(С) Александр Вячеславович Фролов, 2004
Когда необходимо обеспечить защиту крупных интрасетей от вирусов и других вредоносных программ, необходимо использовать специальные корпоративные версии защитных программных средств.
Попытки использовать только обычные антивирусы, рассчитанные на защиту отдельных компьютеров и серверов, обречены на неудачи. Рассмотрим причины этих неудач.
Централизованное удаленное управление антивирусными программами и контроль их работы для средних и крупных компаний необходим для соблюдения технологии антивирусной защиты во всей корпоративной сети.
Выполнение в «ручном» режиме таких операций, как отслеживание обновлений антивирусной базы данных и загрузочных модулей антивирусных программ, контроль эффективности обнаружения вирусов на рабочих станциях и серверах и т.п., малоэффективно, если в сети имеется большое количество пользователей или если сеть состоит из территориально удаленных друг от друга сегментов.
Если же не обеспечить своевременное и эффективное выполнение перечисленных выше операций, технология антивирусной защиты корпоративной сети обязательно будет нарушена, что рано или поздно приведет к вирусному заражению.
Например, пользователи могут неправильно настроить автоматическое обновление антивирусной базы данных или просто выключать свои компьютеры в то время, когда такое обновление выполняется. В результате автоматическое обновление не будет выполнено и возникнет потенциальная угроза заражения новыми вирусами.
Существуют антивирусные программы, разработанные специально для интрасетей и для Интернета.
Такие антивирусные программы, как правило, снабжены сетевым центром управления, средствами обмена информацией между антивирусными модулями, установленными на разных узлах сети, а также средствами анализа сетевого трафика
В то же время системы удаленного управления и администрирования могут выполнить обновление антивирусных баз данных и загрузочных антивирусов более чем на 1000 компьютеров за 10 минут (здесь приведены данные для одного из известных корпоративных антивирусов).
В современных корпоративных антивирусных системах реализованы многие функции удаленного управления и контроля. Вот перечень таких функций:
· удаленная установка и обновление антивирусных программ;
· удаленное обновление антивирусных баз данных;
· создание и копирование на серверы сети дистрибутивов для централизованной установки антивирусов;
· удаленная настройка антивирусных программ, установленных на рабочие станции и серверы;
· автоматическое обнаружение новых рабочих станций, подключенных к корпоративной сети, с последующей автоматической установкой на эти станции антивирусных программ;
· планирование заданий для немедленного или отложенного запуска (таких как обновление программ, антивирусной базы данных, сканирование файлов и т.п.) на любых компьютерах сети;
· отображение в реальном времени процесса работы антивирусов на рабочих станциях и серверах сети
Актуальность своевременного обновления антивирусных баз данных для обнаружения новых вирусов ни у кого не вызывает сомнений, однако в средних и крупных компаниях выполнение этой процедуры имеет ряд особенностей.
Прежде всего, возникают трудности с разработкой расписания автоматического обновления антивирусной базы данных.
Не имея сетевого центра управления антивирусной защиты, при большом количестве узлов в интрасети администратор может оказаться не в состоянии обеспечить своевременное обновление антивирусов и антивирусных баз данных, а также проконтролировать состояние антивирусной защиты на всех узлах сети
Как известно, большинство антивирусных программ предусматривает автоматическое обновление антивирусных баз данных по расписанию, например, в заданные часы и дни недели.
При этом для успешного завершения обновления в момент запуска процедуры компьютер должен быть включен и подсоединен к локальной интрасети компании или к Интернету. Это условие выполняется не всегда.
Далее, не все пользователи корпоративной сети могут выполнить самостоятельную настройку расписания обновления антивирусной базы данных.
Современные антивирусные системы допускают автоматическое централизованное управление процессом обновления антивирусных баз данных, а также предоставляют в распоряжение администратора все необходимые средства для дистанционного контроля обновления.
Наиболее совершенные сетевые центры управления антивирусами допускают децентрализованную установку антивирусных программ и обновлений антивирусных баз данных.
Это многократно ускоряет процесс установки и обновления антивирусов в крупных интрасетях
Управляющая консоль администратора позволяет не только проконтролировать обновление, но и при необходимости запустить принудительное обновление для любой рабочей станции, группы пользователей или домена.
Средства сетевого центра управления антивирусной защиты позволяют выполнять децентрализованную установку и обновление антивирусов.
При этом вначале дистрибутивы антивирусов и антивирусных баз данных записываются на серверы децентрализованной установки.
В дальнейшем каждая группа рабочих станций использует для установки и обновления антивирусов свой сервер децентрализованной установки.
При этом в короткий промежуток времени происходит одновременная установка и обновление антивирусов на всех рабочих станциях сети.
От того, насколько правильно выполнены настройки антивирусной программы, зависит эффективность ее использования.
Обычно администраторы не доверяют пользователям настройку параметров антивирусных программ, особенно имеющих отношение к режимам сканирования файлов. При этом им приходится выполнять эту работу самостоятельно.
В крупных интрасетях корпораций иногда приходится использовать разные настройки для разных пользователей, групп пользователей или доменов. Все это усложняет ручную настройку параметров антивирусов.
Современные антивирусные системы допускают централизованную дистанционную настройку всех параметров работы антивирусных программ (режимы работы сканера, график обновления антивирусной базы данных, действия над зараженными файлами и т.п.).
Данная операция может быть выполнена системным администратором со своей рабочей станции, причем администратор может применять разные схемы настроек для разных пользователей, групп пользователей и доменов.
Время от времени в интрасети возникают такие события, как подключение новых рабочих станций, ремонт или замена старых рабочих станций и т.п.
Вместе с тем все изменения конфигурации рабочих станций в сети требуют своевременного обновления конфигураций антивирусных средств.
Однако один системный администратор не в состоянии отследить все изменения в сети, насчитывающей сотни и тысячи компьютеров.
Поэтому современные антивирусные системы дополнены средствами автоматизированного исследования конфигурации сети на предмет появления в ней новых станций или замены старых.
При обнаружении изменений в конфигурации сети система управления и контроля выполняет автоматическую установку антивирусных программ или, при необходимости, автоматическое обновление программных модулей антивируса, а также антивирусной базы данных.
В результате после установки рабочей станции, после ее ремонта или замены произойдет автоматическая установка на ее диск антивирусной программы безо всякого участия администратора или пользователя.
Система централизованного удаленного управления и контроля позволяет планировать выполнение заданий для отдельных компьютеров корпоративной сети, для выбранных групп пользователей или доменов, а также контролировать ход и результат выполнения запущенных заданий.
Когда антивирусная программа находит на рабочей станции пользователя зараженный файл в процессе сканирования, выполняемого в рамках задания или инициированного антивирусным монитором, она извещает об этом пользователя, а также антивирусный сервер.
Далее антивирусный сервер оповещает о возникновении события администратора защиты и других лиц в соответствии с настройками, заданными при установке системы антивирусной защиты.
При этом антивирусный сервер отправляет сообщение по корпоративной сети, а также (если это указано администратором) по сети пэйджинговой связи, по электронной почте или по сети SMS.
Администратор интрасети может получать от сетевого центра управления антивирусными программами информацию о вирусном заражении в реальном времени.
Современные антивирусы с сетевым центром управления способны передавать информацию о найденных вирусах и других вредоносных программах с помощью средств обмена сообщениями операционной системы, по электронной почте, а также на мобильный телефон в виде сообщения SMS
Кроме того, сообщение о возникновении события записывается в главный журнал, расположенный на антивирусном сервере.
С помощью управляющей консоли администратор антивирусной защиты может определить список событий, о возникновении которых необходимо экстренно информировать пользователей и администраторов.
Сетевой центр управления предоставляет администратору сведения о версиях антивирусов и антивирусных базах данных, установленных на узлах сети, сведения о вирусах, обнаруженных на этих узлах, а также другую информацию, имеющую отношение к работе антивирусов на всех узлах сети
Рассмотрим архитектурные решения, применяемые в современных корпоративных антивирусах.
Это классические клиент-серверные архитектуры, а также многоуровневые архитектуры, предполагающие применение Web-технологий.
При использовании клиент-серверной архитектуры основой системы управления и контроля является антивирусный сервер, установленный на одном из серверов корпоративной сети. С ним взаимодействуют, с одной стороны, программы-агенты, установленные вместе с антивирусами на рабочих станциях сети, а с другой стороны — управляющая консоль администратора антивирусной защиты.
На рис. 8-1 мы показали архитектуру антивирусного комплекса Dr.Web Enterprise Suite, предназначенного для защиты корпоративных интрасетей.
Рис. 8-1. Архитектура антивирусного комплекса Dr.Web Enterprise Suite
Антивирусный сервер выполняет управляющие и координирующие действия. В частности, он хранит общий журнал событий, имеющих отношение к антивирусной защите и возникающих на всех компьютерах сети, список и расписание выполнения заданий.
Антивирусный сервер отвечает за прием от агентов и передачу администратору антивирусной защиты сообщений о возникновении тех или иных событий в сети, выполняет периодическую проверку конфигурации сети с целью обнаружения новых рабочих станций или рабочих станций с изменившейся конфигурацией антивирусных средств и т.д.
Помимо агентов, на каждой рабочей станции и сервере корпоративной сети устанавливается антивирус, выполняющий сканирование файлов и проверку файлов при их открытии (функции сканера и антивирусного монитора).
Результаты работы антивируса передаются через агентов антивирусному серверу, которых их анализирует и протоколирует в общем журнале событий.
Управляющая консоль администратора предоставляет возможность управления всей системой антивирусной защиты и контроля ее функционирования. Она взаимодействует через агентов с антивирусным сервером, а также с антивирусами, установленными на всех компьютерах сети.
Эта управляющая консоль может представлять собой стандартное приложение Microsoft Windows с оконным интерфейсом, или аплет (snap-in) управляющей консоли Control Panel операционной системы Microsoft Windows.
Пользовательский интерфейс управляющей консоли позволяет просматривать древовидную структуру корпоративной сети, получая при необходимости доступ к отдельным компьютерам тех или иных групп пользователей или доменов.
Система дистанционного управления и контроля обеспечивает сбор, протоколирование и просмотр информации о работе антивирусной защиты. За централизованной сбор информации отвечает серверный модуль системы антивирусной защиты, установленный на одном из серверов корпоративной сети.
Вся собранная информация становится доступной через консоль управляющей программы на рабочей станции администратора антивирусной защиты.
Архитектура многоуровневых систем с Web-интерфейсом предполагает использование Web-сервера в качестве ядра системы. Задачей этого ядра является, с одной стороны, организация диалогового интерактивного взаимодействия с пользователем, а с другой — с программными модулями той или иной системы.
Заметим, что сегодня Web-технологии широко применяются для решения таких административных задач, как контроль и диагностика оборудования корпоративных серверов, управление серверами электронной почты и другими устройствами и системами, подключенными к Интернету или к корпоративным интрасетям.
Преимущества такого подхода заключаются в унификации способов управления различными системами сети, а также в отсутствии необходимости устанавливать на рабочую станцию администратора какие-либо управляющие программы или консоли.
Кроме того, администрирование может выполняться с любого компьютера сети, а если сеть подключена к Интернету, то из любого места земного шара, где есть Интернет и компьютер с браузером.
Для защиты управляющей информации при ее передаче по Интернету или корпоративной интрасети применяются протоколы SSH или другие аналогичные средства (например, собственные защищенные модификации протокола HTTP).
Одна из существующих систем подобного класса позволяет полностью управлять и контролировать работу корпоративной системы антивирусной защиты с одной рабочей станции через браузер, даже если отдельные фрагменты сети находятся в разных странах или на разных континентах.
На один из серверов корпоративной сети устанавливается Web-сервер. Специальное серверное Web-приложение, работающее на этом Web-сервере, взаимодействует с модулем управления и контроля антивирусной системы, а также с программными агентами, установленными на всех компьютерах сети и не имеющими собственного пользовательского интерфейса.
Взаимодействие осуществляется с использованием безопасного протокола HTTP. Кроме того, для ограничения доступа применяется парольная защита.
Защита интрасетей и ресурсов Интернета требует применения специальных антивирусных комплексов, снабженных сетевым центром управления. Допуская полное управление антивирусной защитой из единого центра, такие антивирусные комплексы позволяют контролировать одновременно сотни и тысячи компьютеров.
В то же время применение обычных антивирусов для защиты серверов и рабочих станций крупных интрасетей не позволяет добиться эффективной защиты из-за сложности настройки и обновления антивирусов на большом количестве узлов интрасети.