Защита серверов и рабочих станций


Третий уровень КСАЗ — это уровень защиты сетевых серверов и рабочих станций, задачей которого является - воспрепятствовать активации вируса и выполнения им заложенных функций.

Два предыдущих уровня КСАЗ — уровень защиты шлюзов и уровень защиты почтовых систем - отвечают за перехват вирусов на стадии распространения (проникновения).
На третьем уровне, одним из основных признаком для включения узла в класс защищаемых, является существование вредоносных программ, которые могут быть запущены (активированы) на узле. В то время, как на уровнях защиты шлюзов и почтовых систем, защищаемые узлы определялись по признаку назначения и выполняемых функций (обработка соответствующего потока информации).
К подлежащим защите на третьем уровне КСАЗ, могут относиться сервера, выполняющие функции файловых хранилищ, номинальные почтовые сервера или сервера баз данных, при использовании ими операционной системы семейства Microsoft Windows.


Структура уровня
Выделение на третьем уровне КСАЗ трех подсистем:

  1. Подсистема защиты сетевых серверов
  2. Подсистема защиты рабочих станций
  3. Подсистема управления.


Защита рабочих станций

Классы рабочих станций
Рабочими станциями могут быть компьютеры, работающие под управлением таких операционных систем:

  • Microsoft Windows;
  • Linux/Unix;
  • MacOS.


Рабочие станции Windows обычно делят на два дополнительных подкласса:

  • Microsoft Windows 9x/ME;
  • Microsoft Windows NT/2000/XP.


Причина
- наличие различных, зачастую даже по антивирусному функционалу, средств защиты для каждого из классов рабочих станций.

Основная причина введения системы управления на третьем уровне
- необходимость управлять большим количеством антивирусных средств. Однако, если количество защищаемых узлов невелико - система управления используется редко. Поэтому существуют антивирусные средства защиты рабочих станций, предназначенные и не предназначенные, для взаимодействия с системой управления. Предназначенные, чаще всего называются сетевыми или корпоративными версиями, иногда - управляемыми. Не предназначенные - персональные версии.
Продукты для защиты рабочих станций Linux/Unix или MacOS часто вовсе не имеют сетевых (корпоративных) вариаций, т.к. количество таких рабочих станций, как правило, невелико. Количество вирусов для этих платформ ничтожно в сравнении с количеством вирусов для Windows, а новые вирусы для них появляются крайне редко, поэтому вероятность заражения минимальная.


Специфические угрозы и технологии противодействия

Большинство вредоносных программ являются ОС-ориентированными, т.е. запускаются и распространяются (проникают), только на некоторых типах родственных ОС (как правило, ОС Windows). Пэтому, рассмотренные ранее вирусные угрозы в различной степени относятся к разным классам рабочих станций.

- Рабочие станции Windows
Большинство угроз ориентированы на ОС семейства Windows, т.к. под управлением этого семейства функционирует большая доля всех компьютеров в мире, что создает большой полигон для деятельности авторов вирусов.
Для заражения компьютера используются всевозможные каналы проникновения, уязвимости в системных и прикладных программах, методы социальной инженерии. Соответственно, ПО для защиты рабочих станций Windows должно обладать средствами для противодействия по возможности всем видам угроз.


Файловая система

Используя уязвимости в сетевых службах и программах, установленных на компьютере, при этом не затрагивая файловую систему, вирус помещает свой код на диске компьютера в виде файла. Поэтому, основные средства из состава антивирусного комплекса для рабочих станций Windows, направлены на предотвращение записи вредоносного кода на диски компьютера, на предотвращение запуска вредоносных программ, а также на проверку наличия вредоносного кода в файлах, хранящихся на постоянных, сменных, сетевых носителях.

Средства проверки файловой системы бывают двух видов:

  • сканеры по требованию — запускаются вручную либо по расписанию, для проверки четко очерченного круга объектов файловой системы;
  • сканеры при доступе — проверяют все объекты файловой системы, к которым производится доступ, на чтение/запуск или на создание/запись.


На момент установки или запуска антивируса вредоносные программы могут находиться на дисках, в памяти компьютера. Архитектура операционной системы Windows такова, что отследить изменения в памяти на лету попросту невозможно, поэтому функция проверки памяти выполняется сканером по требованию. Основной упор при проверке объектов памяти и файловой системы делается на сигнатурные методы и эвристический анализ. Таким образом обеспечивается максимальная защита от уже известных вирусов, а также защита от новых, еще не известных.
Иногда, применение поведенческого анализа не только оправдано, но и является более эффективным методом предотвращения запуска новых вирусов, чем эвристический анализ.
Если в случае исполняемых файлов, подозрительные операции выделить достаточно сложно из-за разнообразия этих файлов и решаемых ими задач. Сфера применения макросов в документах Microsoft Office и других офисных пакетов, достаточно ограничена - чаще всего они используются для сокращения времени на выполнение рутинных операций или же для придания дополнительной функциональности документам. В большинстве случаев действие макроса распространяется только на документ, в состав которого он входит, а взаимодействие с другими документами - ограничивается операциями чтения. Следовательно, активные действия, связанные с файловыми операциями или с записью в другие документы, могут вызывать обоснованные подозрения.


Метод анализа изменений (контрольных сумм)

Для обнаружения вирусов этот метод в современных условиях уже не годится. В системном каталоге Windows количество файлов достигает нескольких тысяч. А обновления ОС и ряда приложений регулярно изменяет в составе и версиях хранящихся там файлы. Анализ изменений на дисках - задача еще более трудоемкая и плохо автоматизируемая.
На основании данных об изменениях в файловой системе можно определить признаки заражения неизвестным вирусом. Но время, необходимое на такой анализ, делают его невозможным в сколько-нибудь больших сетях, а в сетях небольшого размера - нерентабельным, или, как вариант, из-за стоимости услуг по привлечению высококвалифицированного специалиста.
Даже если анализ контрольных сумм не определяет факт наличия вируса в системе, он позволяет определить факт отсутствия вирусов в файлах, контрольная сумма которых осталась неизменной.


Почта

Электронная почта является одним из наиболее часто используемых каналов проникновения вредоносных программ. Поэтому, антивирус для рабочих станций Windows должен обладать собственными средствами защиты от вирусов, приходящих по почте.
С большинством таких вирусов справляются стандартные средства проверки файловой системы, т.к. такой вирус, даже будучи запущенным пользователем, все равно сначала сохраняется на диск во временный каталог, и только после загружается в память. И в момент сохранения он будет обнаружен и обезврежен средством проверки при доступе.
Однако лучше использовать модуль защиты почты, т.к. он не оказывает серьезного влияния на производительность и может работать едва ли не с максимальными настройками, перекрывая один из наиболее опасных потоков распространения вирусов.
Локальный модуль проверки почтовых сообщений играет роль отсутствующего антивируса на почтовом сервере, снижая нагрузку на другие модули проверки и уменьшая общую вероятность заражения. Также он позволяет не допустить появления в почтовой базе зараженных объектов и предотвратить возникновение потенциально опасной ситуации.

С точки зрения технологий, используемых в модулях проверки почты, можно выделить два направления, в которых ведутся разработки:

  • интеграция с почтовыми клиентами;
  • перехват соединений по почтовым протоколам.


В первом случае проверяются все почтовые сообщения, обрабатываемые почтовым клиентом, независимо от используемых протоколов. Хотя обеспечить необходимую интеграцию со всеми возможными почтовыми клиентами - задача практически неразрешимая. Поэтому используется второй способ, когда модуль проверки перехватывает соединения по некоторым почтовым протоколам, вычленяет из потока данных объекты, которые могут быть заражены, и проверяет их. Интеграция обычно поддерживается с очень ограниченным числом почтовых клиентов (Microsoft Outlook). Способ перехвата соединений ограничен в числе поддерживаемых протоколов - это только протоколы SMTP и POP.


Интернет

Также для проникновения на компьютер вредоносные программы используют поток данных непосредственно из Интернет. Данные угрозы можно разделить на несколько классов:

  • загрузка зараженных программ через Интернет по инициативе пользователя — подобные события могут происходить по недосмотру или оплошности пользователей, в результате успешного использования методов социальной инженерии;
  • принудительная загрузка и запуск файлов через Интернет в процессе навигации по сети Интернет — происходит в результате использования на веб-страницах вредоносных скриптов, эксплуатирующих уязвимости в Интернет-агентах (браузерах);
  • удаленная атака на сетевые службы и приложения с внедрением кода непосредственно в адресное пространство уязвимых процессов и последующим выполнением этого кода - происходит при наличии соответствующих уязвимых процессов и прямого доступа к компьютеру из сети Интернет.


Средство проверки файловой системы при доступе справляется с угрозами первых двух типов - загруженный файл будет проверен в момент записи на диск.
Для защиты от использования на веб-страницах вредоносных скриптов, инициирующих несанкционированную загрузку и выполнение программ может использоваться специальный компонент проверки скриптов. Для выполнения скриптов, написанных на языках VBScript и JavaScript в ОС семейства Windows используется специальный компонент - Windows Script Host, допускающий интеграцию внешних фильтров. В некоторых антивирусах реализован отдельный модуль, проверяющий все скрипты, выполняемые посредством Windows Script Host, обеспечивая защиту от веб-страниц, от содержащих скрипты писем в html-формате и от сохраненных на диске скриптов.
Для защиты от удаленных атак на сетевые службы в антивирусные средства интегрируется часть функций персональных брандмауэров либо полноценный персональный брандмауэр, тогда антивирус превращается в более сложный и многофункциональный программный продукт, способный отслеживать сетевые соединения и блокировать атаки на переполнение буфера, используемые для удаленного внедрения и выполнения кода. В целом же защиту от атак на сетевые службы следует обеспечивать устранив уязвимости.

- Рабочие станции под управлением других ОС
Вредоносных программ, угрожающих заражением непосредственно рабочим станциям под управлением Unix или MacOS крайне мало. В большинстве своем это либо так называемые proof-of-concept (доказательство возможности) вирусы, либо вирусы, использующие весьма специфические уязвимости. Первые - опасности не представляют. Вторые - способны поражать только системы с очень специфическим набором свойств (например, с установленным прикладным ПО определенной версии) и не угрожают актуальным версиям ОС и соответствующим программам.
Поэтому антивирусы для таких рабочих станций предназначены, в основном для недопущения распространения вредоносных программ. Зараженный файл, скопированный с Windows-машины на Unix-машину, не может нанести вреда Unix-машине.
Следовательно, антивирус для рабочих станций под управлением ОС, отличных от Microsoft Windows, не нуждается в большинстве модулей и технологий, применяемых для защиты рабочих станций Windows.
Если же на Unix-машине имеется ресурс, активно используемый для хранения и передачи файлов пользователями рабочих станций Windows, это означает, что такая Unix-система относится к классу серверных и требует соответствующих назначению средств защиты.


Эксплуатационные требования и соответствующие им решения

Антивирус должен эффективно защищать компьютер от вирусных угроз и должен обеспечивать:

  • обновление — действия по поддержанию средств антивирусной защиты в актуальном состоянии;
  • управление — инструментарий для выполнения настроек и запуска задач, связанных с антивирусными средствами и средствами обновления;
  • диагностику — набор механизмов обеспечивающих обратную связь с пользователем - предоставление информации о состоянии и результатах функционирования входящих в состав антивируса средств;
  • надежность — свойство антивируса, обозначающее бесперебойность выполнимых антивирусом функций и максимальную сохранность информации на компьютере;
  • производительность — свойство антивируса, обозначающее эффективность использования ресурсов компьютера.


- Обновление

Главная задача обновления — обеспечение связи между разработчиками и антивирусным продуктом. Антивирус постоянно нуждается в обновлениях, позволяющих ему эффективно противостоять новым видам и типам угроз.
Появление нескольких десятков, а то и сотен новых вредоносных программ, требует внесения изменений в антивирусные базы. Появление новых угроз диктует сравнимую частоту выпуска антивирусных баз. Следовательно, антивирусное средство должно позволять выполнять обновление с необходимой частотой.
Механизм обновления должен подразумевать обновление, как сигнатур - антивирусной базы, - так и антивирусного ядра. В модулях антивируса могут быть также ошибки, требующие устранения. Тогда для этих целей выпускаются специальные заплаты, устраняющие ошибки. Процесс загрузки заплат бывает автоматизированным или нет. В случае неавтоматизированной загрузки - пользователь должен самостоятельно загружать исправления с сайта производителя и устанавливать их. Большинство пользователей не смогут поставить сами данные исправления, а значит, не смогут устранить уязвимость в самом антивирусе, что повлечет за собой нарушение работы антивирусной защиты на должном уровне. Поэтому автоматическая загрузка и установка заплат является предпочтительной.
Обновления антивирусных баз и антивирусного ядра, зависящие от операционной системы, установленные на разные платформы (Windows, Unix), будут загружать различные обновления. Не зависящие от операционной системы - обновления будут одинаковыми, что позволит сэкономить на объеме загружаемой из Интернет информации. Стоит один раз загрузить обновления с сайта производителя и поместить их в общедоступный ресурс внутри сети.
Стандартными способами антивирусных обновлений - являются обновления из HTTP-, FTP- или локального (сетевого) ресурса.

- Управление
К инструментам управления относятся настройки и задачи.
Настройки — это значения параметров, определяющих характер выполнения тех или иных действий.
Задачи — это именованные действия, связанные с используемыми в антивирусе средствами и характеризующиеся индивидуальными настройками выполнения.

К инструментам управления выделяются следующие средства:

  • графический интерфейс — характерен для продуктов под Windows, все настройки и задачи доступны в виде диалоговых окон связанных с главным окном антивируса;
  • конфигурационные файлы — средство редактирования настроек, при котором все параметры и их значения хранятся в удобном для редактирования формате в отдельных файлах или даже в одном файле. Чаще используется для продуктов под Unix. В продуктах под Windows, роль конфигурационных файлов играет реестр Windows;
  • интерфейс командной строки — средство управления задачами или выполнения отдельных действий. Подход характерен для антивирусов под Unix, но встречается и в антивирусах под Windows, в основном для обеспечения возможности выполнения антивирусной проверки из-под третьих программ;
  • веб-интерфейс — способ доступа к настройкам и задачам антивируса через браузер, что предполагает наличие встроенного в антивирус HTTP-сервера или же использования внешнего (IIS, Apache). Подход применяется в антивирусах для Unix в виде замещения графического интерфейса.


Для антивирусов под Windows штатным способом управления является локальный - через графический интерфейс. Развитые средства удаленного доступа в ОС Windows применяются, преимущественно, в серверных системах, а в пользовательских версиях Windows эти средства если и есть, то очень ограничены. В антивирусах для Unix-систем - используется преимущественно удаленный доступ: либо через веб-интерфейс, либо через telnet- или ssh-клиент.

- Диагностика
Диагностика состояния и результатов функционирования антивируса проявляется в двух плоскостях:

  • Уведомления пользователю
  • Ведение журналов


Уведомления бывают локальные и сетевые. Локальные - выражаются в виде информационных окон, всплывающих сообщений в системной панели, в виде изменения статуса антивируса (в той же системной панели или в окне интерфейса).

Сетевые уведомления - для уведомления администратора антивирусной безопасности, отвечающего за защиту сети в целом. Поэтому они могут быть реализованы только в сетевой (корпоративной) версии антивируса, в персональной версии сетевые уведомления не имеют смысла.
Электронная почта и служба оповещений Windows (имя службы - Оповещатель (Messenger)), являются наиболее распространенными способами доставки сетевых уведомлений.

Уведомления - разовые действия, не оставляющие после себя никаких следов, то журналы работы остаются и могут быть проанализированы для выяснения причин заражения, сбоев, неполадок и других инцидентов.

Различные подходы к ведению журналов:

  • журналы создаются отдельно для каждого выполнения любой задачи. Т.е. каждый запуск задачи проверки по требованию или обновления создает отдельный журнал, а также ведется журнал событий, не связанных с выполнением задач;
  • журналы ведутся для различных типов выполняемых действий - общий журнал обновлений, общий журнал постоянной защиты, общий журнал проверки по требованию и т.д.


Преимущества:
в первом случае - упрощается анализ отдельного журнала, но возникает проблема поиска нужного, во втором - сразу понятно, где искать, но сам поиск по журналу может составить проблему.

Различия в форматах хранения журналов и способах работы с ними. При сохранении журналов в обычном текстовом формате с понятными описаниями событий - они могут анализироваться в любом текстовом редакторе. При хранении в служебных нечитаемых форматах - для работы с ними нужно использовать встроенные в антивирус средства.
В событиях обязательно указывается дата и время, тип события, описание и перечисление важных для данного события параметров. Т.е., при обнаружении вируса должны указываться тип вируса и имя зараженного файла, а также предпринятое действие.

- Надежность
Во-первых, это способность противодействовать вредоносным программам, пытающимся отключить антивирусную защиту. Во-вторых, это инструменты для защиты от необдуманных или небезопасных действий пользователя. В-третьих, это недопущение потери данных по вине антивирусного средства.


Защита от вредоносного кода

Вредоносные программы маскируются, стараются остаться незамеченными, активно противостоят антивирусным средствам путем выгрузки из памяти соответствующих модулей, удаления файлов с дисков компьютера, блокирования доступа к серверам обновления.

Технологии, призванные противостоять таким действиям вирусов:

  • глубокая интеграция в операционную систему - выгрузка антивирусных компонентов, выполннных в виде драйверов. Однако, если такой компонент способен автономно выполнять проверку и блокирование зараженных файлов, вредоносная программа не сможет заметно повлиять на степень защиты;
  • использование технологии "сторожа" (watchdog) - запускаются основные службы, процесс антивируса, а также специальный сторожевой процесс, отвечающий за запуск ключевых компонентов антивируса. При обнаружении выгрузки из памяти каких-то ключевых компонентов, процесс пытается повторно запустить их, либо сообщает о проблеме пользователю (администратору);
  • использование случайных имен для ключевых процессов - использование случайных имен усложняет задачу по выгрузке антивирусных средств, т.к. вредоносные программы опираются на фиксированные имена файлов (процессов), относящихся к антивирусным средствам. В качестве варианта реализации случайные имена могут даваться сторожевому процессу.


Защита от действий пользователя
Пользователи также могут быть причиной частичного или полного отключения антивирусных средств. Пользователи стремятся отключить антивирусную защиту либо отдельные ее функции считая, что антивирусные средства являются основной причиной снижения производительности или появления сбоев в работе компьютера.
Чтобы воспрепятствовать вмешательству пользователей в работу антивирусных средств, должны использоваться административные меры, применяться встроенные в антивирусные средства технологии ограничения действий пользователей.

К таковым могут относиться:

  • полный запрет или установка защиты паролем на выгрузку антивирусных средств;
  • полный запрет или установка защиты паролем на деинсталляцию антивирусных средств;
  • выборочная либо полная защита (паролем либо безусловная) от изменения параметров работы антивирусных средств.


Недопущение потери данных

Выполняя действия по предотвращению заражения и нейтрализации обнаруженных инфицированных объектов, антивирус модифицирует файлы пользователя (при лечении или удалении зараженных файлов), что иногда может привести к потере нужной информации. Для предотвращения этого в ряде антивирусов применяется технология резервного копирования.
При обработке подозрительных объектов, лечение невозможно, в принципе, а удаление - опасно потерей данных, по причине ложного срабатывания. Лучшее решение - изоляция таких объектов до выяснения обстоятельств.
Далее, конфликты АПО с прочими программами, установленными на компьютере. Модули антивируса перед выпуском новой версии тщательно тестируются и не допускают конфликтов, а обновления антивирусных баз и ядра выпускаются слишком часто, и их должным образом протестировать невозможно. По этой причине иногда возникают проблемы совместимости, которые оперативно устраняются выпуском обновлений или же следующей версией, если обновления выходят часто.

- Производительность
Основная идея повышения производительности заключается в исключении необязательных и/или многократных проверок. Если нет смысла проверять один и тот же объект два раза подряд (что очевидно), то допустимый интервал между двумя последовательными проверками одного и того же объекта должен быть до тех пор, пока состояние системы с точки зрения проверки этого объекта не изменилось. Важными параметрами в данном случае будут:

  • состояние объекта — если объект изменился, вероятность, что это произошло под влиянием вируса, а значит, объект подлежит повторной проверке;
  • состояние антивирусного средства — если изменилась версия антивирусных баз, антивирусного ядра или самого антивируса, вероятность обнаружения потенциального вируса внутри объекта, не обнаруженного ранее, будет велико.


Отследить изменения в антивирусе - задача тривиальная. Соответственно стоит вопрос об отслеживании изменений в объектах и хранении данных об условиях предыдущей проверки. Технология расчета и анализа контрольных сумм, обеспечивает две характеристики:

  • надежное определение неизменности объекта — при изменении объекта, изменяется и его контрольная сумма;
  • высокая скорость обработки файла — чтобы имело смысл подменять полноценную проверку на наличие вирусов проверкой на наличие изменений, необходим значительный выигрыш в скорости. На практике вычисление контрольной суммы файла выполняется на порядок быстрее, чем поиск в этом же файле вируса.


Для повышения производительности, кроме автоматической сортировки объектов на те, которые нужно проверять и те, которые проверять смысла нет, применяются также методы ручной сортировки.
На первом ее этапе, эксперты компании-производителя определяют типы файлов, которые могут быть заражены и которые по этой причине необходимо проверять. Остальные типы файлов считаются неопасными и проверяются только в особых случаях - при опасениях заражения машины неизвестным вирусом, или во время протекания масштабной эпидемии.
На втором этапе сортировки объектов в антивирусе реализуются инструменты для гибкой настройки перечня проверяемых объектов. Проверяемые (или исключаемые) объекты могут определять по различным признакам. Наиболее часто реализуется исключение объектов по их идентификации в файловой системе компьютера - по принадлежности к определенному диску или каталогу, по маске имени и/или расширения.

Апостериорный подход - когда проверка объекта начинает выполняться и в зависимости от характеристик ее протекания принимается решение продолжать проверку (до окончания) или прекратить.
Способы регулировки производительности, не зависящие от характеристик проверяемых объектов. Во многих антивирусах имеется возможность задать приоритет проверки (в смысле приоритета процесса, выполняющего сканирования).
Регулировка использования системных ресурсов применяется обычно только для проверки по требованию.


Требования к антивирусам для рабочих станций

- Требования к антивирусам для рабочих станций Windows

  1. Общие требования — надежность, производительность, удобство в использовании, дешевизна.
  2. Основные требования— как следствие главной задачи:
    • проверка всех файлов на локальных дисках, к которым идет обращение - на чтение, на запись, на запуск - с целью выявления и нейтрализации компьютерных вирусов;
    • проверка сменных и сетевых дисков;
    • проверка памяти;
    • проверка входящих и исходящих писем на предмет наличия вирусов, проверяться должны как сами сообщения, так и вложения к ним;
    • проверка скриптов и других активных элементов веб-страниц;
    • проверка макросов в документах Microsoft Office и файлах других приложений;
    • проверка составных файлов - архивов, самораспаковывающихся архивов, упакованных исполняемых файлов, постовых баз данных, файлов почтовых форматов, OLE-контейнеров;
    • возможность выбора различных действий над зараженными файлами, штатно:
      • блокирование (при проверке в реальном режиме времени);
      • запись в журнал (при проверке по требованию);
      • удаление;
      • перемещение на карантин;
      • лечение;
      • запрос действия у пользователя.
    • лечение зараженных файлов;
    • лечение зараженных файлов в архивах;
    • обнаружение потенциально нежелательных программ (рекламных и шпионских модулей, хакерских утилит, и т. п.).

  3. Требования к управлению:
    • наличие локального графического интерфейса;
    • возможность удаленного и централизованного управления (корпоративная версия);
    • возможность планирования запуска задач проверки и обновления;
    • возможность запуска любых задач или выполнения любых действия по требованию (вручную);
    • возможность ограничения действий непривилегированного пользователя применительно к антивирусному комплексу.

  4. Требования к обновлению:
    • поддержка различных источников обновления, штатно:
      • HTTP- или FTP-ресурс;
      • локальная или сетевая папка;
      • централизованная система обновления (в корпоративных версиях).
    • возможность обновлять антивирусные базы, антивирусное ядро и модули приложения;
    • возможность выполнять обновления вручную по требованию или автоматически по расписанию;
    • возможность выполнять откат обновления антивирусный баз.

  5. Требования к диагностике:
    • уведомление локального пользователя о важных событиях - обнаружение вирусов, смена состояния антивируса и т. д.;
    • ведение журналов работы антивируса и/или отдельных задач;
    • уведомление администратора антивирусной безопасности (в корпоративной версии).


- Требования к антивирусам для рабочих станций Linux/Unix

  1. Общие требования - практически без изменений: надежность, производительность, дешевизна.
  2. Основные требования- исходя из назначения:
    • проверка по требованию произвольных файлов и каталогов на предмет наличия вирусов;
    • проверка определенных каталогов в режиме реального времени при доступе к файлам. Если такой функционал действительно необходим, значит, речь идет о сервере - в Unix-системах явного различия между ними нет;
    • обнаружение вирусов в составных объектах - архивах, самораспаковывающихся архивах, упакованных исполняемых модулях, постовых базах данных, файлах почтовых форматов, OLE-контейнерах - не ограничиваясь форматами, распространенными в Unix-среде;
    • возможность выбора действия при обнаружении зараженных файлов, штатно
      • удалять;
      • перемещать или переименовывать;
      • лечить;
      • записывать информацию в отчет;
      • запросить действие у пользователя (при проверке по требованию).
    • лечение инфицированных файлов;
    • возможность лечения в архивах.

  3. Требования к управлению
    • локальное управление при помощи редактирования конфигурационных файлов;
    • желательно - удаленное управление через веб-интерфейс;
    • возможность планировать запуск задач и выполнение действий;
    • возможность выполнять задачи и действия вручную.

  4. Требования к диагностике:
    • ведение журналов работы;
    • уведомление администратора антивирусной безопасности.


Защита серверов

Сетевые сервера, как и рабочие станции, делятся на классы, согласно используемым операционным системам:

  • Сервера Windows
  • Сервера Novell Netware
  • Сервера Unix


Для различных операционных систем - существуют различные вирусные угрозы и, соответственно, различные варианты определения основных задач антивирусов.
Все продукты для защиты серверов являются сетевыми (корпоративными). У многих производителей вообще нет деления корпоративных продуктов на предназначенные для рабочих станций и файловых серверов - имеется единый продукт.


Специфические угрозы и способы противодействия

Относящиеся к серверам специфические угрозы связаны с применением уязвимого ПО, характерного для серверов.

- Сервера Microsoft Windows
Для серверов Windows актуальны все те же угрозы, что и для рабочих станций под Windows NT/2000/XP. Отличия только в способах эксплуатации серверов, что выражается в ряде дополнительных атак, нехарактерных для рабочих станций.
Почтовые клиенты и офисные приложения на серверах, как правило, не используются, в связи с тем, что пользователи за ними не работают. Поэтому требования к защите почты на уровне почтового клиента и дополнительные средства обнаружения макровирусов в случае серверов Windows менее востребованы.
Однако на серверах Windows значительно чаще, чем на рабочих станциях используются такие службы как Microsoft SQL Server и Microsoft IIS, которые могут содержать уязвимости, чем в свое время неоднократно пользовались авторы вирусов.

Пример: Червь Net-Worm.Win32.Slammer - использовавший уязвимость в Microsoft SQL Server 2000, который не сохранял свои файлы на диск, а выполнялся непосредственно в адресном пространстве приложения SQL Server. Далее в бесконечном цикле червь выполнял атаку на случайные IP-адреса в сети, используя для проникновения ту же уязвимость. Активность червя до такой степени перегружала сервера и каналы связи Интернет, что целые сегменты сети были недоступны. А червь просто размножался, не выполняя больше никаких действий.

Червь Net-Worm.Win32.CodeRed.a. - использовал уязвимость в Microsoft IIS 5.0. При помощи компьютеров, зараженных CodeRed.a, была произведена небезуспешная попытка DDoS атаки на сайт Белого Дома США (www.whitehouse.gov). CodeRed.a также не сохранял файлы на дисках пораженных серверов.


Модуль проверки файловой системы (хоть по запросу, хоть при доступе) против данных червей бессилен. Кроме повышенной сетевой активности эти черви никак не проявляют своего присутствия в системе. Основная рекомендация по защите - своевременная установка патчей на операционную систему и используемое ПО. Либо настройка брандмауэров таким образом, чтобы порты, используемые уязвимыми службами, были недоступны извне - разумное требование в случае защиты от Slammer, но неприемлемое для защиты от CodeRed.
Защита от червей Lovesan, Sasser, Mytob и им подобным, атакующие непосредственно уязвимые службы операционной системы, должна обеспечиваться комплексными мерами - использованием брандмауэров, установкой заплат, применением проверки при доступе (упомянутые черви при успешной атаке сохраняют свои файлы на жестком диске).
Учитывая характер атак, можно сделать вывод, что основными средствами защиты серверов Windows являются: модуль проверки файлов при доступе, модуль проверки файлов по требованию, модуль проверки скриптов, а основными технологиями - сигнатурный и эвристический анализ (а также поведенческий - в модуле проверки скриптов).

- Сервера Novell Netware
Специфических вирусов, способных заражать Novell Netware, нет. Однако существует несколько троянов, ворующих права доступа к серверам Novell, но они все равно рассчитаны на выполнение в среде ОС Windows.
Поэтому антивирус для сервера Novell Netware фактически не предназначен для защиты этого сервера. Он необходим для предотвращения распространения вирусов. Сервера Novell Netware в большинстве своем используются как файловые сервера, для хранения пользователями Windows-компьютеров своих файлов или же запускать программы, расположенные на томах Novell Netware. Чтобы предотвратить проникновение вирусов на общие ресурсы сервера Novell, либо запуск/чтение вирусов с таких ресурсов и нужен антивирус.
Соответственно, основные средства, применяемые в антивирусе для Novell Netware - проверка при доступе и проверка по требованию.
Технологиями, применяемыми в антивирусах для Novell Netware, являются блокирование станций и/или пользователей, записывающих на сервер вредоносные программы.

- Сервера Unix
Антивирус для Unix-серверов решает задачу недопущения распространения вирусов через сервер. Для этого применяются:

  • проверка файлов по требованию;
  • проверка файлов при доступе.


Многие известные черви под Linux используют для распространения уязвимости в системном и прикладном ПО - в ftp-сервере wu-ftpd, в веб-сервере Apache. Такие приложения используются чаще на серверах, чем на рабочих станция, что является дополнительным аргументом в пользу усиленных мер по защите серверов.
У серверов Unix по умолчанию нет поддержки сетей Microsoft. Они не приспособлены для передачи файлов по протоколу SMB/CIFS, а используют специальный программный пакет - Samba, позволяющий создавать совместимые с Microsoft-сетями общие ресурсы.
При обмене файлами только по протоколам SMB/CIFS, достаточно проверять только файлы, передающиеся с использованием Samba-сервера.


Эксплуатационные требования и характеристики

На северах обрабатывается больше информации, они же являются местами постоянного хранения этой информации, в случае с серверами приложений, услугами сервера пользуется одновременно большое количество человек - все это накладывает повышенные требования к надежности и производительности антивирусного программного обеспечения, устанавливаемого на сервера. Однако важными остаются реализация управления, обновления и диагностики.

- Управление
Как правило, сервера Windows предполагают автономную работу с минимальным вмешательством администраторов. Все необходимые службы и приложения настраиваются один раз и в дальнейшем работают согласно настройкам. В этой ситуации достаточно наличия каких бы то ни было средств настройки - применяться они в любом случае будут нечасто.
Для управления продуктами для Unix-серверов применяется веб-интерфейс либо управление посредством редактирования конфигурационных файлов и запуска задач из командной строки в telnet- или ssh-сессии.
Продукты под Novell Netware управляются через стандартный инструмент ConsoleOne.

- Обновление
Разницы в сравнении с антивирусами для рабочих станций нет.

- Диагностика
В антивирусах для файловых серверов используются те же средства диагностики, что и в рабочих станциях - уведомления, отчеты. Иногда, для тщательной диагностики проблем производительности или других проблем, необходимо в реальном режиме времени сравнивать некоторые показатели работы компьютера, в том числе и показатели работы антивируса. Такие диагностики, чаще бывают нужны на серверах, и поэтому соответствующие средства диагностики, если и встречаются, то в антивирусах для защиты серверов.

Реализация такого рода диагностики выглядит как добавление в стандартный инструмент Windows - Performance Monitor - дополнительных счетчиков, как и в случае средств для защиты шлюзов или почтовых серверов. Счетчики включают:

  • количество проверенных объектов;
  • количество обнаруженных вирусов;
  • количество вылеченных вирусов;
  • количество проверенных архивов.


- Надежность
В отношении надежности АПО для защиты серверов должно обладать:

  • быстротой реакции на новые угрозы;
  • защитой от случайного или преднамеренного отключения антивирусной защиты;
  • защитой от необдуманных и неквалифицированных действий пользователей;
  • предотвращением потеряй данных.


При этом задействуются все те же технологии.
Повышенные требования к защите серверов должны учитываться при разработке антивирусного ПО для них. Для улучшенной совместимости с другим распространенным серверным ПО применяется урезание функционала серверного антивируса в сравнении с антивирусом для рабочих станций - чем меньше модулей содержит антивирус, тем меньше вероятность конфликтов или сбоев.

- Производительность
Антивирусное ПО для серверов использует практически те же технологии, что и АПО для рабочих станций. Однако, в отличие от рабочих станций, сервера нередко могут работать на многопроцессорных платформах. А антивирус вполне может использовать многопроцессорную архитектуру для повышения скорости проверки объектов.


Требование к антивирусам для серверов

  1. Общие требования - дешевизна, больший упор на надежность, совместимость и производительность.
  2. Основные требования:
    • контроль в реальном режиме времени файлов, расположенных в общих ресурсах - проверка при обращении к этим файлам;
    • проверка в реальном режиме времени всей файловой системы (обязательно - Microsoft Windows, желательно - Novell Netware, Unix/Linux);
    • проверка любых объектов файловой системы по требованию;
    • обнаружение вирусов в составных файлах - архивах, файлах почтовых форматов и т. п.;
    • возможность выбора различных действий при обнаружении вируса, штатно:
      • блокирование доступа к файлу;
      • запись в журнал;
      • удаление;
      • переименование или помещение на карантин;
      • лечение;
      • блокирование доступа с рабочей станции;
      • лечение зараженных файлов;
      • лечение файлов в архивах.

  3. Требования к управлению:
    • возможность удаленного управления;
    • поддержка единой системы удаленного и централизованного управления (в большей степени для серверов Microsoft Windows);
    • возможность планирования запуска задач и выполнения действий;
    • возможность гибко исключать из проверки файлы, области, процессы.

  4. Требования к обновлению:
    • быстрая реакция производителя на появление новых вредоносных программ - высокая частота выпуска обновлений;
    • поддержка различных источников обновления - HTTP- или FTP-ресурс, локальная или сетевая папка, желательно - централизованная система обновления;
    • возможность выполнения обновления вручную по запросу или автоматически по расписанию;
    • возможность выполнить откат обновлений антивирусных баз.

  5. Требования к диагностике:
    • ведение журналов работы;
    • уведомление администратора обо всех важных событиях (с возможностью выбора типов событий, желательно - с именем пользователя, пытающегося разместить на сервере инфицированный файл и адресом его компьютера);
    • уведомление пользователей о попытках доступа к зараженным файлам;
    • отображение статистики и счетчиков производительности в реальном режиме времени.

  6. Требования к производительности:
    • поддержка многопроцессорности.


Система администрирования

В больших сетях система управления является необходимым инструментом, который позволяет контролировать состояние системы защиты серверов и рабочих станций в целом. В штатном режиме - позволяет существенно снизить затраты на обслуживание, в условиях эпидемии - позволяет оперативно корректировать настройки и удаленно командовать работой антивирусов на узлах.


Цели и задачи

Каждым антивирусным средством можно управлять непосредственно: либо локально, либо, как в случае с продуктами под Novell Netware, Linux, Unix - удаленно при частичной помощи штатных средств этих операционных систем.
Когда похожие настройки необходимо сделать на трех - десяти узлах, применять независимые средства управления для каждого из узлов становится крайне неэффективно. С учетом того, что большую часть узлов сети составляют компьютеры под управлением ОС Windows, которые не обладают развитыми средствами удаленного управления, позволяющими изменять настройки программ, не мешая работе пользователей, то к необходимости независимой настройки, необходимо и непосредственное присутствие администратора антивирусной безопасности для выполнения этих действий. В итоге, управление сколько-нибудь большим числом защищенных узлов становится задачей крайне трудоемкой и малоэффективной.
При возникновении в сети инцидента, связанного с антивирусной безопасностью, штатные средства управления антивирусным средством либо оповещают об этом локального пользователя либо просто записывают информацию в отчет. А с момента, когда произошел инцидент, до момента, когда об этом стало известно администратору, может пройти значительное время - несколько часов или даже дней, что в ситуации возникновения эпидемии просто недопустимо.
При ситуации, когда необходимо оперативно получать информацию о состоянии защиты на всех защищаемых узлах и своевременно вносить коррективы в настройки, при необходимости обновлять антивирусные базы и проводить внеплановую проверку компьютеров - администратору потребуется произвести полный обход территории сети, потеряв контроль за происходящим.

Вырисовывается необходимость в дополнительном инструменте, который позволил бы решать следующие задачи:

  • удаленно изменять любые настройки любого узла, защищенного антивирусом;
  • удаленно выполнять любые действия связанные с антивирусной защитой: проверку по требованию, обновление, откат обновления;
  • изменять настройки и выполнять задачи по отношению к группам узлов как к одному узлу;
  • получать информацию о состоянии антивирусной защиты любого узла в любой момент;
  • оперативно получать информацию обо всех инцидентах, связанных с антивирусной защитой.


Фактически, необходима система управления или система администрирования, которая удаленно и централизовано решает задачи управления, обновления и диагностики системы антивирусной защиты. Она также включает функции, связанные с разворачиванием системы антивирусной защиты в сети - функции удаленной установки и деинсталляции антивирусных средств.


Структура системы администрирования

  • подсистема управления - предназначена для удаленной настройки отдельных узлов или групп улов, равно как и для удаленного выполнения задач на отдельных узлах и их группах;
  • подсистема обновления - предназначена для минимизации нагрузки на сеть при выполнении обновления большого количества узлов, а также минимизации задержек при распространении обновлений;
  • подсистема диагностики - предназначена для передачи информации о событиях, связанных с антивирусной защитой, и для предоставления информации о статусе этой защиты;
  • подсистема внедрения - предназначена для выполнения удаленной установки и удаления антивирусного ПО.


Эти подсистемы могут и не составлять единый продукт. И практически любая из подсистем может представлять собой отдельное решение.


Основные требования к системе администрирования

Требования к системе администрирования являются обобщением требований к управлению, обновлению и диагностике отдельных антивирусных комплексов:

  1. Требования к подсистеме управления:
    • возможность удаленно и централизованно администрировать антивирусное ПО, установленное в сети: обязательно - АПО для защиты рабочих станций и серверов Windows, желательно - всех остальных антивирусов того же производителя;
    • возможность удаленно изменять настройки любого антивируса, подключенного к системе администрирования;
    • возможность централизованно создавать, модифицировать, запускать и удалять задачи, причем как для отдельных клиентов, так и для произвольных их групп;
    • возможность создавать групповые политики - базовые настройки для групп клиентов;
    • возможность контролировать соблюдение групповых политик - запрет на изменение настроек локальными пользователями, независимо от их привилегий;
    • возможность построения иерархической системы управления для оптимизации трафика, связанного с администраторской деятельностью - как правило, применяется иерархия серверов управления;контроль состояния антивирусной защиты в сети.

  2. Требования к подсистеме обновления:
    • построение иерархической системы обновления с гибкими возможностями организации промежуточных источников для минимизации трафика связанного с распространением обновлений;
    • контроль содержимого всех промежуточных источников обновления - по возможности;
    • откат обновлений антивирусных баз - желательно, централизованный;
    • поддержка двух режимов обновления - вытягивания и проталкивания.

  3. Требования к подсистеме диагностики:
    • поддержка нескольких каналов доставки уведомлений:
      • электронная почта;
      • сетевые уведомления (NET SEND, аналогичные средства Novell Netware и т. п.);
      • SNMP;
      • запись в журналы Windows;
      • пересылка на сервер управления. - централизованный сбор и хранение информации о событиях;
    • гибкая настройка регистрируемых типов событий и текста уведомлений;
    • поддержка режима тестирования доставки уведомлений;
    • анализ частоты заражений и генерация события типа "вирусная атака" с отправкой уведомления администратору антивирусной безопасности;
    • анализ событий при помощи фильтров;
    • генерация сводных отчетов, как правило:
      • отчет о наиболее распространенных вирусах;
      • отчет о наиболее заражаемых клиентах;
      • отчет о версиях антивирусных баз;
      • отчет об используемых версиях АПО;
      • отчет о защите сети;
      • отчет об использовании лицензий;
      • отчет об ошибках.
    • генерация отчетов по расписанию.

  4. Требования к подсистеме внедрения:
    • автоматическое обнаружение незащищенных узлов;
    • поддержка различных методов удаленной установки:
      • форсированная установка через RPC;
      • установка через сценарии запуска (login script);
      • другие способы - желательно.


Подсистема управления
Система управления строится на базе трех компонентов:

  • Сервера управления
  • Консоли управления
  • Агента


Функции компонентов распределены следующим образом:

  • консоль управления - интерфейс для доступа к функциям сервера управления и транзитом через сервер управления и агент - к функциям локально установленных антивирусных средств, допускает удаленное подключение к серверу управления;
  • сервер управления - предоставляет возможности удаленной настройки отдельных клиентов и их групп, формирования задач для групп клиентов и централизованного хранения их настроек, хранит информацию о подключенных к нему узлах;
  • агент - выполняет посредническую функцию между сервером управления и антивирусными комплексами, установленными на узлах, применяя локально переданные настройки и выполняя локальный запуск задач.


Защищенный узел сети с установленным агентом называют клиентом или клиентским компьютером того сервера управления, к которому подключен агент.
Совокупность всех агентов, подключенных к серверу управления, называют логической сетью или антивирусной сетью. Один и тот же узел может входить только в одну логическую сеть: в обратном случае - получится полная неразбериха с правами и порядком удаленного управления антивирусами на узлах. При возможности наличия нескольких логических сетей, возникает проблема их взаимодействия.

Два подхода к реализации работы с группами:

  • Группы формируются произвольным образом при возникновении необходимости в управлении набором компьютеров, характеризующихся теми или иными признаками, например, на которых не обновлены антивирусные базы. Возможно сохранение информации о составе групп для повторного использования. Сохраненные группы могут пересекаться, т. е. включать одни и те же узлы.
  • Группы создаются на постоянной основе (возможно тоже с учетом каких-либо признаков, но менее подверженных изменениям) и не пересекаются по составу. Возможен только перенос узлов из одной группы в другую.


Гибкость первого подхода заключается в возможности назначить задачу произвольному набору компьютеров, в зависимости от того, как складывается ситуация. Однако он не позволяет эффективно отслеживать состояние настроек антивирусной защиты на узлах, что не дает узнать, какие настройки используются на конкретном узле, и приводит к ненужной неразберихе и потере контроля над состоянием защиты.
При втором подходе появляется возможность задавать постоянные настройки для групп компьютеров и контролировать сохранение этих настроек в неизменном виде, что позволяет отслеживать уровень защиты.

Таким образом, складывается структура элементов управления:

  • узлы - отдельные компьютеры, защищенные антивирусным ПО;
  • группы - объединения узлов.


Две цели объединения компьютеров в группы:

  • выполнение задач на группе компьютеров;
  • задание общих настроек для группы компьютеров.


Достижение первой цели возможно в любой структуре групп: как первого, так и второго типа. Вторая цель достижима только в структуре с постоянными группами, составы которых не пересекаются.
Настройки, заданные на уровне группы называются политикой. Политики, они предполагают наличие неких механизмов контроля:

  • при отклонении настроек антивирусного ПО на узле от политики группы, агент формирует событие, о котором извещается администратор антивирусной безопасности;
  • антивирусное ПО либо агент обладает механизмом блокирования изменения настроек АПО, т.е. при такой схеме отклонение попросту невозможно.


Большинство систем управления позволяют выборочно отмечать обязательные и необязательные параметры политики.
Многие системы управления поддерживают возможность незначительно изменить политику или создать отдельную групповую задачу для подгруппы клиентов. В этом случае логическая сеть будет представлять собой иерархическую структуру групп. Структура групп, настройки групповых задач и политик, данные диагностики - вся эта информация должна храниться на сервере и быть доступной для анализа и обработки. Для этих целей используется внешний сервер баз данных, по сути - четвертый компонент системы управления. Чаще всего в системах управления применятся бесплатная модификация Microsoft SQL Server 2000 - Microsoft SQL Server Desktop Engine 2000 или коротко MSDE 2000

Чтобы избежать перегрузки системы используются следующие методы:

  • Иерархия серверов управления
  • Ограничения на связь между сервером управления и подключенными к нему агентами


При иерархии серверов управления - одни сервера управления могут подключаться к другим. Подключаемый сервер будет подчиненным, а тот, к которому производится подключение - главным. Степень взаимодействия между главными и подчиненными серверами может быть разной.
Подчиненные сервера могут согласно заданному расписанию передавать на главный сервер данные диагностики, таким образом, чтобы на главном сервере имелась полная информация о состоянии защиты в сети. Недостатки - настройку групп, групповых задач и политик придется выполнять независимо на каждом сервере, нет возможности создания задач для всех клиентов сети.
Группы управления привязываются к серверам управления, т.е. подчиненные сервера управления выполняют сугубо вспомогательную передаточную функцию, все действия по части управления выполняются на главном сервере управления. Недостатки - необходимость создавать отдельный сервер для каждой группы, низкая функциональность подчиненных серверов.

Двухуровневая иерархия серверов - есть ровно один главный сервер управления, к которому подключены все остальные сервера управления. Однако есть реализации допускающие произвольную глубину иерархии.

Реализация разграничения доступа может быть самой разной.
Можно выделить следующие характерные схемы:

  1. Разграничение прав доступа отсутствует, для подключения к серверу нужно знать только его адрес.
  2. Идентификация пользователей, имеющих право доступа к серверу отсутствует. Для доступа к серверу необходимо указать пароль доступа. Подключившийся пользователь получает неограниченные права в рамках системы управления.
  3. Идентификация и аутентификация пользователей основана на системе пользователей Windows. Для определения прав доступа используются группы Windows.
  4. Идентификация и аутентификация пользователей основана на системе пользователей Windows. Права доступа определяются на основе встроенных в систему управления механизмов создания групп и распределения прав.
  5. Идентификация, аутентификация и разграничение доступа базируются на встроенных в систему управления средствах и не задействуют внешних систем.


Подсистема обновления
При наличии на всех узлах функций обновления и при наличии централизованной системы управления не составляет труда регулярно запускать задачи обновления на клиентах и контролировать состояние антивирусных баз.
Однако, при выполнении задачи обновления передается большее количество данных, чем при распространении настроек или при выполнении других задач управления. Следовательно, основная проблема обновления в больших сетях - проблема загрузки сети. При одновременном обращении всех клиентов к внешнему источнику обновления - серверу обновлений производителя - канал доступа в Интернет будет перегружен. А при большом размере обновлений могут быть перегружены даже каналы локальной сети.

Что бы решить данную проблему необходимо:

  • уменьшать размер обновлений - путь экстенсивный, поскольку защищаемая сеть может иметь и 10000 и даже большее количество узлов, а пропускная способность сети на некоторых участках может быть и 256 кбит/с и даже 64. Таким образом, проблема все равно будет возникать;
  • использование промежуточных источников обновления - позволяет эффективно сократить количество обращений к каждому источнику путем введения дополнительных промежуточных источников обновления в необходимом количестве.


Система обновления
- это набор средств и способов организации и контроля промежуточных источников обновления.

Система обновления может иметь такие типы структур:

  • децентрализованная - все клиенты обновляются независимо с серверов обновлений разработчика. Минусы - значительная нагрузка на каналы связи;
  • централизованная - обновления загружаются и размещаются на общедоступном ресурсе внутри сети, после чего все клиенты обновляются из этого источника. Недостатки - в распределенных сетях, где есть удаленные филиалы, каналы связи которых, с главным офисом имеют ограниченную пропускную способность. При этом возникает значительная нагрузка на внутренний источник обновлений;
  • иерархическая - создается система промежуточных источников таким образом, чтобы минимизировать количество запросов через низкоскоростные каналы связи. В каждом удаленном филиале создается собственный источник обновлений, который обновляется из ближайшего к нему источника верхнего уровня;
  • смешанная - применяется, когда у организации есть несколько каналов доступа к сети Интернет, например в главном офисе и в некоторых филиалах. Обновление в таких филиалах может осуществляться независимо через собственную систему промежуточных источников обновления.


Использование той или иной схемы диктуется размером и структурой сети организации. В небольших офисах - допустимо использование децентрализованной схемы. В сетях среднего размера, до нескольких сотен компьютеров, сосредоточенных в одной локальной сети - централизованную схему. В крупных территориально распределенных сетях - иерархические или смешанные схемы, в зависимости от наличия каналов доступа к сети Интернет.

Структура источников:

  • внутренний FTP- или HTTP-сервер;
  • общая папка в сети Microsoft (или Novell);
  • специализированный источник обновления на базе клиентского антивируса либо агента управления;
  • полностью специализированный сервер обновления.


Разница между этими типами источников заключается в автоматизации и насколько они поддаются контролю через систему управления.
Для обновления внутреннего FTP- или HTTP-сервера - потребуется использование дополнительных средств для автоматической загрузки обновлений и размещения их на серверах. То же касается и общей папки сети Microsoft.
Источник на базе клиента - вопрос с автоматической загрузкой отпадает, однако дальнейший контроль источника обновлений в этом случае обычно отсутствует.
Специализированные приложения, входящие в состав системы администрирования и позволяющие контролировать размещенные на них файлы называют серверами обновления.
Сервера обновлений и сервера управления часто подразумевают наличие иерархической структуры (с одной и той же целью - снижение нагрузки на сеть) эти приложения бывают объединены. Т.е., сервер управления нередко выполняет функции и сервера обновлений.

Антивирусные базы должны доставляться в кратчайшие сроки после их выпуска. Чтобы избежать перегрузки сети или снижения ее эффективности, обновление в различных группах лучше разносить по времени при помощи планирования запуска задач. Также можно использовать метод случайной задержки, когда запланированные на одно время задачи стартуют не синхронно, а выдерживают паузу случайной длины в рамках заданного интервала.
В случае вирусной атаки или высокой вероятности возникновения эпидемии можно пренебречь временным снижением эффективности сети ради экстренного обновления. Тогда возникает необходимость в двух режимах обновления:

  • вытягивание - обновление по инициативе клиента, выполняется согласно расписанию;
  • проталкивание - обновление по инициативе сервера, может выполняться по расписанию, по требованию или при возникновении определенных условий (тоже форма расписания).


Подсистема диагностики
Задача подсистемы диагностики - предоставить администратору антивирусной безопасности максимум информации о функционировании системы защиты для обеспечения принятия решений.
Средства диагностики можно разделить на несколько классов:

  • уведомления;
  • журналы;
  • отчеты.


Уведомления служат для информирования администратора антивирусной безопасности о событиях, которые возможно требуют безотлагательного вмешательства: например, об обнаружении вируса.
Организация системы уведомлений характеризуется поддержкой каналов доставки уведомлений:

  • отправка почтового уведомления;
  • отправка уведомления по сети;
  • запись в журнал на сервере;
  • использование SNMP-последовательностей;
  • запуск третьих приложений (внешние системы доставки уведомлений).


Связь с системой управления. Система управления выполняет и функции системы уведомлений. Однако, в тех случаях, когда система управления является платной, производитель нередко предоставляет упрощенные средства для организации доставки уведомлений. И тогда в сети создается отдельный сервер уведомлений, который принимает сигналы о событиях от клиентов и преобразует их в уведомления различных видов.
Журналы работы, которые ведутся на клиентских компьютерах, в большой сети для анализа практически непригодны. Для этих целей предназначены централизованные журналы.
С централизованными журналами тесно связаны средства генерации отчетов о работе сети, позволяющие оценить ситуацию по сети в целом, выявить наиболее проблемные участки, компьютеры, определить неявные проблемы и т.д.
Отчеты генерируются администратором антивирусной безопасности вручную по необходимости. Некоторые отчеты лучше генерировать на регулярной основе автоматически: например, отчет о вирусной активности.


Средства внедрения

Локальная установка антивирусной защиты обычно требует слишком большого количества ресурсов обслуживающего персонала. Поэтому система управления часто оснащается средствами для проведения удаленной установки.
На практике встречаются следующие способы удаленной установки, отличающиеся ограничениями на условия применения и степенью вовлеченности пользователя в процесс установки:

  • форсированная установка через RPC - используется возможность удаленного запуска приложений на Windows NT-подобных операционных системах для удаленного выполнения установки (агента, антивируса). Преимущества - полная независимость процесса установки от локального пользователя. Недостатки - ограничение на Windows NT-подобные ОС, необходимость знать реквизиты пользователя с правами локального администратора на удаленном компьютере;
  • установка при помощи сценариев запуска - пользователям домена назначается сценарий запуска, загружающий и запускающий программу установки. Сценарий запускается при регистрации пользователя в сети. Преимущества - возможность удаленной установки на Windows 98/Me, пользователю не требуется выполнять никаких активных действий. Недостатки - необходимость в наличии домена, необходимость в наличии у пользователя прав локального администратора (для проведения установки);
  • установка через объекты групповых политик - использует возможности групповых политик Active Directory для установки приложений, может применяться как форсированно, так и с участием пользователя. Преимущества - имеет форсированный режим установки, не требующий участия пользователя. Недостатки - необходимость в наличии домена, необходимость настраивать политики вручную;
  • установка по электронной почте - пользователям рассылается письмо с программой установки и инструкциями по ее запуску. Преимущества - нет ограничений пооперационным системам. Недостатки - необходимость разбивать большую программу установки на несколько писем, необходимость вовлечения пользователя в процесс установки;
  • установка через веб или любой другой сервер - пользователю по электронной почте или по другим каналам присылается ссылка на внутренний ресурс, с которого нужно загрузить программу установки и запустить ее. Преимущества - нет ограничений по операционным системам, нет проблем с разбиением программы установки для отправки по почте. Недостатки - необходимость вовлечения пользователя в процесс установки.


Только форсированная установка через RPC является интерактивной и позволяет после запуска выяснить, успешно она прошла или нет. Остальные методы требуют ожидания действий пользователя - запуска программы установки, входа в систему. Форсированный режим установки через объекты групповых политик выполняет установку при регистрации компьютера в Active Directory. Т. е. на включенный компьютер такая установка произведена быть не может - требуется предварительная перезагрузка.
Учитывая ограничения каждого из методов, для организации внедрения применяется следующая схема. Выполнятся форсированная установка при помощи RPC, затем - установка другими методами на оставшиеся компьютеры. Далее анализируется информация о результатах установки и на все оставшиеся незащищенными компьютеры антивирусное ПО и агенты устанавливаются вручную.


Все вышесказанное говорит о том, что третий уровень КСАЗ является наиболее сложным с точки зрения организации и функционирования. На нем применяется наибольшее количество разнообразных технологий, ориентированных на борьбу с непосредственными вирусными угрозами, и призванных обеспечить управление, обновление и диагностику антивирусных средств.

Основными отличительными особенностями этого уровня являются:

  • большое количество защищаемых узлов;
  • применение технологий защиты от всех типов угроз;
  • использование централизованной системы управления;
  • использование централизованной системы обновления.


Третий уровень, так или иначе, присутствует в любой системе антивирусной защиты, даже когда речь идет о сети без шлюзов и почтовой системы.