Процедура внедрения антивирусной защиты. Настройка антивирусной защиты Создание сервера антивирусной защиты

Монтаж

ВЯЧЕСЛАВ МЕДВЕДЕВ , ведущий аналитик отдела развития компании «Доктор Веб»

Процедура внедрения антивирусной защиты

Достаточно часто в момент выбора (а иногда уже и в момент закупки) клиенты интересуются рекомендациями по порядку развертывания антивирусной защиты или этапам замены ранее используемого продукта. В этой статье речь пойдет о том, как правильно организовать процесс

Крайне важный момент. К сожалению, в большинстве случаев контакты по вопросам продаж идут с менеджерами, а вопрос тестирования передается системным администраторам. В результате зачастую рождается отчет, приводящий в изумление даже вендора. Неверные названия продуктов, древние версии, указания на отсутствие функционала, который в действительности имеется уже несколько лет, и т.д. Нужно все переделывать, но поезд уже ушел, да и корпоративная честь мешает сознаться в отсутствии нужной квалификации у своих специалистов.

1) Изучение возможностей решения в ходе тестовых установок систем защиты рабочих станций, файловых серверов, почтовых серверов, а также серверов управления антивирусной защитой. Здесь также есть несколько подводных камней. Как ни странно, но довольно часто заказчики не знают, что им нужно. И ладно бы вопрос касался функционала, это было бы понятно. Зачастую затруднения вызывает даже вопрос о списке используемого в организации ПО, что, в свою очередь, не позволяет сформировать предложения по списку поставляемого ПО.

Вторая проблема связана с тем, что системные администраторы (которые, как правило, и проводят тестирование) хорошо знают используемые продукты, но (естественно) не знают преимуществ и недостатков продукта тестируемого (но при этом ожидают, что подводные камни в случае закупки продукта будут). Соответственно, рекомендуется согласовать с предполагаемым поставщиком список процедур, которые будут реализовываться с помощью закупаемого продукта, и запросить пошаговые инструкции по данному функционалу или, в случае отсутствия таких инструкций, инструкции по тестированию. Это позволит избежать непроизводительного расхода времени на изучение неочевидных вопросов.

2) Проверка действия политик безопасности, сформированных в соответствии с политикой информационной безопасности компании. В связи с тем, что каждый продукт по-своему реализует необходимый компании функционал (например, позволяет или не позволяет использовать произвольный браузер для управления), как список шагов процедуры, так и ее продолжительность могут отличаться. В обычное время это не критично, но в случае вирусного инцидента может быть дорога каждая секунда.

3) Проверка совместимости ПО Dr.Web и ПО, используемого в компании. Несовместимость ПО встречается нечасто, но не учитывать такую вероятность нельзя. Поэтому данный шаг также является обязательным в ходе тестирования предлагаемого продукта.

4) Уточнение плана развертывания ПО Dr.Web по итогам тестовых установок в соответствии со структурой корпоративной сети компании и графиком работы сотрудников.

а) Уточнение времени развертывания компонентов ПО Dr.Web в условиях локальной сети компании. Достаточно часто в ходе закупки задают вопрос о времени, требуемом для развертывания. Практика показывает, что в подавляющем большинстве случаев продолжительность развертывания зависит исключительно от специалистов компании. Согласно той же практике достаточно выходных для полного перевода компании с одной системы защиты на другую при количестве станций, приближающемся к тысяче.

б) Выбор типа развертывания ПО Dr.Web на локальных станциях и файловых серверах (политика AD, запуск дистрибутивов локально, сканирование сети на незащищенные станции и пр.). В зависимости от пропускной способности сети, наличия Active Directory, требований по защите филиалов и удаленных сотрудников компания может выбрать самые разные варианты развертывания (см. рис. 1).

в) Выбор порядка и времени развертывания ПО в соответствии со структурой корпоративной сети компании и графиком работы сотрудников. Крайне важно обеспечить непрерывность работы компании во время развертывания системы защиты. По закону подлости именно в момент отсутствия защиты могут произойти самые страшные заражения.

Пример схемы развертывания инсталляции антивируса в сети предприятия представлен на рис. 2.

5) Обучение администраторов безопасности компании приемам работы с ПО.

6) Отработка процедур, связанных с удалением используемого антивирусного ПО и установкой ПО.

Как ни странно, удаление используемого антивируса вызывает очень много вопросов. Заказчики требуют, чтобы устанавливаемый антивирус удалял ранее используемый. К сожалению, в большинстве случаев это невозможно. Система самозащиты антивируса, рассчитанная на противодействие злоумышленникам, препятствует его удалению кем-либо.

а) Выработка мер защиты на период отсутствия антивирусного ПО на элементах сети компании. Как вариант, можно на данный период развернуть проверку всего входящего трафика на шлюзе и запретить использование сменных носителей.

7) Проверка локальной сети (защищаемых станций и серверов) на наличие сервисов, необходимых для развертывания ПО в сети компании. В случае необходимости – корректировка правил файерволов, используемых в сети компании. Этот пункт также вызывает затруднения. Как ни странно, но никакой продукт не может сконденсироваться на защищаемом компьютере из воздуха. В зависимости от выбранного типа развертывания необходимо открыть те или иные порты, включить требуемые сервисы и т.д.

Иногда именно ограничения по используемым портам и сервисам, действующие в компании, служат основанием для выбора типа развертывания.

8) Утверждение плана-графика развертывания в сети компании. Доведение плана-графика до сотрудников компании в части, их касающейся. Сотрудники компании должны знать (в части, их касающейся) о проводимых в компании мероприятиях. Специалисты компании в рамках проводимых мероприятий должны иметь возможность оперативно получить доступ к необходимым компьютерам и помещениям. Зачастую без санкции соответствующего руководителя это невозможно.

Замена антивирусного ПО в сети компании

1) Подготовка необходимого ПО в зависимости от выбранного типа развертывания. Вполне очевидно, что для различных ОС, типов приложений и т.д. используются различные дистрибутивы.

  • Установка серверов иерархической сети, узлов кластера, а также, если нужно, необходимой базы данных (см. рис. 3).

  • Развертывание системы резервирования серверов Dr.Web (см. рис. 4). Любой сервер может упасть. Но падение антивирусного сервера приводит к прекращению обновлений защищаемых станций. Поэтому резервирование антивирусных серверов является насущно необходимым.

  • Настройка групп и политик.
  • В случае необходимости – назначение отдельных администраторов группы пользователей и ограничение прав данных администраторов в соответствии с политикой, действующей в компании.
  • Проведение требуемых мероприятий в зависимости от выбранной политики развертывания. Например, настройка AD.

2) Сканирование сети компании сетевой утилитой Dr.Web CureNet! на наличие не известных ранее вредоносных программ (см. рис. 5). К сожалению, нельзя гарантировать, что на ПК, на котором предполагается проводить установку, отсутствуют вредоносные программы. Естественно, установка на зараженную машину возможна, но всегда существует шанс, что работающая вредоносная программа имеет функционал, направленный на противодействие установке антивируса. Как минимум это выбьет из графика процесс развертывания защиты, поэтому поверку на наличие вредоносного ПО лучше провести незадолго до установки.

  • Установка системы защиты рабочих станций и файловых серверов в соответствии с настройками, сделанными на предыдущем этапе.
  • Установка системы защиты почтовых серверов, шлюзов сети Интернет.

5) Эксплуатация программного обеспечения в течение тестового периода.

6) Проведение обновлений ПО в соответствии с политикой, действующей в компании.

7) Проведение периодических проверок защищаемых рабочих станций, файловых и почтовых серверов (см. рис. 7).

8) Контроль действий ПО на тестовые воздействия вредоносного ПО.

9) Проверка процедуры взаимодействия с технической поддержкой.

В общем, ничего сложного, если готовиться к любому этапу заранее.

Удачи в развертывании!


Вконтакте

Сервером называется специализированный компьютер, действия на котором происходят без активного участия пользователя. Обычно туда устанавливается сервисное программное обеспечение для осуществления определенных задач. Через такой компьютер происходит обмен данными, запуск действий, произведение математических расчетов и многое другое. Все серверы различаются по типам, например, существуют игровые, веб, почтовые и прокси-серверы. Каждое такое устройство выполняет четко поставленную задачу. Нередко для безопасного функционирования такой машины на нее устанавливается антивирус, поэтому мы бы хотели рассказать подробнее о таком ПО, выделив несколько конкретных решений.

Платформа: Windows Server

Известная многим антивирусная компания Avast выпускает сборку специально под серверы, предоставляя дополнительные полезные инструменты. Например, обратите внимание на функцию «Уничтожение данных» . Она реализована таким образом, что перезаписывает во всех удаленных данных случайно сгенерированную информацию, что не позволит воссоздать исходное состояние файла при попытке его восстановления. Помимо этого, присутствует «Анализ поведения» — инструмент, отвечающий за сканирование рабочих приложений на предмет подозрительной активности. Если блокнот пытается получить доступ к той же веб-камере, такой запрос будет сразу блокироваться. Конечно, такой пример прост, но функция работает на более высоком уровне.

Еще в Avast Business Antivirus Pro есть встроенный брандмауэр, средство интеллектуального сканирования, защита от спама, защита паролей и упрощение входа в учетные записи. Происходит и постоянное сравнение вероятных угроз с текущей базой вирусов при помощи технологии Software defender. Она позволит вам взаимодействовать только с проверенными данными. В свою очередь, инструмент CyberCapture будет отправлять подозрительные объекты в лабораторию изучения угроз.

Avira Antivirus Server

Платформа: Windows Server

Avira Antivirus Server — специальное решение от компании-разработчика для серверов под управлением операционной системы Windows. Создатели обещают максимально эффективную работу с низким потреблением системных ресурсов, высокий коэффициент обнаружения угроз и удобство использования. В сборке добавлены инструменты по защите при доступе, то есть осуществляется контроль выполняемых процессов во время обращения к ним со стороны других приложений. Присутствует и ручное сканирование, позволяющее в любой момент запустить анализ указанного носителя или отдельной директории.

Еще раз отметим, что разработчик делает особый акцент на низком потреблении ресурсов ПК и простоте управления антивирусом. Обещаются и постоянные бесплатные нововведения и обновления баз вирусов. Если вас интересует ознакомление с этим продуктом, получить бесплатную версию на 30-дневный период можно на официальном сайте, заполнив соответствующую форму. Во время тестирования будут доступны все инструменты и функции, а также возможно бесплатное обращение в службу поддержки.

ESET File Security

ESET File Security рассчитан на работу на серверах Windows и Linux, и предоставляет многоуровневую защиту благодаря дополнительному компоненту облачной песочнице ESET Dynamic Threat Defense. Облачная система защиты производит автоматическую защиту от новых угроз без ожидания обновления механизма обнаружения (указанное среднее время обновлений — 20 минут). Встроенная защита от сетевых атак распознает известные уязвимости на сетевом уровне, а при использовании OneDrive его сканированием займется механизм Office 365 OneDrive Storage. Обратить внимание следует и на предотвращение влияния ботнетов. Инструмент находит не только вредоносное соединение, но и определяет такие же процессы, сразу блокируя опасную деятельность и сообщая об этом пользователю.

Для управления ESET File Security пользователю предлагается установить консоль на Windows или Linux, а в целях упрощения настройки имеется виртуальное устройство импорта. Ознакомиться со всей функциональностью этого антивируса, попробовать его бесплатную версию и купить полную вы можете на официальном сайте разработчиков.

Kaspersky Security

Платформа: Windows Server, Linux

Kaspersky Security for Servers входит в состав сборок — Total, Endpoint Security для бизнеса, Kaspersky Security для виртуальных и облачных сред и Kaspersky Security для систем хранения данных. Покупая одну из этих версий, вы получаете надежную защиту своего сервера от новейшего поколения вредоносного ПО. Рассматриваемый софт имеет расширенную защиту серверов и предоставляет защиту от эксплойтов, защиту терминальных серверов, следит за внешним трафиком, целостностью системы и непрерывно оберегает системы хранения данных с помощью многоуровневого инструмента. Встроенные системы по управлению правами администраторов обеспечивают удобство управления, уведомлений, а также возможна интеграция с SIEM-системами и управление сетевым экраном Windows.

Хотелось бы отметить, что у Kaspersky Security отдельные системные требования под конкретные платформы хранения данных, например, для NetApp — Clustered Data ONTAP 8.x и 9.x и Data ONTAP 7.x и 8.x в режиме 7-mode, а для EMC Isilon — IBM System Storage N series. Ознакомиться с перечнем всех требований вы можете при скачивании антивируса на сайте Kaspersky.

McAfee VirusScan Enterprise

Платформа: Windows Server, Linux

Ранее пользователи устанавливали на свои серверы McAfee Endpoint Security, однако разработчиками было принято решение усовершенствовать этот продукт с дальнейшим изменением его названия. Теперь это VirusScan Enterprise. Каждому, кто ранее использовал этот антивирус, предлагают выполнить бесплатную миграцию. На официальном сайте предоставлены все необходимые инструкции и уроки по этому вопросу. В базовый инструментарий новой версии входят: брандмауэр, средства веб-контроля для обмена информацией об угрозах, обязательный антивирус и опции предотвращения использования уязвимостей.

В McAfee VirusScan Enterprise используются и современные методы машинного обучения. Такие технологии позволяют обнаруживать вредоносный код через статические и поведенческие атрибуты. Сдерживание вредоносного ПО происходит еще на моменте его проникновения в систему, не позволяя ему заразить другие процессы. Технология Endpoint Detection and Tesponse отвечает за обнаружение и реагирование на конечных точках — это позволит реагировать на угрозы по одному щелчку мыши.

Comodo Antivirus для Linux

Платформа: Linux

Разработчики Comodo Antivirus представили отдельную версию под операционные системы на базе ядра Linux. Эта программа поддерживается большинством дистрибутивов как 32 бит, так и 64. Из особенностей хотелось бы сразу отметить почтовый фильтр, который совместим с популярными почтовыми агентами: Postfix, Qmail, Sendmail и Exim MTA. Производитель гарантирует надежную защиту в реальном времени, легкость в установке и отсутствие сложных действий с настройкой. Система анти-спам может быть полностью редактирована вручную, но и стандартные настройки обеспечат хорошую фильтрацию. Если пользователь захочет получить еще больший контроль файлов, к включению доступна функция «Анализ поведения в режиме реального времени» . Все подозрительные объекты будут отправляться на сервер облачного анализа поведения.

Для комфортного использования Comodo Antivirus потребуется компьютер повышенной мощности, с минимальной частотой процессора 2 ГГц и 2 ГБ свободной оперативной памяти. Вы можете не беспокоиться за проведение сканирований: достаточно будет настроить их план всего один раз, а в дальнейшем они будут запускаться автоматически. Возможен запуск анализа в любое удобное время путем нажатия всего одной кнопки. Рассматриваемый антивирус имеет открытый исходный код, распространяется бесплатно и скачивается с официального сайта.

Chkrootkit

Платформа: Linux

Chkrootkit (Check Rootkit) — распространенная среди системных администраторов программа защиты операционной системы от известных руткитов. Руткит — сбор компонентов, например, скриптов, исполняемых или конфигурационных файлов, которые выполняют функцию маскировки, управления и сбора данных. С помощью таких инструментов злоумышленники проникают в ОС и получают всю необходимую информацию. Упомянутое выше ПО как раз призвано защищать компьютер от подобного рода деятельности. Chkrootkit не требует установки и может быть запущен с Live CD. Работа в нем осуществляется через любую удобную консоль, а управление понятно даже неопытному пользователю.

Chkrootkit работает довольно быстро, отлично справляется со своей задачей, не занимает много места на накопителе, но при этом содержит в себе огромное количество модулей под каждый тип юзеров. На официальном сайте присутствуют сборки программы в различных расширениях, а скачивание доступно из прямого источника или нескольких зеркал.

Вы были ознакомлены с антивирусными решениями, которые станут лучшим решением для различных типов серверов. Как видите, каждый софт имеет свои особенности, поэтому будет максимально полезен в определенных ситуациях.

Невозможно защитить сервер от внешнего доступа раз и навсегда, ведь каждый день обнаруживаются новые уязвимости и появляются новые способы взлома сервера. О защите серверов от несанкционированного доступа мы и расскажем в этой статье.

Сервера любой компании рано или поздно могут стать мишенью для взлома или вирусной атаки. Обычно результатом такой атаки становится потеря данных, репутационный или финансовый ущерб, поэтому вопросам обеспечения безопасности серверов стоит уделить внимание в первую очередь.

Следует понимать, что защита от взлома серверов – это комплекс мер, в том числе подразумевающий постоянный мониторинг работы сервера и работу по совершенствованию защиты. Невозможно защитить сервер от внешнего доступа раз и навсегда, ведь каждый день обнаруживаются новые уязвимости и появляются новые способы взлома сервера.

О защите серверов от несанкционированного доступа мы и расскажем в этой статье.

Способы и методы защиты серверов от несанкционированного доступа

Физическая защита сервера

Физическая защита. Желательно, чтобы сервер находился в защищенном ЦОДе, закрытом и охраняемом помещении, у посторонних не должно быть доступа к серверу.

Установите аутентификацию по SSH

При настройке доступа к серверу используйте аутентификацию по ключам SSH вместо пароля, поскольку такие ключи гораздо сложнее, а иногда и попросту невозможно взломать с помощью перебора вариантов.

Если же считаете, что вам все-таки требуется пароль, обязательно ограничьте число попыток его ввода.

Обратите внимание, если при входе вы видите подобное сообщение:

Last failed login: Tue Sep 28 12:42:35 MSK 2017 from 52.15.194.10 on ssh:notty
There were 8243 failed login attempts since the last successful login.

Оно может свидетельствовать, что ваш сервер пытались взломать. В таком случае для настройки безопасности сервера смените порт SSH, ограничьте список IP, с которых возможен доступ к серверу или установите ПО, автоматически блокирующее чрезмерно частую и подозрительную активность.

Регулярно устанавливайте последние обновления

Для обеспечения защиты сервера вовремя устанавливайте последние патчи и обновления серверного ПО, которое используете – операционной системы, гипервизора, сервера баз данных.

Желательно проверять наличие новых патчей, обновлений и сообщения об обнаруженных ошибках / уязвимостях каждый день, чтобы предотвратить атаки, использующие уязвимости нулевого дня. Для этого подпишитесь на новости от компании-разработчика ПО, следите за ее страницами в соцсетях.

Защищайте пароли

До сих пор одним их самых распространенных способов получить доступ к серверу является взлом пароля сервера. Поэтому придерживайтесь общеизвестных, но тем не менее актуальных рекомендаций, чтобы не оставить сервер без защиты:

  • не используйте пароли, которые легко подобрать, такие как название компании;
  • если вы до сих пор используете дефолтный пароль для консоли администратора – немедленно измените его;
  • пароли на разные сервисы должны быть разными;
  • если вам необходимо передать пароль кому-либо, никогда не отправляйте IP-адрес, логин и пароль в одном и том же письме или сообщении в мессенджере;
  • для входа в учетную запись администратора можно установить двухэтапную аутентификацию.

Файрвол

  • Убедитесь, что на сервере есть , он настроен и он работает все время.
  • Защищайте и входящий, и исходящий трафик.
  • Следите за тем, какие порты открыты и для каких целей, не открывайте ничего лишнего, чтобы снизить число вероятных уязвимых мест для взлома сервера.

В частности, файрвол очень помогает в защите сервера от ddos атак, т.к. можно быстро создавать запрещающие правила файрвола и вносить в них IP-адреса, с которых идет атака, или блокировать доступ к определенным приложениям, по определенным протоколам.

Мониторинг и обнаружение вторжений

  • Ограничьте ПО и службы, работающие у вас на сервере. Периодически проверяйте все, что у вас запущено, и если обнаружатся какие-то незнакомые вам процессы, удаляйте их немедленно и начинайте проверку на вирусы.
  • Периодически проверяйте наличие следов взлома. О взломе могут свидетельствовать новые учетные записи пользователей, которые вы не создавали, перемещение или удаление файла /etc/syslog.conf , удаленные файлы /etc/shadow и /etc/passwrd .
  • Мониторьте работу вашего сервера, следите за его обычной скоростью и пропускной способностью, так вы сможете заметить отклонения, например, когда нагрузка на сервер стала значительно больше обычного.

Использование VPN и шифрования SSL/TLS

Если необходим удаленный доступ к серверу, он должен быть разрешен только с определенных IP-адресов и происходить по VPN.

Следующим этапом обеспечения безопасности может быть настройка SSL, которая позволит не только шифровать данные, но и проверять идентичность других участников сетевой инфраструктуры, выдавая им соответствующие сертификаты.

Проверка безопасности сервера

Хорошей идеей будет самостоятельная проверка безопасности сервера методом пентеста, т.е. моделирование атаки, чтобы найти потенциальные уязвимости и вовремя их ликвидировать. Желательно привлечь к этому специалистов по информационной безопасности, однако некоторые тесты можно проделать и самостоятельно, используя программы для взлома серверов.

Что еще грозит серверам кроме взлома

Сервер может выйти из строя по ряду других причин, кроме взлома. Например, это может быть заражение вредоносным ПО или просто физическая поломка какого-либо из компонентов.

Поэтому мероприятия по защите сервера должны включать:

  • Установку и обновление программ для защиты сервера – антивирусов.
  • Регулярные зашифрованные копии данных, по меньшей мере, раз в неделю, поскольку, согласно статистике, жесткие диски сервера на первом месте по частоте поломок. Убедитесь, что резервная копия хранится в физически безопасной среде.
  • Обеспечение бесперебойного электропитания серверной.
  • Своевременная физическая профилактика серверов, включающая их чистку от пыли и замену термопасты.

Опыт специалистов “Интегруса” говорит нам, что лучшая защита от такого рода угроз – это применение лучших практик в области систем защиты серверов.

Для обеспечения безопасности серверов наших заказчиков мы применяем сочетание инструментов:брандмауэры, антивирусы, технологии безопасности / управления событиями (SIM / SEM), технологии обнаружения вторжений / защиты (IDS / IPS), технологии сетевого поведенческого анализа (NBA), конечно же регулярное профилактическое обслуживание серверов и обустройство защищенных серверных под ключ. Это позволяет свести риски взлома или отказа сервера по другим причинам к минимуму.

Готовы провести аудит безопасности серверов вашей компании, провести консультирование специалистов, выполнить все виды работ по настройке защиты серверного оборудования.

Читинский Государственный УниверситетЭнергетический институтФакультет экономики и информатикиКафедра прикладной информатики и математики Рефератпо предмету: Пользователь ПКна тему: Антивирусное ПО для серверов Выполнила: ст. гр. ПИ-07-1Злова В.В.Проверила: ст. преп. каф. ПИММонич И.П. Чита, 2007Содержание

Введение. 3

1 Файл-серверы как один из источников распространения вирусов. 5

2 Антивирусное ПО для серверов локальных сетей. 5

3 Антивирусное ПО для почтовых серверов. 8

4 Антивирус Касперского. 11

Заключение. 17

Список использованной литературы.. 18

Введение Одной из самых опасных на сегодняшний день угроз информационной безопасности являются компьютерные вирусы. Компьютерным вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере.

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Для большинства организаций защита сетевых ресурсов от несанкционированного доступа становится одной из наиболее острых проблем. Особую тревогу вызывает тот факт, что Интернет в настоящее время повсеместно используется для транспортировки и хранения различных данных и конфиденциальной корпоративной информации.

Задача защиты информации особенно актуальна для владельцев онлайновых информационных баз данных, издателей электронных журналов и т.д.

На сегодняшний день для борьбы с вирусами создано множество антивирусных программ.Антивирусная программа (антивирус) - изначально программа для обнаружения и лечения программ, зараженных компьютерным вирусом, а также для предотвращения заражения файла вирусом (например, с помощью вакцинации). Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.Антивирусное программное обеспечение помогает защищать компьютер от известных вирусов, "червей", "троянцев" и других зловредных программ, от которых может произойти сбой в работе компьютера. В настоящее время файловые и почтовые серверы являются основным инструментом для управления данными. Хранение, обмен и передача данных - основные задачи в таком управлении, но они невозможны без легкого доступа к информации, интеграции данных и стабильности системы. Файловый сервер - один из наиболее уязвимых сетевых ресурсов. При заражении или сбое в работе доступ к другим сетевым ресурсам может быть ограничен. Один зараженный файл может привести к заражению большого массива данных, потерях в интеграции данных и сбоям в работе системы. Такие риски являются причиной высокой стоимости продуктов для управления серверами и сетевыми ресурсами. Файл-серверы “общего пользования” и электронные конференции служат одним из основных источников распространения вирусов. Практически каждую неделю приходит сообщение о том, что какой-либо пользователь заразил свой компьютер вирусом, который был снят с BBS, ftp-сервера или из какой-либо электронной конференции. При этом часто зараженные файлы "закладываются" автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям одновременно, и эти файлы маскируются под новые версии какого-либо программного обеспечения (иногда - под новые версии антивирусов). В случае массовой рассылки вируса по файл-серверам ftp/BBS пораженными практически одновременно могут оказаться тысячи компьютеров, однако в большинстве случаев "закладываются" DOS- или Windows-вирусы, скорость распространения которых в современных условиях значительно ниже, чем макро-вирусов. По этой причине подобные инциденты практически никогда не кончаются массовыми эпидемиями, чего нельзя сказать про макро-вирусы.2 Антивирусное ПО для серверов локальных сетей Вопросы эффективной антивирусной защиты сегодня как никогда актуальны и в корпоративном секторе, и среди частных пользователей, однако, в отличие от последних, проблемы и задачи, встающие перед компаниями, намного серьезнее и требуют решений иного уровня. Администраторам корпоративных информационных систем приходится устанавливать антивирусные средства, конфигурировать их и настраивать политики обновления, а также следить, чтобы антивирусы постоянно были включены на сотнях или даже тысячах машин, - и зачастую делать все это приходится вручную. Локальные сети – один из основных источников распространения вирусов. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере (в случае Novell NetWare - LOGIN.COM). На следующий день пользователи при входе в сеть запускают зараженные файлы. Вместо служебного файла LOGIN.COM может также выступать различное программное обеспечение, установленное на сервере, стандартные документы-шаблоны или Excel-таблицы, применяемые в фирме.

Опасность заражения вычислительных сетей реальна для любого предприятия, но реальное развитие вирусная эпидемия может получить в локальных сетях крупных хозяйственно-производственных комплексов с территориально-развлетвленной инфраструктурой. Их вычислительные сети, как правило, создавались поэтапно, с использованием различного аппаратного и программного обеспечения. Очевидно, что для таких предприятий вопрос антивирусной защиты становится весьма сложным, причем не только в техническом, но и в финансовом плане.

Вместе с тем решение этого вопроса достигается путем сочетания организационных мер и программно-технических решений. Данный подход не требует больших технических и немедленных финансовых затрат, и может быть применен для комплексной антивирусной защиты локальной сети любого предприятия.

В основу построения такой системы антивирусной защиты могут быть положены следующие принципы:

Принцип реализации единой технической политики при обосновании выбора антивирусных продуктов для различных сегментов локальной сети;

Принцип полноты охвата системой антивирусной защиты всей локальной сети организации;

Принцип непрерывности контроля локальной сети предприятия, для своевременного обнаружения компьютерной инфекции;

Принцип централизованного управления антивирусной защитой;

Принцип реализации единой технической политики предусматривает использование во всех сегментах локальной сети только антивирусного ПО, рекомендуемого подразделением антивирусной защиты предприятия. Эта политика носит долгосрочный характер, утверждается руководством предприятия и является основой для целевого и долговременного планирования затрат на приобретение антивирусных программных продуктов и их дальнейшее обновление.

Принцип полноты охвата системой антивирусной защиты локальной сети предусматривает постепенной внедрение в сеть программных средств антивирусной защиты до полного насыщения в сочетании с организационно-режимными мерами защиты информации.

Принцип непрерывности контроля за антивирусным состоянием локальной сети подразумевает такую организацию ее защиты, при которой обеспечивается постоянная возможность отслеживания состояния сети для выявления вирусов.

Принцип централизованного управления антивирусной защитой предусматривает управление системой из одной органа с использованием технических и программных средств. Именно этот орган организует централизованный контроль в сети, получает данные контроля или доклады пользователей со своих рабочих мест об обнаружении вирусов и обеспечивает внедрение принятых решений по управлению системой антивирусной защиты.Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке антивирусных продуктов. Как правило, требуется создание отдельной подсистемы. В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего вновь приобретаемого антивирусного ПО, а также установке антивирусных пакетов на почтовые серверы. 3 Антивирусное ПО для почтовых серверов

Если на заре развития компьютерных технологий основным каналом распространения вирусов был обмен файлами программ через дискеты, то сегодня пальма первенства принадлежит электронной почте. Электронная почта - удобное и незаменимое средство делового общения. Однако посредством электронной почты распространяется большая часть вирусов и спама, она может быть каналом утечки конфиденциальных данных. Каждый день по ее каналам передаются миллионы и миллионы сообщений, причем многие из этих сообщений заражены вирусами.

К сожалению, файлы вложений, передаваемые вместе с электронными сообщениями, также могут оказаться чрезвычайно опасными для здоровья компьютера. В чем опасность файлов вложения? В качестве такого файла пользователю могут прислать вирусную или троянскую программу либо документ в формате Microsoft Office (*.doc, *.xls), зараженный компьютерным вирусом. Запустив полученную программу на выполнение или открыв для просмотра документ, пользователь может инициировать вирус или установить на свой компьютер троянскую программу. Более того, из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем. В этом случае, если не предпринимать никаких защитных мер, проникновение вирусов или других вредоносных программ на ваш компьютер – дело времени.Возможны и другие попытки проникновения на компьютер через электронную почту. Например, могут прислать сообщение в виде документа HTML, в который встроен троянский элемент управления ActiveX. Открыв такое сообщение, вы можете загрузить этот элемент на свой компьютер, после чего тот немедленно начнет делать свое дело.E-mail trojan - трояны, позволяющие "вытаскивать" пароли и другую информацию из файлов вашего компьютера и отправлять их по электронной почте хозяину. Это могут быть логины и Internet-пароли провайдера, пароль от почтового ящика, пароли ICQ и IRC и др.Чтобы отправить письмо владельцу по почте, троян связывается с почтовым сервером сайта по протоколу SMTP (например, на smtp.mail.ru). После сбора необходимых данных троян проверит, отсылались ли эти данные. Если нет - данные отсылаются и сохраняются в регистре. Если уже отсылались, то из регистра извлекается предыдущее письмо, и происходит его сравнение с текущим. Если в информации произошли какие-либо изменения (появились новые данные), то письмо отсылается, и в регистре записываются свежие данные о паролях. Одним словом, этот вид троянов просто занимается сбором информации, и жертва может даже и не догадываться, что ее пароли уже кому-то известны.В архиве такого трояна обычно находится 4 файла: редактор сервера (конфигуратор), сервер трояна, упаковщик (склейщик) файлов, руководство для использования.В результате работы могут определяться следующие данные:1) IP-адрес компьютера жертвы;2) подробнейшие сведения о системе (имя компьютера и пользователя, версия Windows, модем и т.д.);3) все кэшированные пароли;4) все настройки телефонных соединений включая телефонные номера, логины и пароли;5) пароли от ICQ;6) число последних посещенных сайтов.Помимо чисто административных мер, для борьбы с вирусами и другими вредоносными программами необходимо использовать специальное антивирусное программное обеспечение (антивирусы).Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно. Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда умеют анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа может легко просочиться сквозь защиту на диск компьютера.Кроме того, эффективность антивирусов очень сильно зависит от соблюдения правил их применения: необходимо периодически обновлять антивирусную базу данных, использовать правильные настройки антивирусного сканера и т.д. К сожалению, многие владельцы компьютеров не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных, что неизбежно приводит к вирусному заражению.Понимая актуальность проблемы распространения вирусов по электронной почте, многие компании предлагают специальные программы-антивирусы для защиты почтовых серверов. Такие антивирусы анализируют поток данных, проходящий через почтовый сервер, не допуская передачи сообщений с зараженными файлами вложений. Существует и другое решение – подключение к почтовым серверам обычных антивирусов, предназначенных для проверки файлов.Антивирусная защита почтовых серверов SMTP и POP3 намного эффективнее антивирусной защиты компьютеров пользователей. Как правило, настройкой антивирусов на сервере занимается опытный администратор, который не ошибется при настройке и к тому же включит режим автоматического обновления базы данных через Интернет. Пользователи защищенных серверов SMTP и POP3 могут не беспокоиться по поводу основного канала распространения вирусов – к ним будут приходить сообщения, уже очищенные от вирусов.Действия, выполняемые почтовыми серверами при отправке и получении зараженных писем, зависят от настройки антивируса и самого почтового сервера. Например, когда отправитель пытается послать сообщение с зараженным файлом, защищенный почтовый сервер SMTP откажет ему в этом, а почтовая программа выведет на экран предупреждающее сообщение.Если же кто-то пошлет на ваш адрес письмо с зараженным файлом вложения, то при использовании защищенного сервера POP3 вместо него придет только сообщение об обнаружении вируса.Несмотря на постоянно растущую популярность платформы Microsoft Windows, сегодня большинство серверов Интернета работает под управлением операционных систем Linux, FreeBSD и аналогичных UNIX-подобных систем. Основное преимущество Linux – очень низкая стоимость приобретения. Каждый может загрузить через Интернет дистрибутив Linux и установить его на любое количество компьютеров. В составе этого дистрибутива есть все, что нужно для создания узла Интернета, в том числе и серверы электронной почты.Среди других преимуществ Linux и подобных ОС следует отметить открытость, доступность исходных текстов, наличие огромного сообщества добровольных разработчиков, готовых помочь в сложных ситуациях, простое удаленное управление с помощью текстовой консоли и т.д. Для ОС этой серии было создано всего несколько десятков вирусов, что говорит о ее высокой защищенности.

4 Антивирус Касперского

На основании приведенных выше рассуждений и примеров можно сформулировать основные требования к антивирусам для рабочих станций. Понятно, что эти требования будут отличаться для рабочих станций различных классов.

Требования к антивирусам для рабочих станций Windows

Как и раньше требования будут делиться на несколько категорий:

  1. Общие требования - надежность, производительность, удобство в использовании, дешевизна - нет смысла лишний раз повторяться
  2. Основные требования - как следствие главной задачи:
    • Проверка всех файлов на локальных дисках, к которым идет обращение - на чтение, на запись, на запуск - с целью выявления и нейтрализации компьютерных вирусов
    • Проверка сменных и сетевых дисков
    • Проверка памяти
    • Проверка входящих и исходящих писем на предмет наличия вирусов, проверяться должны как сами сообщения, так и вложения к ним
    • Проверка скриптов и других активных элементов веб-страниц
    • Проверка макросов в документах Microsoft Office и файлах других приложений
    • Проверка составных файлов - архивов, самораспаковывающихся архивов, упакованных исполняемых файлов, почтовых баз данных, файлов почтовых форматов, OLE-контейнеров
    • Возможность выбора различных действий над зараженными файлами, штатно:
      • блокирование (при проверке в режиме реального времени)
      • запись в журнал (при проверке по требованию)
      • удаление
      • перемещение на карантин
      • лечение
      • запрос действия у пользователя
    • Лечение зараженных файлов
    • Лечение зараженных файлов в архивах
    • Желательно - обнаружение потенциально нежелательных программ (рекламных и шпионских модулей, хакерских утилит, и т. п.)
  3. Требования к управлению
    • Наличие локального графического интерфейса
    • Возможность удаленного и централизованного управления (корпоративная версия)
    • Возможность планирования запуска задач проверки и обновления
    • Возможность запуска любых задач или выполнения любых действия по требованию (вручную)
    • Возможность ограничения действий непривилегированного пользователя применительно к антивирусному комплексу
  4. Требования к обновлению
    • Поддержка различных источников обновления, штатно:
      • HTTP- или FTP-ресурс
      • Локальная или сетевая папка
      • Централизованная система обновления (в корпоративных версиях)
    • Возможность обновлять антивирусные базы, антивирусное ядро и модули приложения
    • Возможность выполнять обновления вручную по требованию или автоматически по расписанию
    • Возможность выполнять откат обновления антивирусных баз
  5. Требования к диагностике
    • Уведомление локального пользователя о важных событиях - обнаружение вирусов, смена состояния антивируса и т. д.
    • Ведение журналов работы антивируса и/или отдельных задач
    • Уведомление администратора антивирусной безопасности (в корпоративной версии)
Требования к антивирусам для рабочих станций Linux/Unix
  1. Общие требования - практически без изменений: надежность, производительность, дешевизна. Удобство использования в Unix-системах традиционно оценивается по несколько другим критериям, чем в Windows-системах, хотя такое положение дел и начинает постепенно меняться в сторону унификации требований
  2. Основные требования - исходя из назначения:
    • Проверка по требованию произвольных файлов и каталогов на предмет наличия вирусов
    • Желательно, но не критично - проверка определенных каталогов в режиме реального времени при доступе к файлам. Если такой функционал действительно необходим, значит речь идет не столько о рабочей станции, сколько о сервере - в Unix-системах явного различия между ними нет
    • Обнаружение вирусов в составных объектах - архивах, самораспаковывающихся архивах, упакованных исполняемых модулях, постовых базах данных, файлах почтовых форматов, OLE-контейнерах - не ограничиваясь форматами, распространенными в Unix-среде
    • Возможность выбора действия при обнаружении зараженных файлов, штатно:
      • удалять
      • перемещать или переименовывать
      • лечить
      • записывать информацию в отчет
      • запросить действие у пользователя (при проверке по требованию)
    • Лечение инфицированных файлов
    • Желательно - возможность лечения в архивах
  3. Требования к управлению
    • Локальное управление при помощи редактирования конфигурационных файлов
    • Желательно - удаленное управление через веб-интерфейс
    • Возможность планировать запуск задач и выполнение действий
    • Возможность выполнять задачи и действия вручную
  4. Требования к диагностике
    • Ведение журналов работы
    • Уведомление администратора антивирусной безопасности

Защита серверов

В целом антивирусная защита серверов не так сильно отличается от защиты рабочих станций, как, например, от защиты шлюзов. Основные угрозы и технологии противодействия им остаются теми же - смещаются только акценты.

Сетевые сервера как и рабочие станции естественным образом делятся на классы, согласно используемым операционным системам:

  • Сервера Windows
  • Сервера Novell Netware
  • Сервера Unix

Принцип деления обусловлен характерными для различных операционных систем вирусными угрозами и, как следствие, различными вариантами в определении основной задачи антивируса.

В случае продуктов для защиты серверов деление на персональные и сетевые продукты отсутствует - все продукты являются сетевыми (корпоративными). У многих производителей вообще нет деления корпоративных продуктов на предназначенные для рабочих станций и файловых серверов - имеется единый продукт.

Специфические угрозы и способы противодействия

Все относящиеся к серверам специфические угрозы связаны не столько с особенностями серверных операционных систем, сколько с применением уязвимого ПО, характерного для серверов.

Сервера Microsoft Windows

Для серверов Windows актуальны все те же угрозы, что и для рабочих станций под Windows NT/2000/XP. Отличия заключаются только в преимущественном способе эксплуатации серверов, что выражается в ряде дополнительных атак, нехарактерных для рабочих станций.

Так, за серверами Windows редко непосредственно работают пользователи, а значит, почтовые клиенты и офисные приложения на серверах, как правило, не используются. Как следствие, требования к защите почты на уровне почтового клиента и дополнительные средства обнаружения макровирусов в случае серверов Windows менее востребованы.

Пример . Антивирус Касперского для Windows File Servers в отличие от Антивируса Касперского для Windows Workstations лишен модуля поведенческого анализа выполняемых макросов при работе с документами Microsoft Office и модуля проверки получаемой и отправляемой почты. Это не значит, что в продукте отсутствует защита от макровирусов и почтовых червей - как уже отмечалось, в конечном счете, все открываемые файлы проверяются модулем постоянной защиты файловой системы - просто специфика эксплуатации серверов не требует дополнительных средств защиты, как это было в случае с рабочими станциями.

С другой стороны на серверах Windows значительно чаще, чем на рабочих станциях могут использоваться такие службы как Microsoft SQL Server и Microsoft IIS. Как и сами операционные системы производства Microsoft (и не только Microsoft), эти службы могут содержать уязвимости, чем в свое время неоднократно пользовались авторы вирусов.

Пример . В 2003 году появился и буквально пронесся по Интернету червь Net- Worm .Win32.Slammer, использовавший уязвимость в Microsoft SQL Server 2000. Slammer не сохранял свои файлы на диск, а выполнялся непосредственно в адресном пространстве приложения SQL Server. После этого в бесконечном цикле червь выполнял атаку на случайные IP-адреса в сети, пытаясь использовать для проникновения ту же уязвимость. В результате активности червя были до такой степени перегружены сервера и каналы связи Интернет, что целые сегменты сети были недоступны. Особенно пострадала от эпидемии Южная Корея. Стоит отметить, что никаких других действий, кроме размножения червь не выполнял.

Пример . Еще раньше, в 2001 году, уязвимость в Microsoft IIS 5.0 была использована для распространения червем Net- Worm .Win32. CodeRed .a. Последствия эпидемии были не столь внушительны, как в случае с червем Slammer, но зато при помощи компьютеров, зараженных CodeRed .a, была произведена небезуспешная попытка DDoS атаки на сайт Белого Дома США (www.whitehouse.gov). CodeRed .a также не сохранял файлы на дисках пораженных серверов.

Особенность обоих червей в том, что модуль проверки файловой системы (хоть по запросу, хоть при доступе) против них бессилен. Эти черви не сохраняют свои копии на диск и вообще никак не проявляют своего присутствия в системе, кроме повышенной сетевой активности. На сегодняшний день основной рекомендацией по защите является своевременная установка патчей на операционную систему и используемое ПО. Другой подход заключается в настройке брандмауэров таким образом, чтобы порты, используемые уязвимыми службами были недоступны извне - разумное требование в случае защиты от Slammer, но неприемлемое для защиты от CodeRed .

Актуальными для серверов Windows остаются и черви, атакующие уже непосредственно уязвимые службы операционной системы, такие как Lovesan, Sasser, Mytob и др. Защита от них должна обеспечиваться комплексными мерами - использованием брандмауэров, установкой заплат, применением проверки при доступе (упомянутые черви при успешной атаке сохраняют свои файлы на жестком диске).

Учитывая характер атак, можно сделать вывод, что основными средствами защиты серверов Windows являются: модуль проверки файлов при доступе, модуль проверки файлов по требованию, модуль проверки скриптов, а основными технологиями - сигнатурный и эвристический анализ (а также поведенческий - в модуле проверки скриптов).

Сервера Novell Netware

Специфических вирусов, способных заражать Novell Netware, нет. Существует, правда, несколько троянов , ворующих права доступа к серверам Novell, но они все равно рассчитаны на выполнение в среде ОС Windows.

Соответственно, антивирус для сервера Novell Netware фактически не предназначен для защиты этого сервера. В чем же тогда его функции? В предотвращении распространения вирусов. Сервера Novell Netware в большинстве своем используются именно как файловые сервера, пользователи Windows-компьютеров могут хранить на таких серверах свои файлы или же запускать программы, расположенные на томах Novell Netware. Чтобы предотвратить проникновение вирусов на общие ресурсы сервера Novell, либо запуск/чтение вирусов с таких ресурсов и нужен антивирус.

Соответственно, основные средства, применяемые в антивирусе для Novell Netware - проверка при доступе и проверка по требованию.

Из специфических технологий, применяемых в антивирусах для Novell Netware необходимо отметить блокирование станций и/или пользователей, записывающих на сервер вредоносные программы.

Сервера Unix

Про сервера Unix можно сказать все то же, что и про сервера Novell Netware. Антивирус для Unix-серверов решает не столько задачу защиты самих серверов от заражения, сколько задачу недопущения распространения вирусов через сервер. Для этого применяются все те же два основных средства:

  • Проверка файлов по требованию
  • Проверка файлов при доступе

Пример . Антивирус Касперского для Unix/Linux File Servers включает модуль проверки при доступе, тогда как в Антивирусе Касперского для Linux Workstations такого модуля нет. Связано это с различными функциями рабочих станций и серверов Linux - в сети построенной исключительно (или большей частью) на Linux-станциях опасность заражения вирусами практически отсутствует, и поэтому острой необходимости в модуле, контролирующем все файловые операции, нет. Напротив, если Linux-компьютер активно используется для хранения и передачи файлов (особенно в Windows-сети), то он является, по сути, сервером и требует средств постоянного контроля файлов.

Многие известные черви под Linux используют для распространения уязвимости не в самой операционной системе, а в системном и прикладном ПО - в ftp-сервере wu- ftpd , в веб-сервере Apache. Понятно, что такие приложения используются чаще на серверах, чем на рабочих станция, что является дополнительным аргументом в пользу усиленных мер по защите серверов.

В отличие от серверов Novell, где поддержка сетей Microsoft является встроенной функцией, сервера Unix по умолчанию не приспособлены для передачи файлов по протоколу SMB/ CIFS . Для этой цели используется специальный программный пакет - Samba, позволяющий создавать совместимые с Microsoft-сетями общие ресурсы.

Если обмен файлами происходит только по протоколам SMB/ CIFS , то очевидно, не имеет смысла контролировать все файловые операции, достаточно проверять только файлы, передающиеся с использованием Samba-сервера.

Пример . В линейке продуктов Лаборатории Касперского есть специальное решение - Антивирус Касперского для Samba Server, предназначенное именно для защиты общих папок, созданных на Unix-серверах при помощи ПО Samba. В составе этого продукта нет модуля, контролирующего файловые операции, вместо него используется фильтр, встраиваемый в Samba и перехватывающий все передаваемые файлы.



© Copyright 2024, emupauto.ru - Отделка. Фурнитура. Ремонт. Монтаж. Выбор. Проем.