Proceduren for implementering af antivirusbeskyttelse. Konfiguration af antivirusbeskyttelse Oprettelse af en antivirusbeskyttelsesserver

Montering

VYACHESLAV MEDVEDEV, Førende analytiker, Udviklingsafdeling, Doctor Web

Implementeringsprocedure for antivirusbeskyttelse

Ganske ofte, på tidspunktet for udvælgelsen (og nogle gange endda på købstidspunktet), er kunderne interesserede i anbefalinger om, hvordan man implementerer antivirusbeskyttelse eller på stadierne til udskiftning af et tidligere brugt produkt. Denne artikel vil diskutere, hvordan man korrekt organiserer processen

En yderst vigtig pointe. Desværre går salgskontakter i de fleste tilfælde med ledere, og test videregives til systemadministratorer. Resultatet er ofte en rapport, der overrasker selv sælgeren. Forkerte produktnavne, ældgamle versioner, indikationer på manglende funktionalitet, der faktisk har været tilgængelig i flere år mv. Alt skal laves om, men toget er allerede kørt, og firmaets ære forhindrer dem i at indrømme, at deres specialister mangler de nødvendige kvalifikationer.

1) Undersøgelse af løsningens muligheder under testinstallationer af beskyttelsessystemer til arbejdsstationer, filservere, mailservere samtvere. Her er også flere faldgruber. Mærkeligt nok, men ret ofte ved kunderne ikke, hvad de har brug for. Og det ville være fint, hvis spørgsmålet handlede om funktionalitet, det ville være forståeligt. Ofte forårsager selv spørgsmålet om listen over software, der bruges i organisationen, vanskeligheder, hvilket igen ikke tillader at formulere forslag på listen over leveret software.

Det andet problem hænger sammen med, at systemadministratorer (som som regel udfører test) er godt klar over de anvendte produkter, men (naturligvis) ikke kender fordele og ulemper ved det produkt, der testes (men samtidig tid forventer, at der vil være faldgruber i tilfælde af køb af et produkt) ... I overensstemmelse hermed anbefales det at aftale med den potentielle leverandør på listen over procedurer, der vil blive implementeret ved brug af det købte produkt, og at anmode om trin-for-trin instruktioner for denne funktionalitet eller, i mangel af sådanne instruktioner, testinstruktioner. Dette vil undgå at spilde tid på ikke-oplagte spørgsmål.

2) Kontrol af gyldigheden af ​​sikkerhedspolitikker dannet i overensstemmelse med virksomhedens informationssikkerhedspolitik. På grund af det faktum, at hvert produkt implementerer den funktionalitet, der er nødvendig for virksomheden på sin egen måde (det tillader f.eks. eller ikke tillader brugen af ​​en vilkårlig browser til kontrol), kan både listen over trin i proceduren og dens varighed afvige. I normale tider er dette ikke kritisk, men i tilfælde af en viral hændelse kan hvert sekund være værdifuldt.

3) Kontrol af kompatibiliteten af ​​Dr.Web software og software, der bruges i virksomheden. Softwareinkompatibilitet er sjælden, men denne mulighed kan ikke ignoreres. Derfor er dette trin også påkrævet under test af det foreslåede produkt.

4) Præcisering af Dr.Web-softwareimplementeringsplanen baseret på resultaterne af testinstallationer i overensstemmelse med strukturen af ​​virksomhedens netværk og medarbejdernes arbejdsplan.

a) Præcisering af implementeringstiden for Dr.Web softwarekomponenter i virksomhedens lokale netværk. Ganske ofte bliver der under indkøbsprocessen stillet et spørgsmål om den tid, det tager at implementere. Praksis viser, at i langt de fleste tilfælde afhænger varigheden af ​​indsættelsen udelukkende af virksomhedens specialister. Ifølge samme praksis er nok fridage nok til en fuldstændig overførsel af en virksomhed fra et beskyttelsessystem til et andet med antallet af stationer, der nærmer sig tusind.

b) Valg af typen af ​​Dr.Web-softwareimplementering på lokale stationer og filservere (AD-politik, lancering af distributioner lokalt, scanning af netværket til ubeskyttede stationer osv.). En virksomhed kan vælge mellem en række implementeringsmuligheder baseret på netværksbåndbredde, Active Directory tilgængelighed og krav til beskyttelse af filialkontorer og fjernarbejdere (se figur 1).

c) Valg af rækkefølge og tidspunkt for softwareimplementering i overensstemmelse med strukturen af ​​virksomhedens netværk og medarbejdernes arbejdsplan. Det er bydende nødvendigt at sikre forretningskontinuitet under sikkerhedsinstallationer. Ifølge ondskabens lov er det i øjeblikket med manglende beskyttelse, at de mest forfærdelige infektioner kan opstå.

Et eksempel på et installationsskema for antivirusinstallation i et virksomhedsnetværk er vist i fig. 2.

5) Uddannelse af virksomhedens sikkerhedsadministratorer i teknikker til at arbejde med software.

6) Udvikling af procedurer relateret til fjernelse af den brugte antivirussoftware og softwareinstallation.

Mærkeligt nok rejser fjernelse af det brugte antivirus en masse spørgsmål. Kunder kræver det installerede antivirus for at fjerne det tidligere brugte antivirus. Desværre er dette i de fleste tilfælde ikke muligt. Antivirussystemets selvforsvarssystem, designet til at modvirke cyberkriminelle, forhindrer nogen i at fjerne det.

a) Udvikling af beskyttelsesforanstaltninger for den periode, hvor antivirussoftware ikke er tilgængelig på virksomhedens netværkselementer. Alternativt kan du i denne periode implementere scanning af al indgående trafik på gatewayen og forbyde brugen af ​​flytbare medier.

7) Kontrol af det lokale netværk (beskyttede stationer og servere) for tilgængeligheden af ​​tjenester, der er nødvendige for at implementere software i virksomhedens netværk. Juster om nødvendigt de firewall-regler, der bruges i virksomhedens netværk. Dette punkt er også svært. Mærkeligt nok, men intet produkt kan kondensere ud af den blå luft på den beskyttede computer. Afhængigt af den valgte type implementering skal du åbne visse porte, aktivere de nødvendige tjenester osv.

Nogle gange er det begrænsningerne på de havne og tjenester, som virksomheden benytter, der danner grundlag for valget af indsættelsestype.

8) Godkendelse af udrulningsplanen i virksomhedens netværk. At bringe tidsplanen til medarbejderne i virksomheden i forhold til deres bekymring. Virksomhedens ansatte skal vide (for så vidt angår dem) om de arrangementer, der afholdes i virksomheden. Inden for rammerne af de udførte aktiviteter skal virksomhedens specialister hurtigt kunne tilgå de nødvendige computere og lokaler. Ofte er dette ikke muligt uden godkendelse fra den relevante leder.

Udskiftning af antivirussoftware i virksomhedens netværk

1) Forberedelse af den nødvendige software afhængig af den valgte type implementering. Det er helt indlysende, at for forskellige OS, applikationstyper osv. forskellige distributioner bruges.

  • Installation af servere til det hierarkiske netværk, klynge noder, og om nødvendigt den nødvendige database (se fig. 3).

  • Implementering af redundanssystemet til Dr.Web-servere (se figur 4). Enhver server kan gå ned. Men antivirusserverens fald fører til afbrydelse af opdateringer til de beskyttede stationer. Derfor er sikkerhedskopiering af antivirusservere afgørende.

  • Konfiguration af grupper og politikker.
  • Tildel eventuelt individuelle administratorer til brugergruppen og begræns disse administratorers rettigheder i overensstemmelse med virksomhedens politik.
  • Udførelse af de nødvendige handlinger afhængigt af den valgte implementeringspolitik. Eksempelvis opsætning af AD.

2) Scanning af virksomhedens netværk med Dr.Web CureNet netværksværktøjet! for tilstedeværelsen af ​​tidligere ukendt malware (se fig. 5). Desværre er der ingen garanti for, at den pc, du har til hensigt at installere, er fri for malware. Naturligvis er installation på en inficeret maskine mulig, men der er altid en chance for, at et kørende ondsindet program har funktionalitet, der sigter mod at modvirke installationen af ​​et antivirus. Dette vil i det mindste slå beskud af tidsplanen, så det er bedre at tjekke for malware kort før installationen.

  • Installation af beskyttelsessystemet til arbejdsstationer og filservere i overensstemmelse med indstillingerne i det foregående trin.
  • Installation af et beskyttelsessystem til mailservere, internetgateways.

5) Drift af softwaren i testperioden.

6) Udførelse af softwareopdateringer i overensstemmelse med virksomhedens politik.

7) Udførelse af periodisk kontrol af beskyttede arbejdsstationer, fil- og mailservere (se fig. 7).

8) Kontrol af softwarehandlinger mod testpåvirkninger fra malware.

9) Kontrol af proceduren for interaktion med teknisk support.

Generelt er der ikke noget kompliceret, hvis du forbereder dig på et hvilket som helst stadium på forhånd.

Held og lykke med din implementering!


I kontakt med

En server er en specialiseret computer, hvorpå handlinger finder sted uden brugerens aktive deltagelse. Normalt installeres servicesoftware der til at udføre visse opgaver. Gennem sådan en computer udveksles data, handlinger igangsættes, matematiske beregninger udføres og meget mere. Alle servere er forskellige i typer, for eksempel er der spil-, web-, mail- og proxyservere. Hver sådan enhed udfører en klart defineret opgave. For sikker drift af en sådan maskine er der ofte installeret et antivirus på den, så vi vil gerne fortælle dig mere om sådan software og fremhæve flere specifikke løsninger.

Platform: Windows Server

Det velkendte antivirusfirma Avast frigiver en samling specifikt til servere, der giver yderligere nyttige værktøjer. Læg for eksempel mærke til funktionen "Data ødelæggelse"... Det er implementeret på en sådan måde, at det overskriver tilfældigt genereret information i alle slettede data, hvilket ikke vil tillade dig at genskabe filens oprindelige tilstand, når du forsøger at gendanne den. Derudover er der "Adfærdsanalyse"- et værktøj, der er ansvarlig for at scanne fungerende applikationer for mistænkelig aktivitet. Hvis notesblok forsøger at få adgang til det samme webcam, vil en sådan anmodning straks blive blokeret. Et sådant eksempel er selvfølgelig enkelt, men funktionen fungerer på et højere niveau.

Avast Business Antivirus Pro inkluderer også indbygget firewall, smart scanning, anti-spam, adgangskodebeskyttelse og nemt login. Der er også en konstant sammenligning af sandsynlige trusler med den nuværende virusbase ved hjælp af Software Defender-teknologi. Det vil kun tillade dig at interagere med verificerede data. Til gengæld vil CyberCapture-værktøjet sende mistænkelige genstande til trusselsforskningslaboratoriet.

Avira Antivirus Server

Platform: Windows Server

Avira Antivirus Server er en speciel løsning fra udvikleren til servere, der kører Windows-operativsystemet. Skaberne lover det mest effektive arbejde med lavt forbrug af systemressourcer, høj trusselsdetektionsrate og brugervenlighed. Forsamlingen tilføjede værktøjer til adgangsbeskyttelse, det vil sige, at kontrollen af ​​de kørende processer udføres under adgang til dem fra andre applikationer. Der er også en manuel scanning, som giver dig mulighed for at køre analysen af ​​det angivne medie eller en separat mappe til enhver tid.

Endnu en gang bemærker vi, at udvikleren lægger særlig vægt på lavt forbrug af pc-ressourcer og nem administration af antivirus. Konstante gratis innovationer og virusdatabaseopdateringer loves også. Hvis du er interesseret i at lære dette produkt at kende, kan du få en gratis version i en 30-dages periode på den officielle hjemmeside ved at udfylde den relevante formular. Under testen vil alle værktøjer og funktioner være tilgængelige, samt et gratis opkald til support.

ESET filsikkerhed

ESET File Security er designet til at køre på Windows- og Linux-servere og giver beskyttelse i flere lag gennem ESET Dynamic Threat Defense cloud-sandbox-tilføjelse. Det skybaserede beskyttelsessystem beskytter automatisk mod nye trusler uden at vente på, at detektionsmotoren opdateres (den angivne gennemsnitlige opdateringstid er 20 minutter). Indbygget netværksangrebsbeskyttelse genkender kendte netværkslagssårbarheder, og når du bruger OneDrive, scanner Office 365 OneDrive Storage det. Vær opmærksom på at forhindre påvirkning af botnets. Værktøjet finder ikke kun en ondsindet forbindelse, men registrerer også de samme processer, blokerer straks farlig aktivitet og informerer brugeren om det.

For at administrere ESET File Security bliver brugeren bedt om at installere konsollen på Windows eller Linux, og for at lette opsætningen er der en virtuel importør. Du kan gøre dig bekendt med alle funktionerne i denne antivirus, prøve dens gratis version og købe den fulde version på udviklernes officielle websted.

Kaspersky Security

Platform: Windows Server, Linux

Kaspersky Security for Servers er inkluderet i samlingerne - Total, Endpoint Security for Business, Kaspersky Security for Virtual og Cloud-miljøer og Kaspersky Security for Storage Systems. Ved at købe en af ​​disse versioner får du pålidelig beskyttelse af din server mod den seneste generation af malware. Den pågældende software har avanceret serverbeskyttelse og giver beskyttelse mod udnyttelser, beskyttelse af terminalservere, overvåger ekstern trafik, systemintegritet og beskytter løbende datalagringssystemer ved hjælp af et multi-tier værktøj. Indbyggede systemer til administration af administratorrettigheder giver nem administration, meddelelser, integration med SIEM-systemer og administration af Windows-firewall.

Jeg vil gerne bemærke, at Kaspersky Security har separate systemkrav til specifikke lagringsplatforme, for eksempel for NetApp - Clustered Data ONTAP 8.x og 9.x og Data ONTAP 7.x og 8.x i 7-tilstand, og for EMC Isilon - IBM System Storage N-serien. Du kan gøre dig bekendt med listen over alle krav, når du downloader antivirusprogrammet på Kasperskys websted.

McAfee VirusScan Enterprise

Platform: Windows Server, Linux

Tidligere installerede brugere McAfee Endpoint Security på deres servere, men udviklerne besluttede at forbedre dette produkt med en yderligere ændring af dets navn. Det er nu VirusScan Enterprise. Enhver, der tidligere har brugt denne antivirus, tilbydes en gratis migrering. Den officielle hjemmeside giver alle de nødvendige instruktioner og lektioner om denne sag. Kerneværktøjssættet i den nye version inkluderer: en firewall, webkontroller til deling af trusselsoplysninger, obligatorisk antivirus og muligheder for forebyggelse af sårbarhed.

McAfee VirusScan Enterprise bruger også moderne maskinlæringsteknikker. Sådanne teknologier gør det muligt at detektere ondsindet kode gennem statiske og adfærdsmæssige attributter. Indeslutning af malware sker selv i det øjeblik, den trænger ind i systemet, hvilket forhindrer den i at inficere andre processer. Endpoint Detection og Tesponse-teknologi er ansvarlig for at detektere og reagere på endepunkter, så du kan reagere på trusler med et enkelt klik.

Comodo Antivirus til Linux

Platform: Linux

Comodo Antivirus-udviklere har præsenteret en separat version til operativsystemer baseret på Linux-kernen. Dette program understøttes af de fleste distributioner, både 32 bit og 64. Af funktionerne vil jeg straks bemærke mailfilteret, som er kompatibelt med populære mail-agenter: Postfix, Qmail, Sendmail og Exim MTA. Producenten garanterer pålidelig realtidsbeskyttelse, nem installation og fravær af komplekse konfigurationstrin. Anti-spam-systemet kan redigeres fuldstændigt manuelt, men standardindstillingerne vil give god filtrering. Hvis brugeren ønsker at få endnu mere kontrol over filerne, er funktionen tilgængelig for inklusion. Realtidsadfærdsanalyse... Alle mistænkelige objekter vil blive sendt til cloud-adfærdsanalyseserveren.

For at bruge Comodo Antivirus komfortabelt, har du brug for en kraftig computer med en minimumsprocessorfrekvens på 2 GHz og 2 GB fri RAM. Du behøver ikke bekymre dig om scanningerne: det vil være nok at konfigurere deres plan kun én gang, og i fremtiden vil de blive lanceret automatisk. Det er muligt at starte analysen på et hvilket som helst passende tidspunkt ved blot at trykke på én knap. Det pågældende antivirus er open source, distribueres gratis og downloades fra den officielle hjemmeside.

Chkrootkit

Platform: Linux

Chkrootkit (Check Rootkit) er et almindeligt program for systemadministratorer til at beskytte operativsystemet mod kendte rootkits. Et rootkit er en samling af komponenter, såsom scripts, eksekverbare filer eller konfigurationsfiler, der udfører funktionen af ​​maskering, kontrol og indsamling af data. Ved hjælp af sådanne værktøjer trænger angribere ind i OS og får al den information, de har brug for. Ovennævnte software er kun designet til at beskytte din computer mod denne form for aktivitet. Chkrootkit kræver ikke installation og kan køres fra Live CD'en. Arbejdet i det udføres gennem enhver bekvem konsol, og kontrollen er forståelig selv for en uerfaren bruger.

Chkrootkit fungerer ret hurtigt, gør sit arbejde perfekt, fylder ikke meget på drevet, men indeholder samtidig et enormt antal moduler til hver type bruger. Den officielle hjemmeside indeholder samlinger af programmet i forskellige udvidelser, og downloads er tilgængelige fra en direkte kilde eller flere spejle.

Du er blevet introduceret til antivirusløsninger, der vil være den bedste løsning til forskellige typer servere. Som du kan se, har hver software sine egne karakteristika, så det vil være mest nyttigt i visse situationer.

Det er umuligt at beskytte serveren mod ekstern adgang én gang for alle, for hver dag opdages nye sårbarheder og nye måder at hacke serveren på. Vi vil tale om at beskytte servere mod uautoriseret adgang i denne artikel.

Servere fra enhver virksomhed kan før eller siden blive et mål for hacking eller virusangreb. Typisk er resultatet af et sådant angreb datatab, omdømme eller økonomisk skade, så serversikkerhed bør overvejes først.

Det skal forstås, at beskyttelse mod serverhacking er et kompleks af foranstaltninger, herunder den, der indebærer konstant overvågning af serverens drift og arbejde med at forbedre beskyttelsen. Det er umuligt at beskytte serveren mod ekstern adgang én gang for alle, for hver dag opdages nye sårbarheder og nye måder at hacke serveren på.

Vi vil tale om at beskytte servere mod uautoriseret adgang i denne artikel.

Måder og metoder til at beskytte servere mod uautoriseret adgang

Fysisk serverbeskyttelse

Fysisk beskyttelse. Det er ønskeligt, at serveren er placeret i et sikkert datacenter, lukkede og bevogtede lokaler, udenforstående bør ikke have adgang til serveren.

Konfigurer SSH-godkendelse

Når du konfigurerer adgang til serveren, skal du bruge SSH-nøglegodkendelse i stedet for en adgangskode, da sådanne nøgler er meget vanskeligere og nogle gange simpelthen umulige at knække ved hjælp af en opremsning af muligheder.

Hvis du mener, at du stadig har brug for en adgangskode, skal du sørge for at begrænse antallet af forsøg på at indtaste den.

Bemærk, hvis du ser en meddelelse som denne ved login:

Sidste mislykkede login: Tue Sep 28 12:42:35 MSK 2017 fra 52.15.194.10 på ssh: notty
Der var 8243 mislykkede loginforsøg siden sidste succesfulde login.

Det kan indikere, at nogen forsøgte at hacke din server. I dette tilfælde skal du for at konfigurere serverens sikkerhed ændre SSH-porten, begrænse listen over IP'er, hvorfra adgang til serveren er mulig, eller installere software, der automatisk blokerer for hyppig og mistænkelig aktivitet.

Installer de seneste opdateringer regelmæssigt

For at sikre serverbeskyttelse skal du installere de seneste patches og opdateringer til den serversoftware, du bruger - operativsystemet, hypervisoren, databaseserveren til tiden.

Det er tilrådeligt at tjekke for nye patches, opdateringer og rapporterede fejl/sårbarheder hver dag for at forhindre angreb, der udnytter nul-dages sårbarheder. For at gøre dette skal du abonnere på nyheder fra softwareudviklingsfirmaet, følge dets sider på sociale netværk.

Beskyt adgangskoder

Indtil nu er en af ​​de mest almindelige måder at få adgang til serveren på ved at knække serveradgangskoden. Følg derfor de velkendte, men ikke desto mindre relevante anbefalinger, for ikke at efterlade serveren ubeskyttet:

  • Brug ikke adgangskoder, der er nemme at gætte, såsom dit firmanavn.
  • hvis du stadig bruger standardadgangskoden til administratorkonsollen, skal du ændre den med det samme;
  • adgangskoder til forskellige tjenester skal være forskellige;
  • hvis du har brug for at overføre adgangskoden til nogen, må du aldrig sende IP-adressen, brugernavnet og adgangskoden i samme bogstav eller besked i messengeren;
  • Du kan konfigurere 2-trinsbekræftelse for at logge ind på administratorkontoen.

Firewall

  • Sørg for, at serveren er der, konfigureret og kører hele tiden.
  • Beskyt både indgående og udgående trafik.
  • Hold styr på hvilke porte der er åbne og til hvilke formål, åbn ikke noget unødvendigt for at reducere antallet af mulige sårbarheder for hacking af serveren.

Især er firewallen meget nyttig til at beskytte serveren mod ddos-angreb, da du kan hurtigt oprette forbudte firewall-regler og indtaste de IP-adresser, hvorfra angrebet går, eller blokere adgangen til visse applikationer ved hjælp af bestemte protokoller.

Overvågning og Intrusion Detection

  • Begræns softwaren og tjenesterne, der kører på din server. Tjek med jævne mellemrum alt, hvad du kører, og hvis du finder ukendte processer, skal du straks slette dem og begynde at tjekke for vira.
  • Tjek med jævne mellemrum for tegn på manipulation. Nye brugerkonti, som du ikke har oprettet, flyttet eller slettet en fil, kan indikere et brud /etc/syslog.conf, slettede filer / etc / skygge og / etc / password.
  • Overvåg driften af ​​din server, hold øje med dens normale hastighed og båndbredde, så du for eksempel kan mærke afvigelser, når belastningen på serveren er blevet meget højere end normalt.

Bruger VPN og SSL/TLS-kryptering

Hvis fjernadgang til serveren er påkrævet, bør det kun tillades fra specifikke IP-adresser og bør ske via en VPN.

Det næste trin i at sikre sikkerheden kan være opsætning af SSL, som ikke kun vil kryptere data, men også verificere identiteten af ​​andre deltagere i netværksinfrastrukturen ved at udstede passende certifikater til dem.

Serversikkerhedstjek

Det vil være en god idé at selvtjekke serversikkerheden ved hjælp af pentest metoden, dvs. angrebssimulering for at finde potentielle sårbarheder og eliminere dem i tide. Det er tilrådeligt at involvere ini dette, dog kan nogle test udføres uafhængigt ved hjælp af programmer til hacking af servere.

Hvad der ellers truer servere udover at hacke

Serveren kan fejle af en række andre årsager end hacking. Det kan for eksempel være en malware-infektion eller blot en fysisk nedbrydning af nogen af ​​komponenterne.

Derfor bør foranstaltninger til at beskytte serveren omfatte:

  • Installation og opdatering af programmer til beskyttelse af serveren - antivirus.
  • Regelmæssige krypterede kopier af data mindst en gang om ugen, da serverharddiske ifølge statistikker er i første række med hensyn til fejlrate. Sørg for, at sikkerhedskopien er gemt i et fysisk sikkert miljø.
  • Giver uafbrudt strømforsyning til serverrummet.
  • Rettidig fysisk profylakse af servere, herunder rengøring af dem for støv og udskiftning af termisk pasta.

Erfaringen fra Integrus-specialister fortæller os, at den bedste beskyttelse mod sådanne trusler er anvendelsen af ​​bedste praksis inden for serverbeskyttelsessystemer.

For at sikre sikkerheden på vores kunders servere bruger vi en kombination af værktøjer: firewalls, antivirus, sikkerhed/hændelsesstyringsteknologier (SIM/SEM), indtrængningsdetektion/beskyttelsesteknologier (IDS/IPS), netværksadfærdsanalyseteknologier (NBA) selvfølgelig regelmæssig forebyggende vedligeholdelse, servere og arrangement af sikre nøglefærdige serverrum. Dette giver dig mulighed for at reducere risikoen for hacking eller serverfejl af andre årsager til et minimum.

Vi står klar til at revidere sikkerheden på din virksomheds servere, konsultere specialister, udføre alle former for arbejde med opsætning af beskyttelse af serverudstyr.

Chita State University Energy Institute Fakultet for Økonomi og Informatik Institut for Anvendt Informatik og Matematik Abstrakt om emnet: PC-bruger om emnet: Antivirussoftware til servere Udført af: Art. gr. PI-07-1 Zlova V.V. Kontrolleret: Art. Rev. afdeling PIM Monich I.P. Chita, 2007 Indhold

Introduktion. 3

1 Filservere som en af ​​kilderne til spredning af vira. 5

2 Antivirussoftware til LAN-servere. 5

3 Antivirussoftware til mailservere. otte

4 Kaspersky Anti-Virus. elleve

Konklusion. 17

Liste over brugt litteratur .. 18

Introduktion Computervirus er en af ​​de farligste trusler mod informationssikkerheden i dag. En computervirus er et specialskrevet program, der spontant kan knytte sig til andre programmer, skabe kopier af sig selv og indsætte dem i filer, systemområder på en computer og computernetværk for at forstyrre programmernes drift, beskadige filer og mapper og skabe alle former for interferens med computeren.

Informationssikkerhed forstås som sikkerheden af ​​information og dens understøttende infrastruktur mod enhver utilsigtet eller ondsindet påvirkning, som kan resultere i skade på selve informationen, dens ejere eller understøttende infrastruktur. Informationssikkerhedsopgaver reduceres til at minimere skader samt forudsige og forhindre sådanne påvirkninger.

For de fleste organisationer er beskyttelse af netværksressourcer mod uautoriseret adgang ved at blive et af de mest presserende problemer. Særligt bekymrende er det faktum, at internettet nu er meget brugt til at transportere og opbevare forskellige data og fortrolig virksomhedsinformation.

Opgaven med at beskytte information er især relevant for ejere af online informationsdatabaser, udgivere af elektroniske tidsskrifter mv.

Til dato er der lavet mange antivirusprogrammer til at bekæmpe virus Antivirusprogram (antivirus) er oprindeligt et program til at opdage og behandle programmer inficeret med en computervirus samt til at forhindre infektion af en fil med en virus (f.eks. ved hjælp af vaccination). Mange moderne antivirus kan også opdage og fjerne trojanske heste og andre ondsindede programmer. Antivirussoftware består af computerprogrammer, der forsøger at opdage, forhindre og fjerne computervirus og andre ondsindede programmer Antivirussoftware hjælper med at beskytte din computer mod kendte vira, orme, trojanske heste og anden malware, der kan gå ned i computerens arbejde. Fil- og mailservere er nu det primære værktøj til datahåndtering. Lagring, udveksling og overførsel af data er hovedopgaverne i en sådan styring, men de er umulige uden nem adgang til information, dataintegration og systemstabilitet. Filserveren er en af ​​de mest sårbare netværksressourcer. I tilfælde af en infektion eller funktionsfejl kan adgangen til andre netværksressourcer være begrænset. En enkelt inficeret fil kan føre til infektion af en stor mængde data, tab af dataintegration og systemfejl. Disse risici bidrager til de høje omkostninger ved server- og netværksstyringsprodukter. "Offentlige" filservere og elektroniske konferencer er en af ​​hovedkilderne til vira. Næsten hver uge modtages en besked om, at en bruger har inficeret sin computer med en virus, der er fjernet fra en BBS, ftp-server eller fra en eller anden elektronisk konference. Samtidig "lægges" ofte inficerede filer af forfatteren af ​​virussen på flere BBS / ftp eller sendes til flere konferencer samtidigt, og disse filer er forklædt som nye versioner af noget software (nogle gange - under nye versioner af antivirus) . I tilfælde af en masseudsendelse af en virus til ftp/BBS-filservere kan tusindvis af computere blive inficeret næsten samtidigt, men i de fleste tilfælde "plantes DOS- eller Windows-virus", hvis spredning under moderne forhold er meget lavere end makrovirus. Af denne grund ender sådanne hændelser næsten aldrig i massive epidemier, hvilket ikke kan siges om makrovirus. 2 Antivirussoftware til LAN-servere Spørgsmålene om effektiv antivirusbeskyttelse er mere relevante i dag både i erhvervslivet og blandt private brugere, men i modsætning til sidstnævnte er de problemer og opgaver, som virksomheder står over for, meget mere alvorlige og kræver løsninger på et andet niveau. Administratorer af virksomhedsinformationssystemer skal installere antivirusværktøjer, konfigurere dem og konfigurere opdateringspolitikker samt sikre, at antivirus konstant er aktiveret på hundredvis eller endda tusindvis af maskiner - og ofte skal de gøre alt dette manuelt. Lokale netværk er en af ​​hovedkilderne til vira. Hvis du ikke træffer de nødvendige beskyttelsesforanstaltninger, inficerer den inficerede arbejdsstation, når den kommer ind på netværket, en eller flere servicefiler på serveren (i tilfælde af Novell NetWare, LOGIN.COM). Næste dag starter brugere inficerede filer, når de logger på netværket. I stedet for servicefilen LOGIN.COM kan der også være installeret diverse software på serveren, standarddokumenter-skabeloner eller Excel-tabeller, der anvendes i virksomheden.

Faren for infektion i computernetværk er reel for enhver virksomhed, men en viral epidemi kan udvikle sig i de lokale netværk af store økonomiske og industrielle komplekser med en udbredt infrastruktur. Deres computernetværk blev som regel oprettet i etaper ved hjælp af forskellig hardware og software. Det er indlysende, at for sådanne virksomheder bliver spørgsmålet om antivirusbeskyttelse meget vanskeligt, ikke kun teknisk, men også økonomisk.

Samtidig opnås løsningen på dette problem gennem en kombination af organisatoriske tiltag og software- og hardwareløsninger. Denne tilgang kræver ikke store tekniske og umiddelbare økonomiske omkostninger og kan anvendes til omfattende antivirusbeskyttelse af enhver virksomheds lokale netværk.

Konstruktionen af ​​et sådant antivirusbeskyttelsessystem kan være baseret på følgende principper:

Princippet om at implementere en samlet teknisk politik, når man retfærdiggør valget af antivirusprodukter til forskellige segmenter af det lokale netværk;

Princippet om fuldstændighed af dækning af hele organisationens lokale netværk af antivirusbeskyttelsessystemet;

Princippet om kontinuerlig overvågning af en virksomheds lokale netværk for rettidig påvisning af en computerinfektion;

Princippet om centraliseret styring af antivirusbeskyttelse;

Princippet om implementering af en samlet teknisk politik giver kun mulighed for brug af antivirussoftware, der anbefales af virksomhedens antivirusbeskyttelsesafdeling i alle segmenter af det lokale netværk. Denne politik er af langsigtet karakter, godkendt af virksomhedens ledelse og danner grundlag for målrettet og langsigtet planlægning af omkostninger til indkøb af antivirussoftwareprodukter og yderligere opdateringer heraf.

Princippet om fuldstændig dækning af det lokale netværks antivirusbeskyttelsessystem giver mulighed for gradvis indførelse af antivirusbeskyttelsessoftware i netværket indtil fuldstændig mætning i kombination med organisatoriske og regimemæssige foranstaltninger til informationsbeskyttelse.

Princippet om kontinuerlig overvågning af antivirustilstanden i et lokalt netværk indebærer en sådan organisering af dets beskyttelse, som giver en konstant evne til at overvåge netværkets tilstand for at opdage vira.

Princippet om centraliseret styring af antivirusbeskyttelse giver mulighed for styring af systemet fra én myndighed ved hjælp af hardware og software. Det er dette organ, der organiserer centraliseret kontrol i netværket, modtager kontroldata eller rapporter fra brugere fra deres arbejdspladser om påvisning af vira og sikrer implementeringen af ​​de vedtagne løsninger til styring af antivirusbeskyttelsessystemet Antivirusbeskyttelse af den. lokale netværk af en stor organisation er et komplekst problem, der ikke er begrænset til en simpel installation af antivirusprodukter. Som regel er det nødvendigt at oprette et separat undersystem. Teknisk set, når man løser dette problem, skal man være særlig opmærksom på at teste al nyindkøbt antivirussoftware samt at installere antiviruspakker på mailservere. 3 Antivirussoftware til mailservere

Hvis ved begyndelsen af ​​udviklingen af ​​computerteknologi var hovedkanalen for spredning af vira udveksling af programfiler via disketter, hører håndfladen i dag til e-mail. E-mail er et bekvemt og uerstatteligt middel til forretningskommunikation. Men de fleste vira og spam spredes via e-mail; det kan være en kanal for lækage af fortrolige data. Hver dag transmitteres millioner og atter millioner af beskeder gennem dens kanaler, og mange af disse beskeder er inficeret med virus.

Desværre kan vedhæftede filer, der sendes med e-mail-beskeder, også være ekstremt farlige for din computers helbred. Hvad er farerne ved vedhæftede filer? Et virus eller trojansk program eller et dokument i Microsoft Office-format (* .doc, * .xls) inficeret med en computervirus kan sendes til brugeren som en sådan fil. Ved at køre det resulterende program til udførelse eller åbne et dokument til visning, kan brugeren starte en virus eller installere et trojansk program på sin computer. På grund af forkerte indstillinger af e-mail-programmet eller fejl i det, kan vedhæftede filer åbne automatisk, når du ser indholdet af modtagne meddelelser. I dette tilfælde, hvis du ikke tager nogen beskyttelsesforanstaltninger, vil det være et spørgsmål om tid, før vira eller anden malware kommer ind på din computer. Andre forsøg på at trænge ind på din computer via e-mail er mulige. For eksempel kan de sende en besked i form af et HTML-dokument, hvori et Trojan ActiveX-objekt er indlejret. Når du har åbnet en sådan besked, kan du downloade dette element til din computer, hvorefter det straks vil begynde at udføre sit arbejde E-mail trojanske heste - trojanske heste, der giver dig mulighed for at "trække" adgangskoder og anden information fra dine computerfiler og sende dem pr. e-mail til ejeren. Disse kan være udbyderens logins og internetadgangskoder, adgangskoden til postkassen, ICQ- og IRC-adgangskoder osv. For at sende et brev til ejeren med posten kontakter trojaneren sidens mailserver ved hjælp af SMTP-protokollen (f.eks. på smtp.mail.ru). Efter at have indsamlet de nødvendige data, vil trojaneren kontrollere, om dataene blev sendt. Hvis ikke, sendes dataene og opbevares i registret. Hvis de allerede er afsendt, trækkes det forrige brev ud af registret, og det sammenlignes med det nuværende. Hvis der er sket ændringer i oplysningerne (nye data er dukket op), så sendes brevet, og friske data om adgangskoder registreres i registret. Kort sagt, denne type trojaner indsamler simpelthen information, og offeret gætter måske ikke engang, at hans adgangskoder allerede er kendt af nogen. Arkivet af sådan en trojaner indeholder normalt 4 filer: en servereditor (konfigurator), en trojansk server, en pakker (klæber) filer, en manual til brug Som et resultat af arbejdet kan følgende data bestemmes: 1) IP-adressen på ofrets computer 2) detaljerede oplysninger om systemet (computernavn og brugernavn, Windows-version, modem osv.); 3) alle cachelagrede adgangskoder; 4) alle indstillinger for telefonforbindelser, inklusive telefonnumre, logins og adgangskoder; 5) adgangskoder fra ICQ; 6) antallet af sidst besøgte websteder. For at bekæmpe virus og andre ondsindede programmer skal der udover rent administrative foranstaltninger anvendes særlig antivirussoftware (antivirus) For at beskytte mod virus, der spredes via e-mail, kan du installere antivirus på afsenderens og modtagerens computere. Denne beskyttelse er dog ofte utilstrækkelig. Konventionelle antivirusprogrammer installeret på internetbrugeres computere er designet til at scanne filer og er ikke altid i stand til at analysere e-mail-datatrafik. Hvis antivirusprogrammet ikke automatisk scanner alle filer, der åbnes, så kan en virus eller trojansk hest nemt trænge igennem beskyttelsen til computerens disk. Derudover er effektiviteten af ​​antivirus i høj grad afhængig af overholdelse af reglerne for deres brug: det er nødvendigt for periodisk at opdatere antivirusdatabasen, bruge de korrekte antivirusscannerindstillinger osv. Desværre ved mange computerejere ikke, hvordan man korrekt bruger antivirussoftware eller opdaterer ikke antivirusdatabasen, hvilket uundgåeligt fører til virusinfektion. For at forstå det haster med problemet med at sprede virus via e-mail, tilbyder mange virksomheder særlige antivirusprogrammer programmer til at beskytte mailservere. Sådanne antivirusser analyserer datastrømmen, der passerer gennem mailserveren, og forhindrer transmission af meddelelser med inficerede vedhæftede filer. Der er en anden løsning - forbindelse til mailservere af konventionelle antivirusprogrammer designet til at scanne filer Antivirusbeskyttelse af SMTP- og POP3-mailservere er meget mere effektiv end antivirusbeskyttelse af brugernes computere. Som regel konfigurerer en erfaren administrator antivirus på serveren, som ikke laver fejl ved opsætningen og desuden aktiverer den automatiske databaseopdateringstilstand via internettet. Brugere af sikre SMTP- og POP3-servere behøver ikke at bekymre sig om den vigtigste virusdistributionskanal - de vil modtage beskeder, der allerede er renset for virus. De handlinger, der udføres af mailservere, når de sender og modtager inficerede beskeder, afhænger af indstillingerne af antivirusprogrammet og selve mailserveren. For eksempel, når en afsender forsøger at sende en besked med en inficeret fil, vil den sikre SMTP-mailserver afvise ham, og mailprogrammet viser en advarselsmeddelelse; hvis nogen sender en e-mail med en inficeret fil vedhæftet fil til din adresse, så ved at bruge den sikre POP3 i stedet, vil du kun modtage en besked om påvisning af en virus. På trods af den stadigt voksende popularitet af Microsoft Windows-platformen, kører de fleste internetservere i dag Linux, FreeBSD og lignende UNIX-lignende systemer. Den største fordel ved Linux er dens meget lave anskaffelsesomkostninger. Enhver kan downloade en Linux-distribution over internettet og installere den på et vilkårligt antal computere. Denne distribution har alt, hvad du behøver for at oprette et websted, inklusive e-mail-servere. Andre fordele ved Linux og lignende operativsystemer bør bemærkes åbenhed, tilgængelighed af kildekode, tilstedeværelsen af ​​et stort fællesskab af frivillige udviklere, der er klar til at hjælpe i vanskelige situationer, simpel fjernbetjening vha. tekstkonsol mv. Kun et par dusin vira blev oprettet til OS i denne serie, hvilket indikerer dets høje sikkerhed.

4 Kaspersky Anti-Virus

Ud fra ovenstående begrundelse og eksempler kan vi formulere de grundlæggende krav til antivirus til arbejdsstationer. Det er klart, at disse krav vil være forskellige for arbejdsstationer af forskellige klasser.

Antiviruskrav til Windows-arbejdsstationer

Kravene vil som tidligere blive opdelt i flere kategorier:

  1. Grundlæggende krav- pålidelighed, ydeevne, brugervenlighed, billighed - det nytter ikke at gentage igen
  2. Primære krav- som konsekvens af hovedopgaven:
    • Scanning af alle filer på lokale diske, der tilgås - til læsning, skrivning, til lancering - for at identificere og neutralisere computervirus
    • Kontrol af flytbare drev og netværksdrev
    • Hukommelsestjek
    • Kontrollerer indgående og udgående meddelelser for virus, både selve meddelelserne og deres vedhæftede filer skal kontrolleres
    • Kontrol af scripts og andre aktive elementer på websider
    • Kontrol af makroer i Microsoft Office-dokumenter og filer i andre programmer
    • Scanning af sammensatte filer - arkiver, selvudpakkende arkiver, pakkede eksekverbare filer, maildatabaser, postformatfiler, OLE-containere
    • Mulighed for at vælge forskellige handlinger på inficerede filer, normalt:
      • blokering (ved indtjekning i realtid)
      • logning (on demand scanning)
      • sletning
      • karantæne
      • behandling
      • anmode brugeren om en handling
    • Behandling af inficerede filer
    • Rensning af inficerede filer i arkiver
    • Ønskeligt - påvisning af potentielt uønskede programmer (adware- og spyware-moduler, hackerværktøjer osv.)
  3. Ledelseskrav
    • Lokal GUI
    • Mulighed for fjernstyring og centraliseret administration (virksomhedsversion)
    • Evne til at planlægge lanceringen af ​​scannings- og opdateringsopgaver
    • Evne til at starte enhver opgave eller udføre enhver handling efter behov (manuelt)
    • Evnen til at begrænse en uprivilegeret brugers handlinger i forhold til antiviruskomplekset
  4. Opgraderingskrav
    • Support til forskellige opdateringskilder, standard:
      • HTTP- eller FTP-ressource
      • Lokal eller netværksmappe
      • Centraliseret opdateringssystem (i virksomhedsversioner)
    • Evne til at opdatere antivirusdatabaser, antivirusmotor og applikationsmoduler
    • Mulighed for at udføre opdateringer manuelt efter behov eller automatisk efter en tidsplan
    • Mulighed for at rulle antivirusdatabaseopdateringer tilbage
  5. Diagnostiske krav
    • Underretning af den lokale bruger om vigtige begivenheder - virusdetektion, antivirustilstandsændring osv.
    • Fører logfiler over antivirus og/eller individuelle opgaver
    • Antiviruss(i virksomhedsversion)
Antiviruskrav til Linux/Unix-arbejdsstationer
  1. Grundlæggende krav- praktisk talt uændret: pålidelighed, ydeevne, lave omkostninger. Brugervenlighed i Unix-systemer vurderes traditionelt efter lidt andre kriterier end i Windows-systemer, selvom denne tilstand gradvist begynder at ændre sig i retning af ensretning af krav
  2. Primære krav- baseret på formålet:
    • On-demand scanning af vilkårlige filer og mapper for virus
    • Det er ønskeligt, men ikke kritisk, at scanne visse mapper i realtid, når du får adgang til filer. Hvis en sådan funktionalitet virkelig er nødvendig, så taler vi ikke så meget om en arbejdsstation som om en server - i Unix-systemer er der ingen åbenlys forskel på dem.
    • Virusdetektion i sammensatte objekter - arkiver, selvudpakkende arkiver, pakkede eksekverbare moduler, postdatabaser, postformatfiler, OLE-containere - ikke begrænset til formater, der er almindelige i Unix-miljøet
    • Mulighed for at vælge en handling ved påvisning af inficerede filer, normalt:
      • slette
      • flytte eller omdøbe
      • behandle
      • skrive information til en rapport
      • bede brugeren om handling (når du tjekker on demand)
    • Behandling af inficerede filer
    • Ønskeligt - mulighed for behandling i arkiverne
  3. Ledelseskrav
    • Lokal styring ved at redigere konfigurationsfiler
    • Ønskeligt - fjernbetjening via webgrænsefladen
    • Evne til at planlægge lanceringen af ​​opgaver og udførelsen af ​​handlinger
    • Evne til at udføre opgaver og handlinger manuelt
  4. Diagnostiske krav
    • Føring af arbejdsjournaler
    • Anti-Virus Security Administrator Meddelelse

Serverbeskyttelse

Generelt antivirus beskyttelse servere er ikke så forskellige fra arbejdsstationsbeskyttelse, som de for eksempel er fra gateway-beskyttelse. De vigtigste trusler og teknologier til at imødegå dem forbliver de samme - kun accenterne flyttes.

Netværksservere, ligesom arbejdsstationer, er naturligt opdelt i klasser i henhold til de anvendte operativsystemer:

  • Windows-servere
  • Novell Netware-servere
  • Unix-servere

Opdelingsprincippet skyldes virustrusler, der er karakteristiske for forskellige operativsystemer, og som følge heraf forskellige muligheder for at definere antivirussens hovedopgave.

Ved serverbeskyttelsesprodukter er der ingen opdeling i personlige og netværksprodukter - alle produkter er netværk (virksomhed). Mange producenter har ikke engang en opdeling af virksomhedsprodukter i dem, der er beregnet til arbejdsstationer og filservere – de har et enkelt produkt.

Specifikke trusler og modforanstaltninger

Alle server-specifikke trusler er ikke så meget forbundet med funktionerne i serveroperativsystemer som med brugen af ​​sårbar software, der er typisk for servere.

Microsoft Windows-servere

For Windows-servere er alle de samme trusler relevante som for arbejdsstationer under Windows NT / 2000 / XP. De eneste forskelle er den dominerende måde at betjene serverne på, hvilket resulterer i en række yderligere angreb, som ikke er typiske for arbejdsstationer.

Så brugere arbejder sjældent direkte bag Windows-servere, hvilket betyder, at mailklienter og kontorapplikationer på servere normalt ikke bruges. Som følge heraf er kravene til mailbeskyttelse på mailklientniveau og yderligere midler til at detektere makrovirus mindre efterspurgte i tilfælde af Windows-servere.

Eksempel... I modsætning til Kaspersky Anti-Virus til Windows-arbejdsstationer mangler Kaspersky Anti-Virus til Windows-filservere et modul til adfærdsanalyse af makroer, der udføres, når der arbejdes med Microsoft Office-dokumenter, og et modul til scanning af indgående og udgående post. Dette betyder ikke, at produktet mangler beskyttelse mod makrovirus og postorme - som allerede nævnt, i sidste ende kontrolleres alle åbnede filer af filsystemets realtidsbeskyttelsesmodul - blot de særlige forhold ved serverdrift kræver ikke yderligere beskyttelse foranstaltninger, som det var tilfældet med arbejderstationer.

På den anden side kan tjenester som Microsoft SQL Server og Microsoft IIS bruges på Windows-servere meget oftere end på arbejdsstationer. Ligesom operativsystemerne selv lavet af Microsoft (og ikke kun Microsoft), kan disse tjenester indeholde sårbarheder, som blev brugt af virusforfattere mange gange i deres tid.

Eksempel... I 2003 dukkede Net-Worm .Win32.Slammer-ormen op og fejede bogstaveligt talt hen over internettet og udnyttede en sårbarhed i Microsoft SQL Server 2000. Slammer gemte ikke sine filer på disken, men kørte direkte i adresseområdet i SQL Server-applikationen . Ormen angreb derefter tilfældige IP-adresser på netværket i en endeløs løkke og forsøgte at udnytte den samme sårbarhed til at infiltrere. Som et resultat af ormens aktivitet var serverne og internetkommunikationskanalerne så overbelastede, at hele dele af netværket var utilgængelige. Sydkorea er særligt hårdt ramt af epidemien. Det skal bemærkes, at ormen ikke udførte andre handlinger, bortset fra reproduktion.

Eksempel... Tidligere, i 2001, blev en sårbarhed i Microsoft IIS 5.0 udnyttet til at spredes af Net-Worm .Win32-ormen. KodeRød .a. Konsekvenserne af epidemien var ikke så imponerende som i tilfældet med Slammer-ormen, men ved hjælp af computere inficeret med CodeRed .a blev der lavet et vellykket DDoS-forsøg på det amerikanske Hvide Hus' hjemmeside (www.whitehouse.gov). CodeRed .a gemte heller ikke filer på diskene på inficerede servere.

Det ejendommelige ved begge orme er, at filsystemkontrolmodulet (i det mindste på anmodning, i det mindste ved adgang) er magtesløst over for dem. Disse orme gemmer ikke deres kopier på disk og viser slet ikke deres tilstedeværelse i systemet, bortset fra øget netværksaktivitet. I dag er den vigtigste anbefaling til beskyttelse rettidig installation af patches på operativsystemet og den anvendte software. En anden tilgang er at konfigurere firewalls, så de porte, der bruges af sårbare tjenester, er utilgængelige udefra - et rimeligt krav i tilfælde af Slammer-beskyttelse, men uacceptabelt for CodeRed-beskyttelse.

Orme, der angriber allerede direkte sårbare tjenester i operativsystemet, såsom Lovesan, Sasser, Mytob osv., forbliver relevante for Windows-servere. Beskyttelse mod dem bør sikres ved omfattende foranstaltninger - brug af firewalls, installation af patches, brug af verifikation ved adgang (de nævnte orme i tilfælde af et vellykket angreb gemmer deres filer på din harddisk).

I betragtning af angrebenes art kan vi konkludere, at de vigtigste beskyttelsesværktøjer til Windows-servere er: on-access filscanningsmodul, on-demand filscanningsmodul, scriptkontrolmodul, og de vigtigste teknologier er signatur- og heuristisk analyse (også som adfærdsmæssig - i scriptkontrolmodulet) ...

Novell Netware-servere

Der er ingen specifikke vira, der er i stand til at inficere Novell Netware. Der er dog flere trojanske heste, der stjæler adgangsrettigheder til Novell-servere, men de er stadig designet til at køre på Windows.

Derfor er antivirus til Novell Netware-server faktisk ikke designet til at beskytte denne server. Hvad er dens funktioner så? For at forhindre spredning af vira. De fleste af Novell Netware-servere bruges som filservere; brugere af Windows-computere kan gemme deres filer på sådanne servere eller køre programmer placeret på Novell Netware-enheder. For at forhindre virus i at trænge ind i de delte ressourcer på Novell-serveren, eller at starte/læse virus fra sådanne ressourcer, er et antivirus nødvendigt.

Derfor er de vigtigste værktøjer, der bruges i antivirus til Novell Netware, scanning ved adgang og scanning efter behov.

Af de specifikke teknologier, der bruges i antivirus til Novell Netware, er det nødvendigt at bemærke blokeringen af ​​stationer og/eller brugere, der skriver ondsindede programmer til serveren.

Unix-servere

Det samme kan siges om Unix-servere som om Novell Netware-servere. Antivirus til Unix-servere løser ikke så meget problemet med at beskytte selve serverne mod infektion som problemet med at forhindre spredning af vira gennem serveren. Til dette bruges alle de samme to grundlæggende værktøjer:

  • On-demand filscanning
  • Kontrollerer filer ved adgang

Eksempel... Kaspersky Anti-Virus til Unix/Linux-filservere inkluderer et scanningsmodul ved adgang, mens Kaspersky Anti-Virus til Linux-arbejdsstationer ikke har et sådant modul. Dette skyldes de forskellige funktioner på Linux-arbejdsstationer og -servere - i et netværk bygget udelukkende (eller for det meste) på Linux-stationer er der praktisk talt ingen fare for infektion med virus, og derfor er der ikke et presserende behov for et modul, der styrer alle filer operationer. Tværtimod, hvis en Linux-computer aktivt bruges til lagring og overførsel af filer (især på et Windows-netværk), så er det i virkeligheden en server og kræver et middel til konstant filkontrol.

Mange velkendte orme under Linux bruger til at sprede sårbarheder ikke i selve operativsystemet, men i systemet og applikationssoftwaren - i wu-ftpd ftp-serveren, i Apache-webserveren. Det er klart, at sådanne applikationer bruges oftere på servere end på arbejdsstationer, hvilket er et yderligere argument til fordel for forbedrede.

I modsætning til Novell-servere, hvor understøttelse af Microsoft-netværk er indbygget, er Unix-servere ikke designet til at håndtere SMB/CIFS-filoverførsler som standard. Til dette formål bruges en speciel softwarepakke - Samba, som giver dig mulighed for at oprette delte ressourcer, der er kompatible med Microsoft-netværk.

Hvis filer kun udveksles ved hjælp af SMB / CIFS-protokollerne, giver det naturligvis ingen mening at kontrollere alle filoperationer, det er nok kun at kontrollere filer, der overføres ved hjælp af Samba-serveren.

Eksempel... Kaspersky Labs produktlinje inkluderer en speciel løsning - Kaspersky Anti-Virus til Samba Server, designet specifikt til at beskytte delte mapper, der er oprettet på Unix-servere ved hjælp af Samba-software. Dette produkt inkluderer ikke et modul, der styrer filhandlinger; i stedet bruger det et filter indbygget i Samba, der opsnapper alle overførte filer.

© Copyright 2021, emupauto.ru - Efterbehandling. Beslag. Reparation. Montering. Valg. Åbning.