Настройка антивирусной защиты. Развертывание антивирусной защиты через Kaspersky Security Center Настройка сервера антивирусной защиты

(С) Александр Фролов, 2001
[email protected], http://www.frolov.pp.ru, http://www.datarecovery.ru

Целью статьи является описание наиболее современных средств удаленного управления и контроля в антивирусных системах, предназначенных для использования в средних и крупных компаниях, насчитывающих десятки и сотни серверов, а также сотни и тысячи рабочих станций. Были исследованы средства удаленного управления и контроля антивирусных программ Sophos, Norton AntiVirus, Mcafee NetShield, Trend Virus Control System и других.

1. Необходимость в удаленном управлении и контроле

Централизованное удаленное управление антивирусными программами и контроль их работы для средних и крупных компаний необходим для соблюдения технологии антивирусной защиты во всей корпоративной сети.

Выполнение в "ручном" режиме таких операций, как отслеживание обновлений антивирусной базы данных и загрузочных модулей антивирусных программ, контроль эффективности обнаружения вирусов на рабочих станциях и серверах и т.п., малоэффективно, если в сети имеется большое количество пользователей или если сеть состоит из территориально удаленных друг от друга сегментов.

Если же не обеспечить своевременное и эффективное выполнение перечисленных выше операций, технология антивирусной защиты корпоративной сети обязательно будет нарушена, что рано или поздно приведет к вирусному заражению. Например, пользователи могут неправильно настроить автоматическое обновление антивирусной базы данных или просто выключать свои компьютеры в то время, когда такое обновление выполняется. В результате автоматическое обновление не будет выполнено и возникнет потенциальная угроза заражения новыми вирусами.

Так как услуги квалифицированного системного администратора стоят достаточно дорого, даже крупные компании имеют в своем штате всего несколько таких сотрудников. Без наличия специальных централизованных систем управления и контроля работы антивирусных программ они будут физически не в состоянии гарантировать соблюдение технологии антивирусной защиты на сотнях и тысячах компьютеров корпоративной сети.

В то же время системы удаленного управления и администрирования могут выполнить обновление антивирусных баз данных и загрузочных антивирусов более чем на 1000 компьютеров за 10 минут (здесь приведены данные для антивируса Sophos).

Другая причина, по которой возникает необходимость в системах удаленного управления и контроля работы антивирусов - "ленивые" пользователи.

Как правило, пользователи полностью заняты своей работой и не имеют ни желания, ни возможности отвлекаться на выполнение системных работ. В частности, установка и настройка антивирусов, запуск сканирования или обновление антивирусных баз данных рассматривается пользователями как обязанность системных администраторов или других технических служб. Полагая, что системный администратор справляется со своей работой, пользователи нередко полностью игнорируют требования инструкций по соблюдению антивирусной безопасности или даже не читают их вовсе.

В этих условиях системы антивирусной защиты должны относиться к пользователям дружественно, выполняя все необходимые операции автоматически и незаметно для пользователя. Это относится не только к сканированию файлов, но и таким функциям, как установка, настройка и обновление антивирусов.

При этом системный администратор должен дистанционно устанавливать и обновлять антивирусное программное обеспечение, а также контролировать состояние антивирусной защиты на любых рабочих станциях и серверах сети, пользуясь для этого своей рабочей станцией. Этот принцип положен в основу всех современных корпоративных систем антивирусной защиты.

2. Функции удаленного управления и контроля

В этом разделе мы рассмотрим функции удаленного управления и контроля, реализованные в современных антивирусных системах. Вот перечень таких функций:

• удаленная установка и обновление антивирусных программ;
• удаленное обновление антивирусных баз данных;
• создание и копирование на серверы сети дистрибутивов для централизованной установки антивирусов;
• удаленная настройка антивирусных программ, установленных на рабочие станции и серверы;
• автоматическое обнаружение новых рабочих станций, подключенных к корпоративной сети, с последующей автоматической установкой на эти станции антивирусных программ;
• планирование заданий для немедленного или отложенного запуска (таких как обновление программ, антивирусной базы данных, сканирование файлов и т.п.) на любых компьютерах сети;
• отображение в реальном времени процесса работы антивирусов на рабочих станциях и серверах сети

Расскажем об этом подробнее.

Удаленная установка и обновление антивирусных программ

Установка антивирусной программы, выполняемая вручную, обычно сводится к запуску программы установки и выполняется под управлением интерактивного мастера установки. При этом в диалоговых окнах мастера требуется выбрать локальный диск и каталог, в который будет установлена программа, а также задать параметры и режимы работы программы.

Проблемы с пользователями

Несмотря на простоту выполнения этой операции для рабочих станций, в корпоративных сетях обычно она выполняется системным администратором или техническим персоналом. Так как большинство пользователей имеют лишь отдаленное представление о технологиях антивирусной защиты или не имеют об этом вообще никакого представления (и не обязаны иметь!), системные администраторы не доверяют им выполнение этой операции. Что же касается установки антивирусов на сервер, то это делает только системный администратор.

Отсутствие необходимого уровня доступа к системным ресурсам

Если на рабочей станции пользователя установлены операционные системы Microsoft Windows NT/2000, то путем соответствующей настройки политики доступа хороший системный администратор вообще запрещает пользователям устанавливать какие-либо программы самостоятельно. Тем более, он запрещает подключаться к локальному домену с правами системного администратора. В этом случае пользователь не имеет физической возможности установить и настроить антивирус самостоятельно.

Проблемы в удаленных филиалах компании

Другая проблема с ручной установкой антивирусных программ возникает в удаленных филиалах компаний, зачастую не имеющих в своем штате системного администратора. Администратор приезжает в такие филиалы эпизодически, когда в этом возникает необходимость. При этом сотрудники, работающие в удаленном филиале, обычно не имеют доступа к ресурсам, необходимым для установки антивирусов на сервер и рабочие станции локальной сети филиала.

Слишком большие временные затраты

Даже если администратор или технический персонал может обойти все рабочие станции корпоративной сети с целью ручной установки антивирусов, на это может уйти слишком много времени - ведь к сети компании могут быть подключены сотни и тысячи компьютеров. Кроме того, компьютеры ремонтируют, заменяют установленное на них программное обеспечение и выполняют другие операции, после которых требуется повторная установка антивирусов.

Удаленная автоматическая установка антивирусов Sophos

Таким образом, антивирусная система, претендующая на использование в корпоративном секторе рынка, должна допускать удаленную установку на все компьютеры корпоративной сети с единственной рабочей станции системного администратора.

Например, с помощью утилиты SAVAdmin антивирусной системы Sophos администратор может создать дистрибутивные каталоги централизованной установки Central Installation Directories (CID), разместив их на некоторых серверах корпоративной сети. Например, можно создать такой каталог в центральном офисе и по одному каталогу на каждый удаленный отдел компании.

Администратор может настроить репликацию между различными каталогами CID, которая будет выполняться автоматически. При этом ему не придется самостоятельно обновлять все каталоги CID - можно заменить дистрибутивные файлы антивирусной системы только в главном каталоге. Содержимое других каталогов (например, расположенных в удаленных филиалах) обновится автоматически, а вместе с ним обновятся антивирусы и на всех рабочих станциях соответствующих локальных сетей филиалов.

Далее администратор с консоли SAVAdmin запускает удаленную установку антивирусов из каталогов CID на выбранные рабочие станции, группы рабочих станций или домены. При изменении содержимого CID выполняется автоматическое обновление всех антивирусов сети. Администратор может проконтролировать процесс обновления версий антивирусных программ.

Чтобы ускорить процесс установки и обновления антивирусных программ, компания Sophos разработала технологию "minimal push and full pull". Эта технология предполагает параллельное выполнение установки и обновления версий антивирусов. При этом обновление сети, состоящей более чем из 1000 компьютеров, выполняется за 10 минут.

Рассмотрим процедуру централизованной установки более подробно.

Создание главного каталога централизованной установки

На первом этапе администратор со своей рабочей станции формирует главный каталог централизованной установки. Этот каталог обычно располагается на одном из серверов локальной сети центрального офиса компании (рис. 1-1).

Создание главного каталога централизованной установки и формирование его содержимого выполняется автоматически программой начальной установки, запускаемой администратором со своей рабочей станции.

Рис. 1-1. Копирование файлов в главный каталог централизованной установки

Репликация главного каталога централизованной установки

Если корпоративная сеть объединяет территориально удаленные друг от друга филиалы, соединенные относительно медленными каналами связи, для существенного ускорения установки антивирусов на серверы и рабочие станции филиалов администратор может создать на серверах филиалов каталоги централизованной установки (рис. 1-2).

Создание и наполнение этих каталогов выполняется под управлением программы начальной установки, запущенной на рабочей станции администратора. При этом администратор может указать параметры автоматической репликации содержимого главного каталога централизованной установки и других каталогов централизованной установки. При обновлении содержимого главного каталога содержимое других каталогов централизованной установки будет обновляться автоматически в соответствии с расписанием, определенным администратором.

Рис. 1-2. Репликация файлов главного каталога централизованной установки в другие каталоги централизованной установки

Установка антивирусов на все рабочие станции и серверы

После формирования всех каталогов централизованной установки запускается процесс инсталляции антивирусов на рабочие станции и серверы сети. Установка выполняется одновременно на все компьютеры, причем в каждой локальной сети для этого используется свой каталог централизованной установки (рис. 1-3).

График установки задается администратором. Так как установка выполняется в каждом филиале из своего каталога, этот процесс не вызывает перегрузки каналов связи, соединяющих локальные сети филиалов.

Удаленное обновление антивирусных баз данных

Актуальность своевременного обновления антивирусных баз данных для обнаружения новых вирусов ни у кого не вызывает сомнений, однако в средних и крупных компаниях выполнение этой процедуры имеет ряд особенностей.

Разработка расписания выполнения обновлений

Прежде всего, возникают трудности с разработкой расписания автоматического обновления антивирусной базы данных.

Как известно, большинство антивирусных программ предусматривает автоматическое обновление антивирусных баз данных по расписанию, например, в заданные часы и дни недели. При этом для успешного завершения обновления в момент запуска процедуры компьютер должен быть включен и подсоединен к локальной интрасети компании или к Интернету.

Иногда системные администраторы настраивают расписание обновления так, чтобы запуск загрузки новой антивирусной базы данных выполнялся в обеденное время. Но если компьютер используется для сменной работы, время обновления выбрать не всегда просто.

Рис. 1-3. Одновременная установка на все рабочие станции и серверы корпоративной сети из каталогов централизованной установки

Проблемы с настройкой расписания пользователями

Это связано, с одной стороны, с недостаточной квалификацией пользователей и нежеланием выполнять какие-либо системные работы, не имеющие прямого отношения к производственным обязанностям, а с другой стороны - с отсутствием уровня доступа к ресурсам системы, необходимого для выполнения настройки. Как мы уже говорили выше, администраторы часто настраивают системные политики таким образом, чтобы обычный пользователь не мог самостоятельно устанавливать системные программы или изменять их настройки.

Централизованное обновление антивирусных баз данных

Современные антивирусные системы допускают автоматическое централизованное управление процессом обновления антивирусных баз данных, а также предоставляют в распоряжение администратора все необходимые средства для дистанционного контроля обновления.

Управляющая консоль администратора позволяет не только проконтролировать обновление, но и при необходимости запустить принудительное обновление для любой рабочей станции, группы пользователей или домена.

Обновление выполняется по такой же схеме, что и первоначальная установка.

Вначале администратор записывает файлы обновления в главный каталог централизованной установки (рис. 1-1). Далее содержимое этого каталога реплицируется на другие каталоги централизованной установки (рис. 1-2). И, наконец, на последнем этапе выполняется обновление антивирусных баз данных серверов и рабочих станций из соответствующих каталогов централизованной установки (рис. 1-3).

Если корпоративная сеть подключена к Интернету, обновление содержимого главного каталога централизованной установки может выполняться автоматически с сервера антивирусной компании. Расписание такого обновления может быть задано администратором корпоративной сети.

Конфигурация антивирусной программы после установки

После выполнения установки может быть выбрана некая стандартная конфигурация антивируса, например, предусматривающая антивирусную проверку файлов при любом обращении к ним, а также создание отчета результатов сканирования.

При необходимости средства удаленного управления и контроля позволяют назначить другую конфигурацию антивируса, заданную при помощи механизма шаблонов. Администратор может подготовить несколько таких шаблонов, определяющих режимы работы антивирусов для разных рабочих станций, групп пользователей или доменов.

Удаленная настройка антивирусных программ

Известно, что от того, насколько правильно выполнены настройки антивирусной программы, зависит эффективность ее использования. Отказавшись, например, ради ускорения работы от проверки всех файлов, не имеющих расширение имени com или exe, пользователь рискует заразить свой компьютер макрокомандными вирусами, распространяющимися через файлы офисных документов.

Обычно дальновидные администраторы не доверяют пользователям настройку параметров антивирусных программ, особенно имеющих отношение к режимам сканирования файлов. При этом им приходится выполнять эту работу самостоятельно.

Заметим, что в крупных интрасетях корпораций иногда приходится использовать разные настройки для разных пользователей, групп пользователей или доменов. Все это усложняет ручную настройку параметров антивирусов.

Современные антивирусные системы допускают централизованную дистанционную настройку всех параметров работы антивирусных программ (режимы работы сканера, график обновления антивирусной базы данных, действия над зараженными файлами и т.п.). Данная операция может быть выполнена системным администратором со своей рабочей станции, причем администратор может применять разные схемы настроек для разных пользователей, групп пользователей и доменов.

Обнаружение новых рабочих станций

Интрасеть крупной компании живет своей жизнью. Время от времени в ней возникают такие события, как подключение новых рабочих станций, ремонт или замена старых рабочих станций и т.п.

Вместе с тем все изменения конфигурации рабочих станций в сети требуют своевременного обновления конфигураций антивирусных средств. Однако один системный администратор не в состоянии отследить все изменения в сети, насчитывающей сотни и тысячи компьютеров. Поэтому современные антивирусные системы дополнены средствами автоматизированного исследования конфигурации сети на предмет появления в ней новых станций или замены старых.

При обнаружении изменений в конфигурации сети система управления и контроля выполняет автоматическую установку антивирусных программ или, при необходимости, автоматическое обновление программных модулей антивируса, а также антивирусной базы данных. В результате после установки рабочей станции, после ее ремонта или замены произойдет автоматическая установка на ее диск антивирусной программы безо всякого участия администратора или пользователя.

Планирование заданий

Система централизованного удаленного управления и контроля позволяет планировать выполнение заданий для отдельных компьютеров корпоративной сети, для выбранных групп пользователей или доменов, а также контролировать ход и результат выполнения запущенных заданий.

Выбор расписания

Планирование позволяет определить периодичность выполнения различных процедур по различным расписаниям:

• ежечасно;
• ежедневно;
• еженедельно;
• по определенным дням недели или месяцам;
• в следующий час, день недели или месяц;
• однократное выполнение в заданное время;
• немедленное однократное выполнение процедуры

Список планируемых процедур

Вот список процедур, выполнение которых можно запланировать в современных антивирусных системах:

• создание детального отчета о конфигурации аппаратных и программных средств рабочей станции;
• определение номера версии антивирусной программы, а также даты создания и номера версии антивирусной базы данных;
• установка антивирусной программы на выбранный компьютер, на компьютеры группы пользователей или домена;
• обновление содержимого дистрибутивного каталога централизованной установки антивирусных программ;
• изменение пути к дистрибутивному каталогу централизованной установки антивирусных программ;
• изменение учетной записи (идентификатор/пароль), используемой для обновления антивирусной программы и антивирусной базы данных;
• обнаружение изменений в конфигурации сети (поиск новых или обновленных рабочих станций) с целью выполнения автоматической установки на новые компьютеры антивирусных программ;
• репликация главного дистрибутивного каталога централизованной установки антивирусных программ в другие каталоги (например, расположенные на серверах, установленных в филиалах компании). Эта процедура применяется для рассылки нового или обновленного дистрибутива на несколько серверов, предназначенных для централизованной установки антивирусных программ

Управляющая система позволяет определить выполнение произвольных команд операционной системы до начала выполнения задания, а также после его выполнения.

Можно также определить действия, выполняемые при аварийном завершении задания. Например, можно повторить установку антивирусной программы, если она по каким-то причинам не была успешно выполнена.

Запуск и остановка задания

В любой момент времени администратор может запустить или остановить заданную процедуру, воспользовавшись управляющей консолью.

Редактирование задания

Подготовленное, но еще не запущенное задание может быть отредактировано. При этом администратор может изменить расписание выполняемого задания, тип задания и другие его атрибуты.

Удаление задания

Если задание находится в очереди для выполнения или запущено, администратор может его удалить. Работающее задание при этом останавливается.

Контроль выполнения задания

Запланированному заданию обычно присваивается имя и тип. Тип определяет выполняемые действия, а имя используется администратором для отслеживания результата выполнения этого задания. Такое отслеживание может выполняться непрерывно в реальном времени.

Развитые средства сортировки позволяют отслеживать только нужные группы заданий, например:

• задания определенного типа;
• задания, запущенные на выбранных рабочих станциях;
• задания, запущенные на рабочих станциях группы пользователей;
• задания, запущенные на рабочих станциях выбранного домена

Результаты выполнения заданий протоколируются в журнале.

Параметры заданий

При помощи консоли удаленного управления и контроля администратор может задать различные параметры планируемых заданий.

Общие параметры

Ниже мы перечислили общие параметры заданий:

• имя задания;
• имя файла для протоколирования результатов выполнения задания;
• команды, выполняемые до и после завершения задания;
• флажок перманентности задания. Перманентные задания, в отличие от временных заданий, восстанавливаются при повторном запуске управляющей консоли;
• флажок выполнения задания для всех компьютеров заданной группы;
• флажок автоматического повтора задания при его неудачном завершении

Целевые параметры

Эти параметры определяют рабочие станции, группы пользователей и домены, для которых выполняется задание. Фактически это просто список компьютеров, групп пользователей или доменов, сформированный администратором.

Дополнительные параметры установки

К этой группе относятся параметры, влияющие на параметры установки антивирусных программ, имеющие отношение к сканированию сети на предмет наличия установленных копий антивируса. Можно указать, что установка должна выполняться только на те рабочие станции, которые:

• не содержат установленной копии антивируса;
• содержат устаревшую копию антивируса;
• либо не содержат установленной копии антивируса, либо содержат устаревшую копию антивируса

Предусмотрена возможность выполнения принудительного повторного обновления ранее обновленных копий антивирусных программ.

Параметры конфигурации антивируса

При помощи этих параметров можно указать файл, содержащий шаблон настроек конфигурации антивирусной программы. Для каждого такого шаблона можно также указать имя.

Напомним, что шаблоны позволяют сохранять различные наборы параметров настройки антивирусной программы для разных рабочих станций, групп пользователей или доменов.

Расположение главного каталога централизованной установки

Данная группа параметров определяет физическое расположение главного каталога централизованной установки антивирусных программ. Данный каталог может реплицироваться на другие каталоги, расположенные, например, на дисках удаленных серверов филиалов компании.

Расположение каталога для установки антивирусов на рабочие станции

Администратор имеет возможность указать путь к каталогу рабочей станции, в который необходимо выполнить установку антивирусной программы.

Может быть выбран каталог по умолчанию или каталог, специфический для данной конфигурации.

Учетная запись для установки и обновления антивируса

Данный набор параметров позволяет задать учетную запись (идентификатор, пароль и домен), с использованием которой рабочая станция будет выполнять обновление антивирусной программы и антивирусной базы данных. Эта учетная запись не обязана иметь административные привилегии.

Параметры изменения текущего каталога централизованной установки

Эти параметры позволяют создать либо зарегистрированный совместно используемый каталог централизованной установки, содержащий сразу несколько дистрибутивов различных антивирусных программ, либо отдельные произвольные каталоги для каждой антивирусной программы.

Параметры репликации каталогов централизованной установки

Эти параметры позволяют выбрать каталоги, вовлеченные в репликацию, а также указать, следует ли перед репликацией удалять старые дистрибутивные файлы.

Можно задать также режим частичной репликации, при которой реплицируются только файлы антивирусной базы данных и самые важный программные файлы. Такой режим особенно удобен в тех случаях, когда репликация выполняется по медленным каналам связи (например, модемным).

Параметры сканирования сети с целью обнаружения новых компьютеров

Такое сканирование выполняется для автоматической установки на новые компьютеры антивирусных программ.

Данные параметры позволяют определить группы компьютеров и домены, подвергаемые сканированию.

Параметры отчета

Эти параметры позволяют задать имя файла, в котором будет сохранен отчет, а также команду, выполняемую после генерации отчета. Эта команда может, например, загрузить созданный отчет в Microsoft Excel.

3. Параметры программы контроля и управления

Классические системы контроля и управления состоят из управляющей программы, запускаемой на рабочей станции администратора, и программ-агентов, запущенных на рабочих станциях и серверах сети.

Параметры программы контроля и управления влияют на режимы работы самой программы и агентов. Изменяя эти параметры, администратор может выбрать необходимый сетевой протокол, с применением которого консоль взаимодействует с агентами, а также настроить параметры выбранного сетевого протокола.

Конфигурирование программы контроля и управления

Эти параметры позволяют задать:

• режим отображения списка всех компьютеров сети (автоматическое или по явному запросу);
• количество потоков исполнения (threads) для обновления информации о состоянии сети;
• количество попыток извлечения данных из удаленных компьютеров (необходимо при неустойчивой работе каналов связи);
• расположение централизованного файла журнала, хранящего события, связанные с работой антивирусной защиты на всех компьютерах корпоративной сети;
• параметры учетных записей администраторов, используемых для управления работой антивирусной защиты (идентификатор, пароль, домен и т.п.).

Конфигурирование программ-агентов

Программы-агенты запускаются на рабочих станциях и осуществляют взаимодействие с управляющей программой. Для агентов настраиваются следующие параметры:

• сетевой протокол, применяемый для взаимодействия с управляющей программой (TCP/IP, IPX/SPX, NetBIOS over TCP, NetBIOS over IPX, Named pipes и т.д.);
• конечная точка (endpoint);
• номер порта

4. Архитектура и принципы работы корпоративных систем антивирусной защиты

Рассмотрев назначение и функции систем управления и контроля антивирусных средств защиты, перейдем к обзору архитектурных решений, применяемых в современных корпоративных антивирусах. Это классические клиент-серверные архитектуры, а также многоуровневые архитектуры, предполагающие применение Web-технологий.

Системы клиент-сервер

При использовании клиент-серверной архитектуры основой системы управления и контроля является антивирусный сервер, установленный на одном из серверов корпоративной сети. С ним взаимодействуют, с одной стороны, программы-агенты, установленные вместе с антивирусами на рабочих станциях сети, а с другой стороны - управляющая консоль администратора антивирусной защиты (рис. 4-1).

Рис. 4-1. Взаимодействие консоли администратора, агентов и антивирусного сервера

Антивирусный сервер выполняет управляющие и координирующие действия. В частности, он хранит общий журнал событий, имеющих отношение к антивирусной защите и возникающих на всех компьютерах сети, список и расписание выполнения заданий. Антивирусный сервер отвечает за прием от агентов и передачу администратору антивирусной защиты сообщений о возникновении тех или иных событий в сети, выполняет периодическую проверку конфигурации сети с целью обнаружения новых рабочих станций или рабочих станций с изменившейся конфигурацией антивирусных средств и т.д.

Помимо агентов, на каждой рабочей станции и сервере корпоративной сети устанавливается антивирус, выполняющий сканирование файлов и проверку файлов при их открытии (функции сканера и антивирусного монитора). Результаты работы антивируса передаются через агентов антивирусному серверу, которых их анализирует и протоколирует в общем журнале событий.

Управляющая консоль администратора предоставляет возможность управления всей системой антивирусной защиты и контроля ее функционирования. Она взаимодействует через агентов с антивирусным сервером, а также с антивирусами, установленными на всех компьютерах сети.

Эта управляющая консоль может представлять собой стандартное приложение Microsoft Windows с оконным интерфейсом, или аплет (snap-in) управляющей консоли Control Panel операционной системы Microsoft Windows. Первый подход реализован, например, а управляющей системе антивирусов Sophos, а второй - в управляющей системе Norton AntiVirus.

Пользовательский интерфейс управляющей консоли позволяет просматривать древовидную структуру корпоративной сети, получая при необходимости доступ к отдельным компьютерам тех или иных групп пользователей или доменов (рис. 4-2).

Рис. 4-2. Управляющая консоль администратора антивирусной защиты

Так как корпоративная сеть может быть очень разветвленной и насчитывать тысячи компьютеров, объединенные в сотни доменов, консоль должна предоставлять не только средство просмотра древовидной структуры сети, но и средства прямого поиска рабочих станций по их имени, по имени рабочей группы пользователей или домена.

Что же касается остальных элементов пользовательского интерфейса, то здесь применяются обычные диалоговые окна со стандартными или специально разработанными элементами управления - кнопки, списки, флажки, поля ввода текстовой информации и т.п.

Процесс начальной установки

Администратор антивирусной защиты запускает программу установки консоли дистанционного управления и контроля, с помощью которой выполняются все остальные операции по установке, обновлению и эксплуатации системы антивирусной защиты. В частности, на один из серверов корпоративной сети устанавливается антивирусный сервер, выполняющий координирующие и управляющие функции.

В небольших сетях администратор может при помощи консоли создать на сервере локальной сети каталог централизованной установки антивирусов, а затем запустить (или подготовить задание для отложенного запуска) процесс установки антивирусов на все рабочие станции и серверы сети.

В более крупных сетях компаний, имеющих удаленные филиалы, администратор при помощи консоли создает несколько каталогов централизованной установки (например, по одному каталогу на каждую удаленную сеть). Далее администратор подготавливает задания для установки антивирусов на все рабочие станции сети. Установка выполняется в каждом удаленном филиале из своего каталога централизованной установки, что сокращает сетевой трафик между филиалами. Для сокращения времени установки антивирус устанавливается сразу на все рабочие станции одновременно.

Обновление антивируса и антивирусной базы данных

Эта операция выполняется администратором антивирусной защиты со своей рабочей станции при помощи консоли управления и контроля.

Если создано несколько каталогов централизованной установки, то администратор настраивает их репликацию. При необходимости обновления программных модулей антивируса или антивирусной базы данных администратор обновляет содержимое только одного, главного каталога централизованной установки. Содержимое реплицируемых каталогов обновляется автоматически по заранее созданному расписанию.

Заметим, что если корпоративная сеть подключена к Интернету, то содержимое главного каталога централизованной установки может обновляться автоматически с сайта антивирусной компании по расписанию, заданному администратором. В том случае, когда такого подключения не предусмотрено, администратор должен обновлять главный каталог централизованной установки вручную.

Управление работой антивирусных программ

При помощи консоли централизованного управления и контроля администратор антивирусной защиты может удаленно со своей рабочей станции настраивать режимы работы антивирусов, установленных на рабочие станции и серверы, а также определять режимы работы служебных сервисов системы антивирусной защиты.

Используя заранее определенные учетные записи одного или нескольких корпоративных доменов, консоль может подключаться к программе-агенту, работающей на всех компьютерах сети. Посредством стандартного оконного интерфейса администратор может изменить любые параметры работы антивирусов, установленных на выбранных компьютерах, для выбранных групп пользователей или для выбранных доменов. Изменение параметров может быть выполнено немедленно или оформлено как задание, запускаемое в заданное время.

Кроме того, администратор может задать расписание антивирусных проверок, выполняемых методом сканирования каталогов рабочих станций и серверов.

Сбор и просмотр информации о работе антивирусной защиты

Система дистанционного управления и контроля обеспечивает сбор, протоколирование и просмотр информации о работе антивирусной защиты. За централизованной сбор информации отвечает серверный модуль системы антивирусной защиты, установленный на одном из серверов корпоративной сети (этот сервер выбирается администратором).

Вся собранная информация становится доступной через консоль управляющей программы на рабочей станции администратора антивирусной защиты.

На рис. 4-3 мы показали процесс передачи информации из локальных журналов антивирусных программ, установленных на рабочих станциях и серверах сети, в общий журнал, расположенный на антивирусном сервере. Здесь же показано, что администратор антивирусной защиты может просматривать общий журнал со своей рабочей станции при помощи консоли.

Рис. 4-3. Управляющая консоль администратора антивирусной защиты

Сбору и протоколированию подлежит следующая информация:

• время и дата установки/обновления программных модулей антивируса с указанием версии этих модулей;
• время и дата обновления антивирусной базы данных с указанием ее версии;
• информация о версии операционной системы, установленной на рабочих станциях и серверах сети, типе процессора, расположении системных каталогов операционной системы и т.д.;
• информация о версии антивируса, установленного на рабочих станциях и серверах сети;
• информация об учетных записях, использованных на рабочей станции для доступа к каталогу централизованной установки с целью установки или обновления антивируса и антивирусной базы данных;
• информация о расположении централизованного каталога установки, использованного для установки или обновления антивируса и антивирусной базы данных;
• информация о полном пути к локальным файлам протокола, расположенных на рабочих станциях и серверах сети, и их содержимое;
• информация об учетных записях, используемой управляющей консолью для доступа к ресурсам рабочих станций и серверов сети при установке, обновлении антивируса и антивирусной базы данных, а также при получении информации о работе антивируса;
• конфигурация и режимы работы антивируса (использование эвристических методов, список проверяемых типов файлов, действия при обнаружении вирусов и т.п.);
• информация, имеющая отношение к работе антивируса, такая как название обнаруженного вируса, дата обнаружения, предпринятые действия, результат лечения и т.п.

Полученная информация записывается в системный журнал сервера, отвечающего за централизованный сбор сведений о работе системы антивирусной защиты.

С помощью консоли управления администратор может получить разнообразные табличные отчеты, преобразовав их при необходимости в формат Microsoft Excel. Это могут быть, например, такие отчеты, как:

• отчеты о выполнении установки или обновления антивируса и антивирусных баз данных;
• отчеты об обнаружении вирусов на выбранных рабочих станциях, на рабочих станциях групп пользователей и доменов;
• отчеты, позволяющие отслеживать время и направление распространения тех или иных вирусов;
• отчеты об использовании учетных записей, предназначенных для управления работой антивирусной системой;
• отчеты об изменении настроек и режимов работы антивирусной системы

Сигнальное информирование

Когда антивирусная программа находит на рабочей станции пользователя зараженный файл в процессе сканирования, выполняемого в рамках задания или инициированного антивирусным монитором, она извещает об этом пользователя (отображая сообщение на экран его рабочей станции), а также антивирусный сервер.

Далее антивирусный сервер оповещает о возникновении события администратора защиты и других лиц в соответствии с настройками, заданными при установке системы антивирусной защиты. При этом антивирусный сервер отправляет сообщение по корпоративной сети, а также (если это указано администратором) по сети пэйджинговой связи, по электронной почте или по сети SMS (рис. 4-4).

Кроме того, сообщение о возникновении события записывается в главный журнал, расположенный на антивирусном сервере.

С помощью управляющей консоли администратор антивирусной защиты может определить список событий, о возникновении которых необходимо экстренно информировать пользователей и администраторов. Это могут быть, например, такие события, как:

• обнаружение вирусов;
• невозможность успешного обновления программных модулей антивирусов или антивирусных баз данных;
• ошибки в работе программных средств антивирусной защиты (особенно те, что могут привести к аварийному отключению антивирусной защиты);
• невозможность локального протоколирования событий из-за переполнения локального журнала событий или по другим причинам;
• изменения в конфигурациях и режимах работы антивирусов, которые потенциально снижают уровень или надежность защиты.

Сообщение о возникновении таких событий в зависимости от настроек, выполненных администратором, может передаваться

• пользователю, на рабочей станции которого произошло событие (например, обнаружен вирус);
• одному или нескольким администраторам, отвечающим за работу сети или за работу средств антивирусной защиты;
• руководителю компании или любым другим лицам, список которых был заранее определен администратором.

Рис. 4-4. Передача сообщения о вирусном заражении рабочей станции

Сообщение передается как стандартными широковещательными средствами операционной системы (текст сообщения, переданного подобным образом, появляется на экране адресата в небольшом диалоговом окне), так и дополнительными средствами, перечисленными ниже:

• через электронную почту с применением протокола SMTP;
• через почтовую службу MHS (в сетях NetWare);
• на один или несколько алвавитно-цифровых пэйджеров с использованием протокола Alphanumeric Input Protocol (IXO/TAP) или на цифровые пэйджеры;
• через систему передачи коротких сообщений SMS.

Консольная программа управления и контроля позволяет назначать событиям различные сообщения. Таким образом, администратор может сам определить тексты сообщений.

Заметим, что для передачи сообщений на пэйджер или для передачи сообщений SMS антивирусная система связывается через модем с соответствующей службой, работающей в автоматическом режиме. Эти службы доступны не везде, поэтому способ передачи сообщений через электронную почту является более универсальным, чем передача на пэйджер или на мобильный телефон через систему SMS.

Для передачи сообщений в пэйджинговые службы или службы автоматической передачи сообщений SMS нужен модем. Этот модем может быть подключен как к серверу, играющему роль центра сбора и обработки информации о работе антивирусной защите, так и к любому другому компьютеру корпоративной сети. При настройке системы передачи сообщений администратор должен указать, к какому компьютеру подключен модем.

Для передачи сообщений через электронную почту с протоколом SMTP можно использовать корпоративный почтовый сервер или сервер, расположенный у провайдера Интернета. Если локальная сеть подключается к Интернету при помощи модема, то для передачи сообщений система антивирусного управления и контроля устанавливает соединение самостоятельно без вмешательства оператора.

В Интернете также существуют разнообразные шлюзы, позволяющие переадресовывать сообщения электронной почты на пэйджер или на мобильный телефон (в виде сообщений SMS). Следует заметить, однако, что все подобные российские шлюзы работают в экспериментальном режиме, поэтому их надежная работа не гарантируется.

Что же касается времени, необходимого на прохождение сообщения электронной почты через шлюз и сеть SMS на мобильный телефон, то практические испытания показали, что в Москве оно меняется в пределах от нескольких секунд до нескольких часов.

Многоуровневые системы с Web-интерфейсом

Архитектура многоуровневых систем с Web-интерфейсом предполагает использование Web-сервера в качестве ядра системы. Задачей этого ядра является, с одной стороны, организация диалогового интерактивного взаимодействия с пользователем, а с другой - с программными модулями той или иной системы.

Заметим, что сегодня Web-технологии широко применяются для решения таких административных задач, как контроль и диагностика оборудования корпоративных серверов, управление серверами электронной почты и другими устройствами и системами, подключенными к Интернету или к корпоративным интрасетям.

С помощью обычного браузера системный администратор или инженерный персонал может, например, получить обширную диагностическую информацию о работе аппаратного обеспечения серверов производства компании Compaq. Это такая информация, как журналы ошибок, сообщения о потенциально возможных отказах оборудования, температура центральных процессоров, температура внутри корпуса и блоков питания, скорость вращения вентиляторов и т.п.

Преимущества такого подхода заключаются в унифицировании способов управления различными системами сети, а также в отсутствии необходимости устанавливать на рабочую станцию администратора какие-либо управляющие программы или консоли. Кроме того, администрирование может выполняться с любого компьютера сети, а если сеть подключена к Интернету, то из любого места земного шара, где есть Интернет и компьютер с браузером.

Для защиты управляющей информации при ее передаче по Интернету или корпоративной интрасети применяются протоколы SSH или другие аналогичные средства (например, собственные защищенные модификации протокола HTTP).

Архитектура системы Trend Virus Control System

Рассмотрим архитектуру системы Trend Virus Control System, построенную на базе Web-технологий. Эта система позволяет полностью управлять и контролировать работу корпоративной системы антивирусной защиты с одной рабочей станции через браузер, даже если отдельные фрагменты сети находятся в разных странах или на разных континентах.

На один из серверов корпоративной сети устанавливается Web-сервер, роль которого обычно играет Microsoft Internet Information Server версии 4.0 или 5.0. Этот сервер входит в состав операционной системы Microsoft Windows 2000 Server и может быть установлен в операционную систему Microsoft Window NT версии 4.0 с бесплатного пакета Microsoft Option Pack for Windows NT.

Специальное серверное Web-приложение Trend VCS Server, работающее на этом Web-сервере, взаимодействует с модулем управления и контроля антивирусной системы, а также с программными агентами, установленными на всех компьютерах сети и не имеющими собственного пользовательского интерфейса.

Взаимодействие осуществляется с использованием безопасного протокола HTTP, разработанного в Trend Micro. Кроме того, для ограничения доступа к серверу IIS и приложению Trend VCS Server применяется парольная защита.

На рис. 4-5 мы показали структурную схему системы антивирусной защиты с Web-интерфейсом.

Рис. 4-5. Антивирусная система с Web-интерфейсом

Эта схема аналогична схеме, показанной на рис. 4-1, однако администратор антивирусной защиты управляет ее работой через браузер, а не через консольное приложение.

На рабочих станциях устанавливается антивирус (PC-cillin, Server Protect, InterScan VirusWall, ScanMail и т.д.). Этот антивирус управляется антивирусным сервером через агента.

На компьютере, играющем роль антивирусного сервера, устанавливается Web-сервер Microsoft Internet Information Server. Специальное Web-приложение, работающее на этом сервере, управляет антивирусным сервером. Оно также предоставляет администратору пользовательский интерфейс для управления системой антивирусной защиты.

По запросу администратора антивирусной защиты, выполняемому через браузер, это приложение инициирует выполнение таких операций, как:

• создание каталогов централизованной установки;
• подготовка и запуск заданий на репликацию каталогов централизованной установки;
• подготовка и запуск заданий на установку антивирусных программных модулей и антивирусных баз данных;
• выполнение настройки режимов работы антивирусных программ, установленных на рабочих станциях и серверах корпоративной сети;
• отображение различного рода журналов и отчетов, отражающих работу системы антивирусной защиты, а также выполнение запросов информации по этим отчетам;
• контроль версий операционных систем, антивирусных программ и антивирусных баз данных, установленных на всех компьютерах сети.

Таким образом, для управления всему антивирусными средствами, установленными в любом месте корпоративной сети, администратор может использовать браузер.

Этот браузер может быть запущен на любом компьютере сети, поэтому отсутствует необходимость в установке каких-либо административных приложений или аплетов. Это упрощает задачу управления работой антивирусных средств, так как она может быть выполнена не только с рабочей станции администратора, но и с любой другой рабочей станции сети. Находясь, например, в командировке в одном из филиалов компании, администратор в состоянии полностью контролировать работу системы антивирусной защиты, как будто бы он сидел за своим рабочем столом в центральном офисе.

С целью обеспечения максимальной независимости от компьютерных платформ сервер Trend VCS Server и клиентское приложение написаны на языке программирования Java и других языках, применяющихся для разработки приложений Интернета.

Что же касается извещений о возникновении событий в корпоративной системе антивирусной защиты, то такие извещения передаются программами-агентами серверу Trend VCS Server и рассылаются по электронной почте, по пэйджинговым сетям, через системы SMS и т.п.

Система HouseCall

Помимо классической антивирусной защиты при помощи антивирусных программ, запускаемых на рабочих станциях, Trend Micro предлагает технологию сканирования файлов на предмет нахождения вирусов при помощи специально разработанного антивирусного элемента управления ActiveX.

Такой элемент управления ActiveX располагается на корпоративном сервере Web и доступен через браузер. Когда пользователь хочет запустить антивирусное сканирование файлов или каталогов, расположенных на его рабочей станции, он при помощи браузера открывает соответствующую страничку корпоративного Web-сервера. При этом происходит автоматическая загрузка антивирусного элемента управления ActiveX в память рабочей станции пользователя.

После завершения загрузки пользователь может работать с антивирусным элементом управления ActiveX через окно браузера, при этом пользовательский интерфейс аналогичен пользовательскому интерфейсу обычной антивирусной программы (рис. 4-6).

Пользоваться системой HouseCall очень просто. Пользуясь древовидным списком каталогов, нужно выбрать каталоги и файлы, подлежащие проверке, отметив соответствующие флажки. Далее следует щелкнуть кнопку SCAN, после чего будет запущен процесс сканирования. Если при этом дополнительно отметить флажок Auto Clean, программа предпримет попытку удалить тело вируса из зараженных файлов.

Результаты сканирования появятся в отдельном окне. Пользователю будет предложено выполнить попытку удаления тела вируса из зараженных файлов или стереть зараженные файлы.

Рис. 4-6. Антивирусная система HouseCall

К достоинствам данного подхода можно отнести отсутствие необходимости в установке антивирусной программы на рабочую станцию пользователя. Когда пользователю нужно проверить файл, он просто запускает браузер, загружает в него нужную страницу корпоративного Web-сайта и запускает сканирование.

Что же касается недостатков, то данная технология не предполагает наличия антивирусного монитора, проверяющего все файлы в момент обращения к ним. Поэтому, на наш взгляд, она может рассматриваться лишь как дополнительная.

Система HouseCall по своему принципу действия коренным образом отличается от системы антивирусной проверки, созданной на сервере ДиалогНауки. Вместо того чтобы передавать файлы по одному на сервер и проверять антивирусом, система HouseCall устанавливает на компьютер пользователя антивирусный модуль, выполненный в виде элемента управления ActiveX. Будучи загруженным один раз с сервера Trend Micro, этот модуль может по запросу пользователя проверять все файлы, хранящиеся на его компьютере. Эти файлы не передаются через Интернет, а исследуются локально, поэтому процесс не отнимает много времени.

Компьютерные вирусы могут не только похитить важную корпоративную информацию на предприятии и повредить данные, но и вывести операционную систему и компьютерную технику из строя, перегрузить локальную сеть в целом и выполнить другие зловредные действия. Следует правильно оценить всю важность процесса и доверить налаживание системы защиты от вирусов в сети компании профессионалам компании «БитПрофи».

По степени воздействия вирусы бывают неопасными, опасными и очень опасными. Неопасные вирусы не мешают работе компьютера, однако уменьшают объем памяти на дисках и свободной оперативной памяти. Опасные вирусы могут привести к нарушениям и неполадкам в работе ПК. Воздействие очень опасных вирусов приводит к потере программ, безвозвратному удалению данных, стиранию информации в системных областях диска.

Проникновение вирусов на локальный компьютер

Способы проникновения вируса на локальный компьютер следующие:

• через внешний носитель - «классический» способ;
• через систему электронных писем;
• через канал доступа в Интернет;
• с сервера сети.

Обеспечить безопасность одного компьютера довольно просто. Однако при установке комплексной антивирусной защиты для всей информационной системы организации задача усложняется. В этом случае нужно учесть множество дополнительных факторов, начиная с контроля над пользовательским доступом к ресурсам, системы межсетевого экранирования, прочих средств защиты для сети корпорации и заканчивая необходимыми программно-аппаратными средствами и организационно-правовыми вопросами контроля ключевых каналов обмена информации и прочих мер по безопасности. Получается, что система антивирусной защиты требует намного большего приложения усилий и знаний, чем защита информации для одного пользователя.

На первое место выходит выбор правильной, надежной и современной стратегии по антивирусной защите.

6 шагов от БитПрофи к полноценной защите

Компания «БитПрофи» предлагает комплексные услуги для обеспечения защиты информации на вашем предприятии:

Проведение ИТ-аудита безопасности всей структуры. В его процессе мы выявим слабые места в решениях, которые уже используются, проведем полную проверку всех систем на наличие заражения вредоносными программами.

Разработка стратегии по внедрению антивирусной защиты организации.

Индивидуальный подбор аппаратных и антивирусных средств по защите элементов инфраструктуры.

Установка, настройка антивирусного ПО на компьютерах в соответствии с требованиями максимальной защиты всех узлов сети.

Установка, настройка серверной части обеспечения, централизованное обновление вирусных баз, а также управление ими.

Последующий регулярный аудит внедренного решения, обновление ПО и профилактическая проверка компьютеров.

Только полноценная защита от вирусов на сегодняшний день является единственным результативным средством снижения рисков проникновения посторонних в сеть компании. Правильное же использование комплексных антивирусных решений в составе единой системы по информационной безопасности компании позволит исключить возможны потери.

Стратегия антивирусной защиты предприятия

Линейка услуг для ИТ-структуры корпорации от компании «БитПрофи» будет неполной без услуги создания и обслуживания корпоративных антивирусных систем. Стратегия антивирусной защиты предприятия направлена на осуществление многоуровневой защиты всех уязвимых элементов в ИТ-структуре организации.

Инфраструктурный уровень

Выбирается структура сети, обеспечивающая необходимую защиту от вторжений для самых критичных и уязвимых элементов сети. Она включает защиту сети от атак через установку сетевого шлюза с файерволом корпорации, фильтрация внешнего трафика сети (в том числе входящей электронной корреспонденции), загружаемых интернет-страниц и служб мгновенных сообщений, которые чаще всего становятся источниками заражения.

Уровень программного обеспечения

Проводится работа по выявлению уязвимых приложений, регулярное своевременное обновление ПО с целью закрытия обнаруженных уязвимостей. Устанавливается нужное программное обеспечение, в зависимости от потребностей конкретной организации.

Уровень оборудования

Исследуется возможность и порядок применения внешних запоминающих устройств (Flash-накопители, оптические носители и прочее) с целью сокращения числа возможных источников заражения вирусами.

Уровень прав доступа

Регламентируются права пользователей системы, сводя к минимуму возможность проникновения вредоносных программ. Организовывается регулярное резервное копирование всей критичной информации для быстрого восстановления при необходимости. Проводится планомерный контроль состояния антивирусных программ, аудит безопасности сети и полные антивирусные проверки.

Сотрудники компании «БитПрофи» контролируют состояние антивирусных средств клиентов и получают автоматические извещения при выявлении вирусов в сети заказчика. Это позволяет оперативно реагировать и своевременно устранять угрозы возникших вирусных заражений, исключая серьезные последствия.

Функции антивирусной защиты сети предприятия

Комплексная защита сети от вирусов предприятия выполняет следующие функции:

Защита персональных компьютеров предотвращает проникновение вредоносных программ из разных источников. Так обеспечивается проактивная защита от неизвестных в базе вирусов.

Защита шлюзов и сервера электронной почты, системы обмена e-mail и обеспечение безопасного коллективного доступа к документам компании. Антивирус на почтовом сервере контролирует и проверяет электронную почту, лечит или удаляет поврежденные файлы. Система защиты не пропускает зараженные письма на персональные компьютеры, где бороться с вирусами гораздо сложнее;

Защита интернет-трафика. Антивирус проверяет весь трафик, поступающий из Интернета, и удаляет вирусы. Этот этап существенно повышает общую защищенность сети и является весомым дополнением к антивирусной защите рабочих мест и серверов, но не гарантирует полную безопасность;

Защита файлового сервера. В этом случае антивирус проверяет открываемые или изменяемые файлы. Проводится распределение системой серверных ресурсов между антивирусом и прочими серверными приложениями, предоставляя возможность минимального влияния на ключевые серверные службы;

Регулярное автоматическое обновление ПО позволяет устранять уязвимости в программных продуктах, предотвращая заражение, а не борясь с его последствиями.

Обеспечение централизованного доступа к управлению элементами антивирусной защиты. Этот этап является ключевым в обеспечении безопасности корпоративной системы. Регулярный мониторинг всех элементов защиты позволяет администратору максимально быстро выявить проблему на одной компьютере, исключая ее переход на следующие устройства. Отличие персональных антивирусных программ от корпоративных решений заключается именно в возможности централизованного мониторинга и администрирования. Даже в небольших сетях такая возможность необходима для обеспечения безопасности.

Таким образом, качественная установка и настройка системы защиты локальной сети от вирусов на предприятии является непростой задачей, требующей вовлечения профессионального ИТ-инженера. Ведь услуга комплексной антивирусной защиты обеспечивает предприятию надежность и высокую безопасность функционирования информационных систем, гарантированно снижая риски вирусного заражения компьютерных систем предприятия.

Специалисты компании «БитПрофи» возьмут на себя заботы по организации системы антивирусной защиты корпоративной информации вашего предприятия. Мы проанализируем все внутренние системные потоки, рассмотрим возможные варианты по реализации вирусной угрозы всех элементов сети поэтапно и по отдельности, а также для всей информационной среды организации в целом. После аналитической подготовки наши сотрудники разработают комплекс мер обеспечения безопасности, включительно с системами антивирусной защиты информации и другими эффективными средствами.

Правильная установка и настройка программного обеспечения – это одна из первых и самых важных задач в планировании деятельности вашей компании. Специалисты компании «БитПрофи» профессионально настроят, установят и будут вести поддержку вашего оборудования, используя

Читинский Государственный УниверситетЭнергетический институтФакультет экономики и информатикиКафедра прикладной информатики и математики Рефератпо предмету: Пользователь ПКна тему: Антивирусное ПО для серверов Выполнила: ст. гр. ПИ-07-1Злова В.В.Проверила: ст. преп. каф. ПИММонич И.П. Чита, 2007Содержание

Введение. 3

1 Файл-серверы как один из источников распространения вирусов. 5

2 Антивирусное ПО для серверов локальных сетей. 5

3 Антивирусное ПО для почтовых серверов. 8

4 Антивирус Касперского. 11

Заключение. 17

Список использованной литературы.. 18

Введение Одной из самых опасных на сегодняшний день угроз информационной безопасности являются компьютерные вирусы. Компьютерным вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере.

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Для большинства организаций защита сетевых ресурсов от несанкционированного доступа становится одной из наиболее острых проблем. Особую тревогу вызывает тот факт, что Интернет в настоящее время повсеместно используется для транспортировки и хранения различных данных и конфиденциальной корпоративной информации.

Задача защиты информации особенно актуальна для владельцев онлайновых информационных баз данных, издателей электронных журналов и т.д.

На сегодняшний день для борьбы с вирусами создано множество антивирусных программ.Антивирусная программа (антивирус) - изначально программа для обнаружения и лечения программ, зараженных компьютерным вирусом, а также для предотвращения заражения файла вирусом (например, с помощью вакцинации). Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.Антивирусное программное обеспечение помогает защищать компьютер от известных вирусов, "червей", "троянцев" и других зловредных программ, от которых может произойти сбой в работе компьютера. В настоящее время файловые и почтовые серверы являются основным инструментом для управления данными. Хранение, обмен и передача данных - основные задачи в таком управлении, но они невозможны без легкого доступа к информации, интеграции данных и стабильности системы. Файловый сервер - один из наиболее уязвимых сетевых ресурсов. При заражении или сбое в работе доступ к другим сетевым ресурсам может быть ограничен. Один зараженный файл может привести к заражению большого массива данных, потерях в интеграции данных и сбоям в работе системы. Такие риски являются причиной высокой стоимости продуктов для управления серверами и сетевыми ресурсами. Файл-серверы “общего пользования” и электронные конференции служат одним из основных источников распространения вирусов. Практически каждую неделю приходит сообщение о том, что какой-либо пользователь заразил свой компьютер вирусом, который был снят с BBS, ftp-сервера или из какой-либо электронной конференции. При этом часто зараженные файлы "закладываются" автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям одновременно, и эти файлы маскируются под новые версии какого-либо программного обеспечения (иногда - под новые версии антивирусов). В случае массовой рассылки вируса по файл-серверам ftp/BBS пораженными практически одновременно могут оказаться тысячи компьютеров, однако в большинстве случаев "закладываются" DOS- или Windows-вирусы, скорость распространения которых в современных условиях значительно ниже, чем макро-вирусов. По этой причине подобные инциденты практически никогда не кончаются массовыми эпидемиями, чего нельзя сказать про макро-вирусы.2 Антивирусное ПО для серверов локальных сетей Вопросы эффективной антивирусной защиты сегодня как никогда актуальны и в корпоративном секторе, и среди частных пользователей, однако, в отличие от последних, проблемы и задачи, встающие перед компаниями, намного серьезнее и требуют решений иного уровня. Администраторам корпоративных информационных систем приходится устанавливать антивирусные средства, конфигурировать их и настраивать политики обновления, а также следить, чтобы антивирусы постоянно были включены на сотнях или даже тысячах машин, - и зачастую делать все это приходится вручную. Локальные сети – один из основных источников распространения вирусов. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере (в случае Novell NetWare - LOGIN.COM). На следующий день пользователи при входе в сеть запускают зараженные файлы. Вместо служебного файла LOGIN.COM может также выступать различное программное обеспечение, установленное на сервере, стандартные документы-шаблоны или Excel-таблицы, применяемые в фирме.

Опасность заражения вычислительных сетей реальна для любого предприятия, но реальное развитие вирусная эпидемия может получить в локальных сетях крупных хозяйственно-производственных комплексов с территориально-развлетвленной инфраструктурой. Их вычислительные сети, как правило, создавались поэтапно, с использованием различного аппаратного и программного обеспечения. Очевидно, что для таких предприятий вопрос антивирусной защиты становится весьма сложным, причем не только в техническом, но и в финансовом плане.

Вместе с тем решение этого вопроса достигается путем сочетания организационных мер и программно-технических решений. Данный подход не требует больших технических и немедленных финансовых затрат, и может быть применен для комплексной антивирусной защиты локальной сети любого предприятия.

В основу построения такой системы антивирусной защиты могут быть положены следующие принципы:

Принцип реализации единой технической политики при обосновании выбора антивирусных продуктов для различных сегментов локальной сети;

Принцип полноты охвата системой антивирусной защиты всей локальной сети организации;

Принцип непрерывности контроля локальной сети предприятия, для своевременного обнаружения компьютерной инфекции;

Принцип централизованного управления антивирусной защитой;

Принцип реализации единой технической политики предусматривает использование во всех сегментах локальной сети только антивирусного ПО, рекомендуемого подразделением антивирусной защиты предприятия. Эта политика носит долгосрочный характер, утверждается руководством предприятия и является основой для целевого и долговременного планирования затрат на приобретение антивирусных программных продуктов и их дальнейшее обновление.

Принцип полноты охвата системой антивирусной защиты локальной сети предусматривает постепенной внедрение в сеть программных средств антивирусной защиты до полного насыщения в сочетании с организационно-режимными мерами защиты информации.

Принцип непрерывности контроля за антивирусным состоянием локальной сети подразумевает такую организацию ее защиты, при которой обеспечивается постоянная возможность отслеживания состояния сети для выявления вирусов.

Принцип централизованного управления антивирусной защитой предусматривает управление системой из одной органа с использованием технических и программных средств. Именно этот орган организует централизованный контроль в сети, получает данные контроля или доклады пользователей со своих рабочих мест об обнаружении вирусов и обеспечивает внедрение принятых решений по управлению системой антивирусной защиты.Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке антивирусных продуктов. Как правило, требуется создание отдельной подсистемы. В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего вновь приобретаемого антивирусного ПО, а также установке антивирусных пакетов на почтовые серверы. 3 Антивирусное ПО для почтовых серверов

Если на заре развития компьютерных технологий основным каналом распространения вирусов был обмен файлами программ через дискеты, то сегодня пальма первенства принадлежит электронной почте. Электронная почта - удобное и незаменимое средство делового общения. Однако посредством электронной почты распространяется большая часть вирусов и спама, она может быть каналом утечки конфиденциальных данных. Каждый день по ее каналам передаются миллионы и миллионы сообщений, причем многие из этих сообщений заражены вирусами.

К сожалению, файлы вложений, передаваемые вместе с электронными сообщениями, также могут оказаться чрезвычайно опасными для здоровья компьютера. В чем опасность файлов вложения? В качестве такого файла пользователю могут прислать вирусную или троянскую программу либо документ в формате Microsoft Office (*.doc, *.xls), зараженный компьютерным вирусом. Запустив полученную программу на выполнение или открыв для просмотра документ, пользователь может инициировать вирус или установить на свой компьютер троянскую программу. Более того, из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем. В этом случае, если не предпринимать никаких защитных мер, проникновение вирусов или других вредоносных программ на ваш компьютер – дело времени.Возможны и другие попытки проникновения на компьютер через электронную почту. Например, могут прислать сообщение в виде документа HTML, в который встроен троянский элемент управления ActiveX. Открыв такое сообщение, вы можете загрузить этот элемент на свой компьютер, после чего тот немедленно начнет делать свое дело.E-mail trojan - трояны, позволяющие "вытаскивать" пароли и другую информацию из файлов вашего компьютера и отправлять их по электронной почте хозяину. Это могут быть логины и Internet-пароли провайдера, пароль от почтового ящика, пароли ICQ и IRC и др.Чтобы отправить письмо владельцу по почте, троян связывается с почтовым сервером сайта по протоколу SMTP (например, на smtp.mail.ru). После сбора необходимых данных троян проверит, отсылались ли эти данные. Если нет - данные отсылаются и сохраняются в регистре. Если уже отсылались, то из регистра извлекается предыдущее письмо, и происходит его сравнение с текущим. Если в информации произошли какие-либо изменения (появились новые данные), то письмо отсылается, и в регистре записываются свежие данные о паролях. Одним словом, этот вид троянов просто занимается сбором информации, и жертва может даже и не догадываться, что ее пароли уже кому-то известны.В архиве такого трояна обычно находится 4 файла: редактор сервера (конфигуратор), сервер трояна, упаковщик (склейщик) файлов, руководство для использования.В результате работы могут определяться следующие данные:1) IP-адрес компьютера жертвы;2) подробнейшие сведения о системе (имя компьютера и пользователя, версия Windows, модем и т.д.);3) все кэшированные пароли;4) все настройки телефонных соединений включая телефонные номера, логины и пароли;5) пароли от ICQ;6) число последних посещенных сайтов.Помимо чисто административных мер, для борьбы с вирусами и другими вредоносными программами необходимо использовать специальное антивирусное программное обеспечение (антивирусы).Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно. Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда умеют анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа может легко просочиться сквозь защиту на диск компьютера.Кроме того, эффективность антивирусов очень сильно зависит от соблюдения правил их применения: необходимо периодически обновлять антивирусную базу данных, использовать правильные настройки антивирусного сканера и т.д. К сожалению, многие владельцы компьютеров не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных, что неизбежно приводит к вирусному заражению.Понимая актуальность проблемы распространения вирусов по электронной почте, многие компании предлагают специальные программы-антивирусы для защиты почтовых серверов. Такие антивирусы анализируют поток данных, проходящий через почтовый сервер, не допуская передачи сообщений с зараженными файлами вложений. Существует и другое решение – подключение к почтовым серверам обычных антивирусов, предназначенных для проверки файлов.Антивирусная защита почтовых серверов SMTP и POP3 намного эффективнее антивирусной защиты компьютеров пользователей. Как правило, настройкой антивирусов на сервере занимается опытный администратор, который не ошибется при настройке и к тому же включит режим автоматического обновления базы данных через Интернет. Пользователи защищенных серверов SMTP и POP3 могут не беспокоиться по поводу основного канала распространения вирусов – к ним будут приходить сообщения, уже очищенные от вирусов.Действия, выполняемые почтовыми серверами при отправке и получении зараженных писем, зависят от настройки антивируса и самого почтового сервера. Например, когда отправитель пытается послать сообщение с зараженным файлом, защищенный почтовый сервер SMTP откажет ему в этом, а почтовая программа выведет на экран предупреждающее сообщение.Если же кто-то пошлет на ваш адрес письмо с зараженным файлом вложения, то при использовании защищенного сервера POP3 вместо него придет только сообщение об обнаружении вируса.Несмотря на постоянно растущую популярность платформы Microsoft Windows, сегодня большинство серверов Интернета работает под управлением операционных систем Linux, FreeBSD и аналогичных UNIX-подобных систем. Основное преимущество Linux – очень низкая стоимость приобретения. Каждый может загрузить через Интернет дистрибутив Linux и установить его на любое количество компьютеров. В составе этого дистрибутива есть все, что нужно для создания узла Интернета, в том числе и серверы электронной почты.Среди других преимуществ Linux и подобных ОС следует отметить открытость, доступность исходных текстов, наличие огромного сообщества добровольных разработчиков, готовых помочь в сложных ситуациях, простое удаленное управление с помощью текстовой консоли и т.д. Для ОС этой серии было создано всего несколько десятков вирусов, что говорит о ее высокой защищенности.

4 Антивирус Касперского

ВЯЧЕСЛАВ МЕДВЕДЕВ , ведущий аналитик отдела развития компании «Доктор Веб»

Процедура внедрения антивирусной защиты

Достаточно часто в момент выбора (а иногда уже и в момент закупки) клиенты интересуются рекомендациями по порядку развертывания антивирусной защиты или этапам замены ранее используемого продукта. В этой статье речь пойдет о том, как правильно организовать процесс

Крайне важный момент. К сожалению, в большинстве случаев контакты по вопросам продаж идут с менеджерами, а вопрос тестирования передается системным администраторам. В результате зачастую рождается отчет, приводящий в изумление даже вендора. Неверные названия продуктов, древние версии, указания на отсутствие функционала, который в действительности имеется уже несколько лет, и т.д. Нужно все переделывать, но поезд уже ушел, да и корпоративная честь мешает сознаться в отсутствии нужной квалификации у своих специалистов.

1) Изучение возможностей решения в ходе тестовых установок систем защиты рабочих станций, файловых серверов, почтовых серверов, а также серверов управления антивирусной защитой. Здесь также есть несколько подводных камней. Как ни странно, но довольно часто заказчики не знают, что им нужно. И ладно бы вопрос касался функционала, это было бы понятно. Зачастую затруднения вызывает даже вопрос о списке используемого в организации ПО, что, в свою очередь, не позволяет сформировать предложения по списку поставляемого ПО.

Вторая проблема связана с тем, что системные администраторы (которые, как правило, и проводят тестирование) хорошо знают используемые продукты, но (естественно) не знают преимуществ и недостатков продукта тестируемого (но при этом ожидают, что подводные камни в случае закупки продукта будут). Соответственно, рекомендуется согласовать с предполагаемым поставщиком список процедур, которые будут реализовываться с помощью закупаемого продукта, и запросить пошаговые инструкции по данному функционалу или, в случае отсутствия таких инструкций, инструкции по тестированию. Это позволит избежать непроизводительного расхода времени на изучение неочевидных вопросов.

2) Проверка действия политик безопасности, сформированных в соответствии с политикой информационной безопасности компании. В связи с тем, что каждый продукт по-своему реализует необходимый компании функционал (например, позволяет или не позволяет использовать произвольный браузер для управления), как список шагов процедуры, так и ее продолжительность могут отличаться. В обычное время это не критично, но в случае вирусного инцидента может быть дорога каждая секунда.

3) Проверка совместимости ПО Dr.Web и ПО, используемого в компании. Несовместимость ПО встречается нечасто, но не учитывать такую вероятность нельзя. Поэтому данный шаг также является обязательным в ходе тестирования предлагаемого продукта.

4) Уточнение плана развертывания ПО Dr.Web по итогам тестовых установок в соответствии со структурой корпоративной сети компании и графиком работы сотрудников.

а) Уточнение времени развертывания компонентов ПО Dr.Web в условиях локальной сети компании. Достаточно часто в ходе закупки задают вопрос о времени, требуемом для развертывания. Практика показывает, что в подавляющем большинстве случаев продолжительность развертывания зависит исключительно от специалистов компании. Согласно той же практике достаточно выходных для полного перевода компании с одной системы защиты на другую при количестве станций, приближающемся к тысяче.

б) Выбор типа развертывания ПО Dr.Web на локальных станциях и файловых серверах (политика AD, запуск дистрибутивов локально, сканирование сети на незащищенные станции и пр.). В зависимости от пропускной способности сети, наличия Active Directory, требований по защите филиалов и удаленных сотрудников компания может выбрать самые разные варианты развертывания (см. рис. 1).

в) Выбор порядка и времени развертывания ПО в соответствии со структурой корпоративной сети компании и графиком работы сотрудников. Крайне важно обеспечить непрерывность работы компании во время развертывания системы защиты. По закону подлости именно в момент отсутствия защиты могут произойти самые страшные заражения.

Пример схемы развертывания инсталляции антивируса в сети предприятия представлен на рис. 2.

5) Обучение администраторов безопасности компании приемам работы с ПО.

6) Отработка процедур, связанных с удалением используемого антивирусного ПО и установкой ПО.

Как ни странно, удаление используемого антивируса вызывает очень много вопросов. Заказчики требуют, чтобы устанавливаемый антивирус удалял ранее используемый. К сожалению, в большинстве случаев это невозможно. Система самозащиты антивируса, рассчитанная на противодействие злоумышленникам, препятствует его удалению кем-либо.

а) Выработка мер защиты на период отсутствия антивирусного ПО на элементах сети компании. Как вариант, можно на данный период развернуть проверку всего входящего трафика на шлюзе и запретить использование сменных носителей.

7) Проверка локальной сети (защищаемых станций и серверов) на наличие сервисов, необходимых для развертывания ПО в сети компании. В случае необходимости – корректировка правил файерволов, используемых в сети компании. Этот пункт также вызывает затруднения. Как ни странно, но никакой продукт не может сконденсироваться на защищаемом компьютере из воздуха. В зависимости от выбранного типа развертывания необходимо открыть те или иные порты, включить требуемые сервисы и т.д.

Иногда именно ограничения по используемым портам и сервисам, действующие в компании, служат основанием для выбора типа развертывания.

8) Утверждение плана-графика развертывания в сети компании. Доведение плана-графика до сотрудников компании в части, их касающейся. Сотрудники компании должны знать (в части, их касающейся) о проводимых в компании мероприятиях. Специалисты компании в рамках проводимых мероприятий должны иметь возможность оперативно получить доступ к необходимым компьютерам и помещениям. Зачастую без санкции соответствующего руководителя это невозможно.

Замена антивирусного ПО в сети компании

1) Подготовка необходимого ПО в зависимости от выбранного типа развертывания. Вполне очевидно, что для различных ОС, типов приложений и т.д. используются различные дистрибутивы.

• Установка серверов иерархической сети, узлов кластера, а также, если нужно, необходимой базы данных (см. рис. 3).

• Развертывание системы резервирования серверов Dr.Web (см. рис. 4). Любой сервер может упасть. Но падение антивирусного сервера приводит к прекращению обновлений защищаемых станций. Поэтому резервирование антивирусных серверов является насущно необходимым.

• Настройка групп и политик.
• В случае необходимости – назначение отдельных администраторов группы пользователей и ограничение прав данных администраторов в соответствии с политикой, действующей в компании.
• Проведение требуемых мероприятий в зависимости от выбранной политики развертывания. Например, настройка AD.

2) Сканирование сети компании сетевой утилитой Dr.Web CureNet! на наличие не известных ранее вредоносных программ (см. рис. 5). К сожалению, нельзя гарантировать, что на ПК, на котором предполагается проводить установку, отсутствуют вредоносные программы. Естественно, установка на зараженную машину возможна, но всегда существует шанс, что работающая вредоносная программа имеет функционал, направленный на противодействие установке антивируса. Как минимум это выбьет из графика процесс развертывания защиты, поэтому поверку на наличие вредоносного ПО лучше провести незадолго до установки.

• Установка системы защиты рабочих станций и файловых серверов в соответствии с настройками, сделанными на предыдущем этапе.
• Установка системы защиты почтовых серверов, шлюзов сети Интернет.

5) Эксплуатация программного обеспечения в течение тестового периода.

6) Проведение обновлений ПО в соответствии с политикой, действующей в компании.

7) Проведение периодических проверок защищаемых рабочих станций, файловых и почтовых серверов (см. рис. 7).

8) Контроль действий ПО на тестовые воздействия вредоносного ПО.

9) Проверка процедуры взаимодействия с технической поддержкой.

В общем, ничего сложного, если готовиться к любому этапу заранее.

Удачи в развертывании!

Вконтакте

Сервер является важнейшей частью информационной инфраструктуры любой компании - какой бы маленькой или большой она ни была. Оставлять сервер без антивирусной защиты нельзя.

От руководителей компаний нередко можно услышать, что «для нашего сервера антивирус не нужен, так как на него заходит только системный администратор» и «для ОС Линукс антивирусы не нужны».

Возможно, эти утверждения когда-то были правдой, но сейчас такой подход - угроза для компаний. Чтобы разобраться со вторым мифом, достаточно посмотреть на количество создаваемых в день вредоносных программ для открытых операционных систем.

Вряд ли злоумышленники создавали бы столько вредоносных программ просто так, для собственного удовольствия.

Для того чтобы закрыть тему необходимости защиты сервера, достаточно процитировать свежую новость:

Киберпреступной группировке Cobalt удалось взломать автоматизированную банковскую систему (АБС) БЖФ, вывести деньги на банковские карты, а затем обналичить их.

Правоохранительные органы отметили, что успеху атаки способствовало отсутствие российских антивирусов, плановой установки обновлений, иные нарушения правил информационной безопасности.

По данным статистики Dr.Web, до сих пор активен троянец-шифровальщик Trojan.Encoder.11432 , он же WannaCry. Его широкое распространение свидетельствует о том, что очень многие компании пренебрегают установкой обновлений.

Защитить серверы компаний от вредоносных программ, в том числе проникающих через незакрытые уязвимости, может установка антивирусной защиты. Напомним, что от эпидемии WannaCry не пострадал ни один клиент компании «Доктор Веб», так как WannaCry распознавался эвристическими механизмами антивирусного ядра Dr.Web.

А сэкономить на антивирусной защите сервера нужно и можно. Вот как выглядит эта экономия, если сеть компании защищает антивирусная система защиты Dr.Web Enterprise Security Suite.

Разберем несколько примеров стоимости защиты серверов средствами Dr.Web с .

При выборе лицензии для защиты 1 сервера и 10 станций ее стоимость составит:

• Для сервера 6500 руб.,
• для станций 10 890 руб.

Для компании большего размера с 10 серверами стоимость защиты сервера обойдется по цене защиты станции , а именно 1 089 руб. за один защищаемый сервер.

Для еще более крупного предприятия с 25 серверами стоимость одной лицензии составит всего 882 руб. для одного сервера.

А при миграции новых клиентов, которые ранее не пользовались защитой Dr.Web вовсе или защитой серверов, стоимость защиты дополнительно снижается вдвое - т. к. действует скидка 50%. Еще более выгодна миграция сразу на 2 года, ведь второй год защиты Dr.Web будет совершенно бесплатный.