Антивирусная защита домашнего компьютера

Главное отличие домашнего компьютера от обычной производственной рабочей станции - это его многофункциональность. Если в организациях вычислительная техника приобретается обычно с какой-то конкретной целью: для набора текста, рисования в профессиональных графических пакетах или для программирования, то домашний компьютер часто используется не только для работы во внерабочее время, но и для компьютерных игр, личной переписки, поиска и просмотра информации в Интернет, для воспроизведения фильмов и музыки. При этом администрирование домашнего компьютера в подавляющем большинстве случаев производится исключительно собственными силами хозяина.

Поэтому все программы, предназначенные для домашнего использования, имеют прозрачный интерфейс, несложны в установке и управлении, обязательно сопровождаются понятной даже для неспециалиста документацией. Программы для обеспечения антивирусной безопасности также должны отвечать всем перечисленным требованиям.

Среди необходимых для полноценной и эффективной защиты домашних компьютеров от вредоносного воздействия программ можно выделить:

· Антивирусное программное обеспечение, которое отвечает за проверку файлов и других объектов файловой системы на наличие вирусов и в случае их обнаружения предпринимает по отношению к ним определенные пользователем действия

· Программы для защиты от несанкционированного доступа и сетевых хакерских атак нередко входят в состав антивирусного комплекса или встроены в операционную систему

· Фильтры нежелательной корреспонденции - это дополнительная мера, позволяющая в некоторых случаях существенно уменьшить нагрузку на антивирусное программное обеспечение, тем самым повысив надежность защиты

Перечисленные программы могут как входить в один комплекс по защите домашнего компьютера, так и быть установлены отдельно. Главное преимущество первого способа - это наличие единого интерфейса управления и продуманное создателями программ взаимодополнение каждого из модулей. Установка отдельных программ, особенно разных производителей, только в некоторых случаях может оказаться полезной, например, когда по тем или иным причинам необходимы специфические функции, но ни один комплексный продукт не может их обеспечить. В случае домашнего пользователя это встречается крайне редко и если требуется установить все три модуля, то желательно это сделать с помощью комплексного решения.

Антивирусное программное обеспечение

Основной и по совместительству обязательный элемент в антивирусной защите - это, безусловно, антивирусная программа. Без нее нельзя говорить об эффективной антивирусной безопасности, если речь идет о компьютере, способном обмениваться информацией c другими внешними источниками. Даже соблюдение пользователем всех правил компьютерной гигиены не гарантирует отсутствие вредоносных программ, если при этом не используется антивирус.

Антивирусное программное обеспечение - это достаточно сложный программный комплекс, для его создания требуются усилия команды высококвалифицированных вирусных аналитиков, экспертов и программистов с многолетним опытом и весьма специфическими знаниями и умениями. Основная технология антивирусной проверки - сигнатурный анализ подразумевает непрерывную работу по мониторингу вирусных инцидентов и регулярный выпуск обновлений антивирусных баз. Ввиду этих и других причин, антивирусные программы не встраиваются в операционные системы. Встроенным может быть только простейший фильтр, не обеспечивающий полноценной антивирусной проверки.

Основные элементы любой антивирусной защиты рабочей станции или сетевого сервера - это постоянная проверка в режиме реального времени, проверка по требованию и механизм обновления антивирусных баз. Они также обязательны и для защиты домашнего компьютера.

Проверка в режиме реального времени

Как правило, на домашнем компьютере происходит постоянный обмен информацией с внешними источниками: файлы загружаются из Интернет, копируются с компакт дисков или по домашней локальной сети и впоследствии открываются и запускаются. Следовательно, главное средство в арсенале антивирусной защиты домашнего компьютера - проверка в режиме реального времени. Ее задача - не допустить заражения системы.

На домашнем компьютере настоятельно рекомендуется использовать постоянную проверку всегда, когда он включен - вне зависимости от того, подключен ли он в данный момент к сети, используются ли чужие мобильные носители информации или выполняются только какие-либо внутренние задачи. Постоянная проверка характеризуется минимальными системными требованиями, необходимыми ей в работе, и поэтому запущенный в этом режиме антивирус в подавляющем большинстве случаев остается пользователем незамеченным и проявляется только при обнаружении вирусов или других подозрительных программ.

Без особого ущерба качеству антивирусной защиты домашнего компьютера часто из проверки в режиме реального времени можно исключить проверку исходящих почтовых сообщений и архивов, однако все остальные объекты рекомендуется проверять.

Проверка по требованию

Как упоминалось выше, на домашнем компьютере часто происходит обмен информацией с помощью компакт дисков, дискет и других мобильных носителей информации: устанавливаются новые игры, копируются электронные книги и учебники, переписываются фильмы и музыка. Для того чтобы обнаружить проникший в систему вредоносный код, используется проверка по требованию. Всем домашним пользователям настоятельно рекомендуется проверять на наличие вирусов все подозрительные носители информации, причем каждый раз перед тем как начать чтение или копирование с них файлов. Это простое действие занимает немного времени, но позволяет существенно сократить вероятность проникновения вредоносной программы на компьютер. Дополнительно рекомендуется не реже одного раза в неделю проверять на наличие вирусов весь жесткий диск.

По настройкам проверок этот режим отличается особой тщательностью - в проверке по требованию обычно проверяются все объекты файловой системы.

Обновление антивирусных баз

Антивирусные базы

Только своевременное обновление антивирусных баз может гарантировать правильную и эффективную работу наиболее надежной части антивирусной защиты - сигнатурного анализа.

Антивирусные базы - это файлы, содержащие сигнатуры вирусов. Они выпускаются компаниями-производителями антивирусов и соответственно для разных программ они различны - например, Антивирус Касперского не сможет работать с базами антивируса Dr. Web и наоборот.

Получить самые последние версии нужных баз можно с веб-сайта компании-производителя с помощью встроенных в антивирусную программу средств, либо самостоятельно скопировав файлы с веб-сайта. В штатных ситуациях обновляться рекомендуется первым способом, второй - более сложный и предназначен для неординарных ситуаций, например при подозрении на неправильную работу встроенных модулей обновления или невозможности прямого выхода в Интернет.

Это означает, что для обновления антивирусных баз домашнему пользователю обычно достаточно соединиться с сетью Интернет и нажать в интерфейсе антивирусной программы кнопку, запускающую процесс обновления. Если же подключение к Интернет не предусмотрено, единственный выход - это зайти на сайт производителя антивируса с помощью другого компьютера, загрузить и скопировать базы на свой компьютер с помощью мобильного носителя. Подробное описание этой процедуры можно найти в руководстве пользователя или документации к программе.

Поддержание актуальности антивирусных баз

Расширение границ Интернет в совокупности с совершенствованием каналов связи между различными компьютерными сетями делают обмен данными существенно более быстрым. Пропорционально росту мощности информационных потоков возрастает и скорость распространения вирусов. Сегодня от выпуска вируса в мир до начала массовых поражений проходят считанные часы, а иногда и минуты. В такой ситуации, доминирующим критерием выбора средств антивирусной защиты является периодичность выпуска компанией-производителем антивирусных программ обновлений антивирусных баз, а также время реакции на возникновение эпидемии. Сегодня в этой области лидером является Лаборатория Касперского, которая имеет наилучший показатель выпуска антивирусных баз, выпуская обновления ежечасно, в то время как большинство других компаний остановились на ежедневном обновлении.

Однако домашние компьютеры часто имеют очень ограниченный канал, особенно в случае подключения по обычной телефонной линии. Следовательно, проверять наличие новых антивирусных баз таким пользователям каждый час может быть затруднительно. Поэтому оптимальный график обновления сильно зависит от способа подключения к сети. По этому параметру можно выделить такие категории домашних пользователей:

· Постоянное подключение - в этом случае настраивается запуск обновления антивирусных баз по расписанию - один раз в три часа (если производитель антивирусной программы не рекомендует иначе)

· Периодическое подключение не позволяет обновляться каждые три часа. Поэтому в этом режиме оптимальным является проверка наличия новых антивирусных баз при каждом подключении к Интернет, однако не реже одного раза в сутки

· Отсутствие возможности подключения к Интернет - наиболее сложный вариант. В этом случае необходимо организовать доставку обновлений с помощью мобильных носителей. Однако поскольку на таких компьютерах обычно ограничен также и обмен информацией с внешними источниками, то и обновлять антивирусные базы обычно можно с интервалом до трех дней

Защита от несанкционированного доступа и сетевых хакерских атак

Задачу защиты от несанкционированного доступа и сетевых атак домашнего компьютера успешно решает персональная программа-брандмауэр. Она может быть как встроенной в операционную систему, так и устанавливаемой отдельно.

Самая, пожалуй, популярная на сегодняшний день операционная система домашнего компьютера - Microsoft Windows XP содержит встроенный брандмауэр Windows^{1При установке пакета обновлений Service Pack 2 брандмауэр Windows устанавливается по умолчанию.}

Рис. 8.1. Интерфейс встроенного брандмауэра Windows (операционная система Microsoft Windows XP Service Pack 2)

Встроенные брандмауэры отличаются весьма ограниченной функциональностью, что с другой стороны компенсируется отсутствием конфликтов с операционной системой и бесплатностью. Брандмауэры же третьих производителей, устанавливаемые отдельно, обеспечивают обычно более удобную и приятную работу с возможностью более точной настройки различных параметров.

Вне зависимости от используемого брандмауэра, не рекомендуется вручную менять настройки для соединений, которые потенциально могут использоваться злоумышленниками для атаки на компьютер. Большинство легальных прикладных задач, совершающие нестандартные или подозрительные действия, способны сами зарегистрироваться в брандмауэре и при первом запуске инициировать запрос пользователя на разрешение продолжить работу. Однако если этого не произошло и программа была заблокирована, перед правкой любых настроек необходимо ознакомиться со справочной системой как самой программы, так и брандмауэра.

Рис. 8.2. Определение в интерфейсе встроенного брандмауэра Windows (операционная система Microsoft Windows XP Service Pack 2) исключений, которые блокировать не нужно

Среди устанавливаемых отдельно брандмауэров, предназначенных для домашнего использования, можно выделить встроенные в антивирусные комплексы и полностью отдельные программы. Такие сетевые экраны более функциональны, чем встроенные в операционную систему, и содержат все необходимые для домашнего компьютера функции и настройки. Часто такие программы для полноценной работы требуют регулярного обновления баз сигнатур угроз, от которых они защищают. Регулярное их обновление существенно увеличивает надежность защиты.

Преимущество входящих в единый антивирусный комплекс программ - в едином центре управления, с помощью которого осуществляется полный контроль над безопасностью компьютера и процесс обновления баз для всех установленных компонентов защиты проходит одновременно.

Несложность в управлении выгодно отличает домашние брандмауэры от промышленных сетевых экранов, работа с которыми требует специфических знаний, при этом большинство их параметров в домашних условиях оказывается абсолютно бесполезными.

Фильтрация нежелательных электронных сообщений

Дополнительной преградой на пути проникновения вирусов на домашний компьютер служит фильтр входящей почтовой корреспонденции, отсекающий все незапрошенные письма как потенциальное средство доставки почтовых червей.

Для того чтобы на только что созданный почтовый ящик начал приходить спам, необходимо, чтобы этот новый адрес каким-либо образом попал в список рассылки злоумышленника. Поэтому факт отправки на домашний электронный адрес незапрошенных писем может означать две вещи:

· Электронный адрес каким-либо образом попал в руки компании, рассылающей спам. Это может произойти когда, например, пользователь оставил свои координаты на публичных сайтах, в форумах и чатах^{2Существуют программы, которые в автоматическом режиме просматривают веб-сайты на предмет наличия в них почтовых адресов и собирают найденный материал в базу для последующей рассылки по ней спама,} при подписке на не заслуживающие доверия почтовые рассылки^{3Недобросовестный автор сайта, на котором размещена такая рассылка, может впоследствии продать базу собранных адресов}

· Компьютер, на котором в каком-либо виде хранился этот e-mail (например, в адресной книге), был заражен почтовым червем, имеющим процедуру поиска электронных адресов, или трояном, ворующем конфиденциальную информацию, в том числе адреса. Это может быть машина друга, коллеги, дальнего знакомого, интернет-магазина или другого сайта, на рассылку писем с которого подписан пострадавший

Следовательно, если пользователь имеет привычку оставлять свой адрес на различных Интернет-ресурсах, то установка антиспамового фильтра просто необходима. Если нет - то крайне желательна, поскольку застраховаться от кражи адреса с чужого компьютера, при этом не прекращая переписку с его хозяином, очень сложно.

Ряд почтовых программ содержит встроенные антиспамовые фильтры. Однако большей частью они показывают довольно слабую функциональность, поскольку их основная технология - это самообучение и иногда анализ служебных заголовков. Для полноценного же антиспама необходима фильтрация на основе регулярно обновляющихся антиспамовых баз. Поэтому установка отдельной персональной антиспамовой^{4Т. е. предназначенной для использования на отдельной рабочей станции, в данном случае это домашний компьютер} программы - самое оптимальное решения для домашних пользователей.

Персональная антиспамовая программа также может входить в состав антивирусного комплекса и управляться из единого интерфейса с возможностью одновременного обновления баз антиспама, антивируса и других установленных компонентов защиты.

АНТИВИРУСНАЯ ЗАЩИТА КОМПЬЮТЕРОВ В ЛОКАЛЬНОЙ СЕТИ

Основы построения локальной компьютерной сети

Для организации полноценной и эффективной работы локальной компьютерной сети, необходимо, чтобы компьютеры в ней:

· Имели возможность обмениваться информацией между собой с помощью сетевых технологий (то есть не только мобильных носителей)

· Могли хранить и обрабатывать информацию на выделенных сетевых серверах, если это требуется в работе

· Получать и отправлять электронные письма

· Имели доступ в Интернет, если это предусмотрено и разрешено политикой организации

· Могли использовать другие сетевые технологии - сетевой принтер, факс

Целесообразность выделения под каждую из перечисленных задач отдельного компьютера или даже нескольких компьютеров целиком и полностью зависит от размера локальной сети, выполняемых функций и интенсивности трафика по каждому из направлений обмена информацией.

Большинство существующих сегодня в мире компьютерных сетей - это сети среднего масштаба, имеющие в своем составе один шлюз, который отвечает за связь с Интернет, один почтовый сервер, принимающий и пересылающий электронные письма, несколько сетевых серверов и десятки рабочих станций. На рисунке 9.1 изображена упрощенная схема такой типовой локальной сети.

Рис. 9.1. Типовая локальная компьютерная сеть

Каждый элемент локальной компьютерной сети можно охарактеризовать списком доступных для него способов обмена информацией и в соответствии с этими данными разделить все компьютеры на такие сегменты:

· Рабочие станции и сетевые сервера - обмен файлами по сети и с помощью мобильных носителей

· Почтовые сервера - прием и отправка электронных писем, иногда обмен файлами по сети и с помощью мобильных носителей

· Шлюз - организация обмена файлов между компьютерами локальной сети и более глобальной сетью, например Интернет. Дополнительно возможен обмен файлами по сети и с помощью мобильных носителей

Естественно, рабочие станции также могут принимать электронную почту, однако фактически они ее копируют либо с почтового сервера, либо со шлюза^{1То, откуда пользователь получает электронную корреспонденцию, зависит от расположения почтового сервера, на котором расположен его почтовый ящик. Если это корпоративный сервер электронной почты, который принадлежит данной локальной сети - то с этого сервера, если же имеется в виду публичный почтовый сервер - то напрямую через шлюз,} что можно приравнять к внутрисетевому обмену данными.

Мобильные носители в явном виде здесь не рассматриваются, поскольку они предназначены как для работы в подключенном к сети состоянии, так и в автономном режиме. С этой точки зрения их можно рассматривать как рабочие станции, которые особо интенсивно обмениваются данными с внешними источниками при помощи не внутрисетевых технологий связи.

Уровни антивирусной защиты

Для инфицирования системы вирусом необходимо наличие каналов связи с другими компьютерами. Причем чем их больше и чем менее они защищены, тем выше вероятность заражения. Таким образом, архитектура системы антивирусной защиты сильно зависит от функции рассматриваемого компьютера, а именно от присутствующих у него каналов связи с окружающим миром. Поскольку именно по этим характеристикам выше было введено разделение сети на сегменты, то удобно выделить и соответствующие уровни антивирусной защиты:

· Уровень защиты рабочих станций и сетевых серверов

· Уровень защиты почтовых серверов

· Уровень защиты шлюзов

В этой классификации на каждый почтовый сервер могут быть установлены одновременно программы, реализующие уровень защиты рабочих станций и сетевых серверов и программы, относящиеся к уровню защиты почтовых серверов^{2Это происходит потому, что почтовый сервер, кроме выполнения функций по обработке почты, является и обычным компьютером в сети. Обычно он относится к серверам, а не рабочим станциям, поскольку большинство серверных почтовых программ требуют установки серверной же операционной системы.} Аналогично дело обстоит и со шлюзами - программное обеспечение уровня рабочих станций и сетевых серверов и уровня защиты шлюзов.

Уровень защиты рабочих станций и сетевых серверов

Уровень защиты рабочих станций и сетевых серверов - самый обширный. Он охватывает все компьютеры локальной сети и служит самым последним оплотом на пути проникновения вредоносных программ. Даже если где-то в системе антивирусной защиты случился прокол и одна машина все же оказалась заражена, установленные на остальных компьютерах антивирусные программы должны предотвратить дальнейшее распространение эпидемии по сети. На этом уровне используются антивирусные комплексы для защиты рабочих станций и сетевых серверов.

Защита рабочих станций и сетевых серверов ответственна в первую очередь за чистоту файловой системы каждого из компьютеров сети. Следовательно, она в обязательном порядке должна содержать постоянную проверку как механизм предотвращения заражения системы вирусами, проверку по требованию - процедуру для тщательной ревизии рассматриваемой машины и нейтрализации проникших на нее вредоносных программ, и модуль для поддержания вирусных сигнатур в актуальном состоянии. Дополнительно, для рабочих станций накладывается требование к наличию процедур проверки почтовых сообщений.

Рассматриваемые здесь рабочие станции в разрезе антивирусной защиты отличаются от домашних компьютеров в первую очередь политикой антивирусной безопасности, принятой в организации, которой принадлежит сеть, и обязательной для соблюдения всеми пользователями. Обычной практикой служит введение отдельной должности системного администратора, который обязан следить за состоянием компьютерной техники. При этом остальные пользователи часто не имеют прав на доступ к ряду критических для функционирования сети программ, пусть даже установленных на их компьютере. Программное обеспечение, ответственное за антивирусную безопасность, относится именно к таким.

Наличие десятков, сотен, а иногда и тысяч компьютеров, объединенных в одну локальную сеть требует немалых затрат для администрирования каждого из них. Для того чтобы это было по силам сделать сравнительно малочисленной группе администраторов, применяются различные специальные программы и утилиты для централизованного удаленного управления. С их помощью администратор может не вставая из-за своего компьютера одновременно управлять и настраивать программы на удаленных компьютерах и подчиненных ему других элементах сети.

Следовательно, к антивирусному комплексу для защиты рабочих станций и сетевых серверов предъявляется дополнительное требование - наличие в его составе программного средства для удаленного централизованного управления локальными приложениями.

Уровень защиты почты

Защита почты - это вторая ступень в антивирусной защите сети. Она служит для уменьшения нагрузки и увеличения надежности системы защиты рабочих станций и сетевых серверов. Дополнительно антивирусная проверка почты, а именно исходящей корреспонденции, в случае одиночного вирусного инцидента внутри сети послужит преградой для распространения этого вируса на другие, внешние, компьютеры. В системе защиты этого уровня используется комплекс для защиты почтовых систем.

В общем случае почтовым сервером называется компьютер, на котором установлена и успешно функционирует программа по обработке почты. Почтовый сервер относится к серверной группе, а не к рабочим станциям. Это объясняется тем, что его главное предназначение состоит в обеспечении работы почтовой системы, а не в решении локальных прикладных задач. Таким образом, почтовый сервер фактически представляет собой хранилище информации (электронных писем) для других сетевых пользователей.

Почтовая программа или агент пересылки сообщений^{3В литературе иногда используется английский термин MTA - аббревиатура от англ. Mail Transfer Agent (агент пересылки сообщений)} осуществляет передачу электронных писем от одного компьютера к другому. Обычно это происходит в такой последовательности: компьютер отправителя, который находится во внутренней сети, связывается с почтовой программой на сервере и пересылает ей письмо. Далее почтовый сервер выделяет из письма адрес получателя и производит дальнейшее перенаправление - в Интернет или обратно в локальную сеть другому пользователю из нее. Аналогично происходит и обратная пересылка: на сервер приходит извне письмо, адресованное пользователю, имеющему на нем почтовый ящик. После этого через свой почтовый агент пользователь уведомляется, что у него в ящике появилось новое сообщение. Если он захочет его получить, то почтовый агент связывается с сервером и копирует файлы письма на машину пользователя. Таким образом, на сервере образуется очередь из еще не отосланных и еще неполученных писем, а также полностью или частично хранится входящая корреспонденция.

Следовательно, антивирусная проверка должна включать в себя как проверку всех проходящих через почтовую программу потоков, так и хранилища электронных писем.

Поэтому антивирусный комплекс для защиты почты должен содержать:

· Антивирусную проверку в режиме реального времени проходящей через почтовую систему корреспонденции

· Антивирусную проверку в режиме реального времени файлов, запрашиваемых пользователями из своих почтовых ящиков

· Антивирусную проверку по требованию для хранимых на сервере файлов почтового формата, а именно информации в ящиках пользователей

· Средство для обновления антивирусных баз

Уровень защиты шлюзов

В большинстве случаев антивирусная защита на уровне шлюза играет вспомогательную роль в общей системе антивирусной безопасности сети. Это происходит потому, что задача такого антивирусного комплекса - только проверка поступающей извне информации на наличие в ней вредоносных программ. Однако даже если вирус проникнет сквозь шлюз, заразить ни один компьютер ему не удастся: его перехватит антивирус на локальной машине, а в случае инфицированного почтового сообщения - он будет остановлен еще на почтовом сервере.

Однако такой сценарий реализуется только при исправно и бесперебойно работающей системе антивирусной защиты сети, в частности на уровне защиты рабочих станций и сетевых серверов. На практике же часто встречаются сбои. Причем чем больше локальная сеть, тем больше вероятность, что такой инцидент может случиться. Несмотря на то, что распределенная система защиты рабочих станций и сетевых серверов не даст в любом случае такому вирусу распространиться далее по сети и он будет локализован на одной инфицированной машине, это все равно не очень хорошо, потому что на ней тоже могут храниться очень важные документы и при отсутствии защиты шлюза вирус сможет, например, произвести несанкционированную рассылку или позволить злоумышленнику похитить конфиденциальную информацию.

Поэтому антивирусная защита шлюза позволяет существенно увеличить надежность антивирусной защиты в целом.

Дополнительно, в случае вирусной эпидемии в Интернет, именно система защиты шлюза прореагирует и уведомит администратора первой, что позволит ему оперативно принять меры по повышению уровня защиты, например, провести срочное внеочередное обновление антивирусных баз или даже отключить отдельные особо важные или секретные компьютеры от сети.

По определению шлюз - это компьютер с установленной программой, реализующий механизм передачи данных от одной сети к другой. Обычно под этим подразумевается переход локальная сеть - сеть Интернет и все за редким обоснованным исключением компьютеры сети связываются с Интернет только через шлюз.

Основной функционал шлюза состоит в передаче запросов от одного сегмента, в другой. Например, если внутреннему пользователю нужно загрузить информацию с внешнего веб-сайта, он направляет соответствующий запрос на шлюз, который на основе этих данных запрашивает удаленный веб-сервер, получает с него требуемую информацию и передает ее пользователю. Шлюз также может работать и в обратном направлении - когда веб-сайт находится внутри локальной сети, а запрос идет от внешнего пользователя. В случае корпоративной электронной почты в роли пользователя выступает почтовый сервер.

Аналогично защите почты, на уровне защиты шлюза используется антивирусный комплекс для защиты шлюзов. Он отвечает только за проверку проходящих через него данных, а за чистоту файловой системы ответственен комплекс по защите сетевых серверов. Поэтому программный комплекс для защиты шлюзов должен содержать только фильтры для проходящих через него потоков. Обычно это HTTP^{4HTTP (от англ. Hypertext Transfer Protocol - протокол передачи гипертекста) - это стандарт, определяющий алгоритм передачи информации в различных форматах. Это самый распространенный на сегодняшний день протокол,} FTP^{5FTP (от англ. File Transfer Protocol - протокол передачи файлов) определяет механизм передачи файлов в компьютерных сетях. FTP является один из старейших протоколов, он был предложен в 1971 году, в то время как HTTP - только в 1990} и SMTP^{6SMTP (от англ. Simple Mail Transfer Protocol - простой протокол передач и почты) - это сетевой протокол, предназначенный для передачи электронных сообщений.}

Централизованное управление антивирусной защитой

Как уже упоминалось выше, для локальной сети, насчитывающей десятки или больше компьютеров, использование системы удаленного централизованного управления антивирусной защитой оказывается очень полезным. Она позволяет администратору не вставая из-за своего рабочего места обслуживать все входящие в его ведение рабочие станции и сетевые сервера: удаленно настраивать политики антивирусной безопасности, запускать проверку объектов на наличие в них вирусов, включать или выключать постоянную защиту, централизованно обновлять антивирусные базы, разрешать или запрещать пользователям самим менять какие-либо настройки, в том числе позволять или не позволять им видеть, что на компьютере вообще установлен и работает антивирус. Однако главное преимущество использования такой системы - это возможность тотального контроля за вирусной активностью и состоянием антивирусной защиты в сети, быстрого обнаружения и оперативного устранения всех вирусных инцидентов.

Логическая сеть

Ситуация, когда один администратор управляет антивирусной защитой всех без исключения входящих в локальную сеть компьютеров, встречается очень редко. Это происходит потому, что обычно есть ряд машин, содержащих особо конфиденциальную информацию и нуждающихся в индивидуальном подходе (например, личный компьютер директора) или целые отделы, не имеющими физической связи с остальной локальной сетью (обычно так устроены финансовые и другие департаменты, работающие с секретными данными).

Поэтому в отношении системы удаленного администрирования употребляется термин логической сети, под которым понимается группа компьютеров, управление антивирусной защитой которых может вестись из одного источника.

Рис. 9.2. Схема логической сети системы антивирусной защиты

Таким образом, если в организации, которой принадлежит локальная сеть, есть несколько связанных только через Интернет филиалов, то управление антивирусной защитой может осуществляться полностью централизованно одним администратором или же может быть разбито на отдельные сегменты. Часто в больших компаниях можно встретить смешанный вариант - вся локальная сеть разбита на связанные между собой подсети разных масштабов и за каждой из них следит отдельный человек, но существует главный администратор, который может со своего рабочего места в любой момент вмешаться в работу своих подчиненных и взять управление на себя.

Компоненты

Система удаленного централизованного управления обычно состоит из таких отдельных программных компонентов:

· Клиентской антивирусной программы, то есть антивирусного комплекса для рабочих станций или сетевых серверов.

· Сервера администрирования - так называется программа, которая собирает, обрабатывает и хранит все настройки, информацию обо всех событиях и инцидентах, имевших место в сети, рассылает уведомления и отчеты. Для полноценного функционирования необходима база данных для хранения всей собранной информации. Сервер администрирования и база данных могут устанавливаться как на отдельном выделенном для этого компьютере, так и на рабочем месте администратора, на одной машине или на разных.

· Агента администрирования, который устанавливается на все компьютеры, входящие в логическую сеть системы антивирусной защиты. Его задача - обеспечить связь клиентской программы с сервером администрирования и оперативно передать ему информацию о состоянии антивирусной защиты на этой машине, получить новые антивирусные базы или другие указания и команды.

· Консоли администрирования, устанавливаемой на рабочем месте администратора. Это небольшая программа, которая позволяет в приятном и удобном виде вывести данные с сервера администрирования, на их основе построить графики и диаграммы, создать отчеты, произвести настройку клиентских компьютеров, удаленно запустить проверку или обновить антивирусные базы одновременно на нескольких машинах. Возможности той или иной консоли полностью зависят от заложенных в нее фирмой-производителем функций.

На рисунке 9.3 представлена схема взаимодействия перечисленных компонентов, а на рисунке 9.4 - схема сбора и передачи на хранение серверу администрирования данных о состоянии антивирусной защиты.

Рис. 9.3. Схема взаимодействия компонентов централизованно управляемого комплекса для защиты рабочих станций и сетевых серверов

Рис. 9.4. Схема сбора статистики в системе антивирусной защиты

Приведенная схема реализована в большинстве популярных антивирусных комплексов, однако существуют программы, которые немного иначе распределяют функции среди своих компонентов. Однако общий алгоритм работы системы удаленного централизованного управления остается таким же.