Опубликован: 26.03.2007 | Уровень: для всех | Доступ: платный
Лекция 7:

Защита серверов и рабочих станций

Подсистема диагностики

Задача подсистемы диагностики - предоставить администратору антивирусной безопасности максимум информации о функционировании системы защиты для обеспечения принятия решений.

Как и в случае одиночного антивируса средства диагностики можно разделить на несколько классов:

  • Уведомления
  • Журналы
  • Отчеты

Уведомления служат для информирования администратора антивирусной безопасности о событиях, которые возможно требуют безотлагательного вмешательства: например, об обнаружении вируса.

Организация системы уведомлений характеризуется в первую очередь тем, какие каналы доставки уведомлений поддерживаются. Наиболее характерными являются:

  • Отправка почтового уведомления
  • Отправка уведомления по сети
  • Запись в журнал на сервере
  • Использование SNMP-последовательностей
  • Запуск третьих приложений (внешние системы доставки уведомлений)
Пример. В Kaspersky Administration Kit имеется возможность отправлять уведомления по всем перечисленным каналам, кроме использования SNMP-последовательностей

Второй аспект реализации системы уведомлений - связь с системой управления. Как правило, система управления одновременно выполняет и функции системы уведомлений, но в тех случаях, когда система управления является платной, производитель нередко предоставляет упрощенные средства для организации доставки уведомлений. В этом случае в сети создается отдельный сервер уведомлений, который принимает сигналы о событиях от клиентов и преобразует их в уведомления различных видов.

Журналы работы, которые ведутся на клиентских компьютерах, в случае большой сети для анализа практически непригодны. Поэтому возникает вопрос о централизованном сборе и хранении информации обо всех или только о наиболее важных событиях, т. е. о централизованных журналах.

Пример. В Kaspersky Administration Kit для всех типов событий можно указать необходимость записи их в базу данных на Сервере администрирования для последующего анализа

С централизованными журналами тесно связаны средства генерации отчетов о работе сети. Эти отчеты позволяют оценить ситуацию по сети в целом, выявить наиболее проблемные участки, компьютеры, определить неявные проблемы и т.д.

Пример. В Kaspersky Administration Kit реализованы следующие типы сводных отчетов:

  • Отчет о версиях антивирусных баз - позволяет определить клиенты с устаревшими антивирусными базами
  • Отчет об ошибках - позволяет выявить клиентов с большим количеством сбоев в работе АПО
  • Отчет о лицензионных ключах - позволяет проконтролировать соответствие количества защищенных компьютеров и количества лицензий
  • Отчет о наиболее заражаемых клиентских компьютерах - указывает на наиболее проблемные с точки зрения антивирусной защиты компьютеры
  • Отчет об уровне антивирусной защиты - предоставляет информацию о наличии в сети незащищенных компьютеров
  • Отчет о версиях установленных приложений Лаборатории Касперского - позволяет выяснить, какие версии АПО используются в сети
  • Отчет о вирусной активности - определяет вирусы, проявляющие наибольшую активность в сети (наиболее часто обнаруживаемые)

При создании отчета может запрашиваться информация от подчиненных серверов администрирования для более полного охвата сети. Отчет можно сузить до произвольной группы или набора компьютеров, до любого промежутка времени (там где это применимо).

Как правило, отчеты генерируются администратором антивирусной безопасности вручную по необходимости. Однако некоторые отчеты вполне целесообразно генерировать на регулярной основе автоматически: например, отчет о вирусной активности.

Пример. В Kaspersky Administration Kit имеется возможность генерировать отчеты согласно расписанию и отправлять их на почтовый ящик администратора антивирусной безопасности

Средства внедрения

Так же как и локальное управление всеми клиентами вызывает чрезмерные затраты времени и усилий, так и локальная установка антивирусной защиты обычно требует слишком большого количества ресурсов обслуживающего персонала. По этой причине система управления, как правило, оснащается средствами для проведения удаленной установки.

На практике встречаются следующие способы удаленной установки, отличающиеся ограничениями на условия применения и степенью вовлеченности пользователя в процесс установки:

  • Форсированная установка через RPC - используется возможность удаленного запуска приложений на Windows NT-подобных операционных системах для удаленного выполнения установки (агента, антивируса). Преимущества - полная независимость процесса установки от локального пользователя. Недостатки - ограничение на Windows NT-подобные ОС, необходимость знать реквизиты пользователя с правами локального администратора на удаленном компьютере
  • Установка при помощи сценариев запуска - пользователям домена назначается сценарий запуска, который загружает и запускает программу установки. Сценарий запускается при регистрации пользователя в сети. Преимущества - возможность удаленной установки на Windows 98/Me, пользователю не требуется выполнять никаких активных действий. Недостатки - необходимость в наличии домена, необходимость в наличии у пользователя прав локального администратора (для проведения установки)
  • Установка через объекты групповых политик - использует возможности групповых политик Active Directory для установки приложений, может применяться как форсированно, так и с участием пользователя. Преимущества - имеет форсированный режим установки, не требующий участия пользователя. Недостатки - необходимость в наличии домена, необходимость настраивать политики вручную
  • Установка по электронной почте - пользователям рассылается письмо с программой установки и инструкциями по ее запуску. Преимущества - нет ограничений по операционным системам. Недостатки - необходимость разбивать большую программу установки на несколько писем, необходимость вовлечения пользователя в процесс установки
  • Установка через веб- или любой другой сервер - пользователю по электронной почте или по другим каналам присылается ссылка на внутренний ресурс с которого нужно загрузить программу установки и запустить ее. Преимущества - нет ограничений по операционным системам, нет проблем с разбиением программы установки для отправки по почте. Недостатки - необходимость вовлечения пользователя в процесс установки

Из всех описанных методов только форсированная установка через RPC является интерактивной и позволяет непосредственно после запуска выяснить, успешно она прошла или нет. Все остальные методы требуют ожидания действий пользователя - запуска программы установки, входа в систему. Даже форсированный режим установки через объекты групповых политик выполняет установку не тут же, а при регистрации компьютера в Active Directory. Т. е. на включенный компьютер такая установка произведена быть не может - требуется предварительная перезагрузка.

Учитывая ограничения каждого из методов, для организации внедрения обычно применяется следующая схема. Сперва выполнятся форсированная установка при помощи RPC, а затем - установка другими методами на оставшиеся компьютеры. После этого анализируется информация о результатах установки и на все оставшиеся незащищенными компьютеры антивирусное ПО и агенты устанавливаются вручную.

Пример. В Kaspersky Administration Kit применяются два способа установки:

  • Форсированная установка
  • Установка при помощи сценариев запуска

При этом, если на компьютере уже установлен Агент администрирования, на него можно установить Антивирус Касперского форсированно, независимо от операционной системы клиента и от информации о реквизитах пользователя с правами администратора на удаленном компьютере - загрузка программы установки и ее запуск производятся непосредственно Агентом администрирования, для которого требуется только связь с Сервером администрирования.

Заключение

Как видно из приведенного материала, третий уровень КСАЗ является наиболее сложным с точки зрения организации и функционирования. На нем применяется наибольшее количество разнообразных технологий, как непосредственно ориентированных на борьбу с вирусными угрозами, так и призванных обеспечить управление, обновление и диагностику антивирусных средств.

Основными отличительными особенностями этого уровня являются:

  • Большое количество защищаемых узлов
  • Применение технологий защиты от всех типов угроз
  • Использование централизованной системы управления
  • Использование централизованной системы обновления

Наконец, третий уровень так или иначе присутствует в любой системе антивирусной защиты, даже когда речь идет о сети без шлюзов и почтовой системы.

Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Айдар Аскаров
Айдар Аскаров
Россия, Альметьевск, АГНИ, 2009
Айдыс Хертек
Айдыс Хертек
Россия, Кызыл