算机”实际上能解决问题时,IT 工作会变得简单得多。
但请注意上面反复出现的短语:“重启时”。这是关键的限制。
Deep Freeze 不能防范什么
在这里,我们需要绝对清楚,即使这似乎是在反对我们自己的产品。我们不是——我们只是帮助您了解如何正确使用它。
Deep Freeze 在活动会话期间不保护您。
如果用户在上午 9 点下载了恶意软件,该恶意软件就会运行。它会执行。它会做任何恶意软件会做的事情——直到有人重启机器。这可能是上午 9:05(如果您有会话超时),或者可能是下午 5 点用户离开时,或者可能是第二天早上机器整夜开着。
在此期间,恶意软件是活跃的。活跃的恶意软件会造成 Deep Freeze 无法撤销的损害:
数据盗窃和泄露。如果恶意软件访问文件并将其发送到外部服务器,这些数据就丢失了。Deep Freeze 可以将本地机器恢复到之前的状态,但它无法撤销已发送的数据。会话期间输入的密码、访问的文档、浏览器中存储的凭据——如果恶意软件捕获并传输了它们,重启也无济于事。
基于网络的攻击。受感染的机器可用于攻击网络上的其他系统。它可以扫描漏洞、尝试横向移动、传播到未受保护的机器或参与 DDoS 攻击。感染的机器在重启后可能没问题,但对您更广泛的网络造成的损害已经发生。
加密货币挖矿。加密货币矿工在运行时会使用您的硬件资源。重启会清除它们,但它们已经消耗了电力和 CPU 周期——如果会话运行数小时,累积起来就很多了。
勒索软件攻击非冻结位置。这是一个重要的细微差别:如果您有解冻的分区或 ThawSpaces 用于用户数据,勒索软件可以加密它们——并且这些损害会在重启后仍然存在。已冻结的系统驱动器受到保护,但解冻存储上的用户文件不受保护。
内存驻留威胁。一些复杂的恶意软件完全在内存中运行,而无需写入磁盘。它运行,完成其工作,并且不留下任何痕迹。Deep Freeze 保护磁盘;它不监控会话期间 RAM 中发生的情况。
感染期间的用户体验。在恶意软件活跃期间,用户会经历该恶意软件造成的任何情况——弹出窗口、浏览器重定向、性能下降、虚假安全警告。Deep Freeze 意味着重启后他们会有一台干净的机器,但他们当前的会话仍然会受到干扰。
根本点:Deep Freeze 是被动的,而不是主动的。它在重启后进行清理。它不会阻止威胁在最初执行。
为什么分层安全很重要:重启保护与实时保护
安全专家谈论“纵深防御”或“分层安全”——即没有单一工具能解决所有问题,多个重叠的保护措施能创造更强的整体安全性。
Deep Freeze 和防病毒软件是互补层级的典型例子。它们在威胁时间线的不同点工作:
防病毒软件提供实时保护。它监控进程,在访问文件时扫描文件,阻止已知的恶意软件签名,检测可疑行为,并阻止威胁在最初执行。它在会话期间运行,在用户工作时主动保护用户。
Deep Freeze 提供重启保护。它保证在会话期间发生的任何事情——包括防病毒软件遗漏的任何内容——都会在机器重启时被清除。它是您的安全网,您保证的恢复,您对所有其他失败的保险。
将其视为建筑物的消防安全。防病毒软件是烟雾探测器和喷淋系统——它试图预防火灾并在火灾开始时迅速扑灭。Deep Freeze 是防火保险箱——即使建筑物被烧毁,保险箱里的东西也能完好无损。
您不会因为有防火保险箱就跳过烟雾探测器。您想要两者兼备。
实际情况是:即使是最好的防病毒软件也无法捕获所有东西。新威胁、零日攻击、复杂攻击——总有一些东西会溜过去。当这种情况发生在 Deep Freeze 机器上时,您只需重启即可恢复。当这种情况发生在只有防病毒软件的机器上时,您将面临数小时的修复、潜在的重新成像,甚至更糟。
相反,仅依赖 Deep Freeze 意味着接受威胁会在下次重启前自由运行。对于具有 15 分钟会话且用户之间自动重启的图书馆电脑来说,这个窗口很小。对于整天开着的培训室 PC 来说,这个窗口非常大。
Deep Freeze 如何融入适当的安全堆栈
那么,当 Deep Freeze 成为其中的一部分时,一个设计良好的安全设置是什么样的?以下是我们看到组织获得最佳结果的方式:
防病毒/反恶意软件提供实时保护。在每台机器上运行信誉良好的端点保护解决方案。这可以在威胁执行前捕获大多数威胁。无论您选择 Microsoft Defender、CrowdStrike、Sophos 还是其他解决方案,关键是实时监控。
Deep Freeze 提供保证恢复。冻结您的基线配置,以便任何防病毒软件遗漏的内容都会在重启时被清除。这会将最坏的情况变成小事。零日攻击命中您的机器?重启。未知恶意软件变种?重启。用户以某种方式绕过了您的保护?重启。
Web 过滤以减少暴露。阻止访问已知的恶意网站、网络钓鱼域和高风险类别。如果用户无法访问威胁,他们就无法下载。这减轻了您其他保护措施的负担。
高安全性环境的应用控制。如果您想做得更多,应用程序白名单可确保只有批准的软件才能执行。Faronics Cloud Deep Freeze 捆绑了此功能。结合冻结保护,您可以同时获得预防和恢复。
定期重启以最小化暴露窗口。重启之间的间隔越短,威胁运行的时间就越少。安排在用户会话之间、夜间或定期自动重启。使用会话管理软件的图书馆通常在每个访客之间重启——这是一个非常小的攻击窗口。
网络分段以限制横向移动。即使在会话期间公共访问的计算机受到损害,适当的网络分段也能防止其到达您的敏感系统。这并非 Deep Freeze 特有,但它是重要的背景信息。
用户教育(如适用)。在有重复用户的环境——学校、公司培训室——基本的安全意识会有帮助。能够识别网络钓鱼尝试和可疑下载的用户不太可能首先触发事件。
安全态势最强的组织不依赖任何单一工具。它们分层保护,因此如果一个失败了,其他就会进行补偿。Deep Freeze 是一个非常强大的层——但它仍然是几个层中的一个。
实际考虑:在冻结的机器上运行防病毒软件
如果您在运行防病毒软件的同时使用 Deep Freeze,有几个实际要点需要考虑:
定义更新需要持久。防病毒软件会频繁更新其恶意软件定义——有时每天多次。在冻结的机器上,这些更新通常会在重启时消失。解决方案:将定义存储在解冻的分区或 ThawSpace 上,在维护窗口期间安排定义更新,或使用不严重依赖本地定义的基于云的 AV。
协调扫描计划。全系统扫描需要时间和资源。在机器已进行维护的解冻期间安排扫描,而不是在用户活跃的冻结操作期间。
检查兼容性。大多数主要的防病毒解决方案与 Deep Freeze 配合良好,但值得在您的环境中进行测试。某些行为监控功能可能需要配置以避免冲突。
考虑基于云的端点保护。现代云管理 AV 解决方案通常比传统的基于签名的产品与 Deep Freeze 配合得更好。它们不那么依赖本地定义文件,并且管理/报告在云端进行,无论本地机器状态如何。
常见问题解答
Deep Freeze 是安全工具吗?
是的,但是一种特定类型。Deep Freeze 是一种恢复和一致性工具,具有显著的安全优势。它保证您可以通过重启从任何基于软件的攻击中恢复。但它不是预防工具——它不会阻止威胁在会话期间运行。将其视为完整安全策略的一个组成部分,而不是整个策略。
恶意软件可以在机器重启前运行吗?
是的,绝对可以。Deep Freeze 不阻止恶意软件执行——它阻止恶意软件持久存在。如果恶意软件在上午 9 点下载并运行,它会自由运行直到机器重启。这就是为什么实时防病毒保护仍然至关重要。
最安全的设置是什么?
对于共享访问环境,我们建议:信誉良好的端点保护提供实时防御,Deep Freeze 提供保证恢复,Web 过滤以减少暴露,频繁重启以最小化攻击窗口,以及应用控制以实现最大程度的锁定。没有单一工具能提供完全保护——协同工作的层才能创造真正的安全。
如果防病毒软件在冻结的机器上检测到某些东西怎么办?
让您的防病毒软件发挥作用——隔离或删除威胁。这会在会话期间阻止活动威胁。然后,下次重启会清除 AV 可能遗漏的任何残留。您将获得即时保护和保证清理。
我可以在冻结的机器上跳过防病毒软件来省钱吗?
我们真心不建议这样做。是的,Deep Freeze 提供了强大的恢复功能。但在活动会话期间——可能长达数小时——威胁会在没有防病毒软件的情况下自由运行。数据泄露、网络攻击和用户中断都会在清理威胁的重启之前发生。与没有它的风险相比,端点保护的成本微不足道。
Deep Freeze 是否与 Microsoft Defender 一起使用?
是的。Defender 包含在 Windows 中,并与 Deep Freeze 一起运行。定义更新需要在解冻期间安排,或配置为使用云端提供的保护。许多组织在冻结的机器上使用 Defender 作为其端点保护,没有遇到问题。
关于勒索软件呢?
Deep Freeze 为冻结的驱动器提供了出色的勒索软件恢复功能——重启后加密就消失了。但是:解冻分区或 ThawSpaces 上的文件仍然可能被永久加密,并且勒索软件在您重启之前仍然可以窃取数据。具有勒索软件特定保护的防病毒软件增加了一个重要的预防层。
底线:两者都用,它们互为补充
我们直言不讳:不要因为您正在运行 Deep Freeze 就跳过防病毒软件。它们在不同的时间解决不同的问题。
防病毒软件可阻止威胁执行。Deep Freeze 可保证在威胁仍然发生时进行恢复。两者结合,可以创建真正强大的安全态势——您在会话期间受到保护,并且保证每次重启后都能获得一台干净的机器。
我们可以将 Deep Freeze 作为完整的安全解决方案进行营销。短期内可能会卖出更多许可证。但这不诚实,客户最终会付出惨痛的代价来发现其中的不足。我们宁愿您确切地了解 Deep Freeze 的功能和局限性,正确部署它,并获得真正好的结果。
Deep Freeze 是一个功能强大的共享访问环境工具。结合适当的端点保护,它可以创建既能实时保护又能保证恢复的机器。这就是我们推荐的设置,也是有效的设置。
开始您的 30 天免费试用
在您的实际环境中测试 Deep Freeze。亲眼看看效果。
