Antivirusinės apsaugos įdiegimo tvarka. Antivirusinės apsaugos konfigūravimas Antivirusinės apsaugos serverio kūrimas

Montavimas

VIAČESLAVAS MEDVEDEVAS, pagrindinis analitikas, Plėtros departamentas, Doctor Web

Antivirusinės apsaugos diegimo procedūra

Gana dažnai renkantis (o kartais net ir perkant) klientai domisi rekomendacijomis, kaip įdiegti antivirusinę apsaugą ar anksčiau naudoto produkto pakeitimo etapais. Šiame straipsnyje bus aptarta, kaip tinkamai organizuoti procesą

Itin svarbus punktas. Deja, dažniausiai pardavimo kontaktai eina pas vadybininkus, o testavimas perduodamas sistemos administratoriams. Rezultatas dažnai yra pranešimas, kuris stebina net pardavėją. Neteisingi gaminių pavadinimai, senovinės versijos, funkcionalumo trūkumo, kuris iš tikrųjų buvo jau keletą metų, požymiai ir kt. Viską reikia perdaryti, bet traukinys jau nuvažiavo, o įmonių garbė neleidžia pripažinti, kad jų specialistams trūksta reikiamos kvalifikacijos.

1) Sprendimo galimybių tyrimas darbo stočių, failų serverių, pašto serverių apsaugos sistemų, taip pat antivirusinės apsaugos valdymo serverių apsaugos sistemų testavimo metu.Čia taip pat yra keletas spąstų. Kaip bebūtų keista, bet gana dažnai klientai nežino, ko jiems reikia. Ir būtų gerai, jei klausimas būtų apie funkcionalumą, tai būtų suprantama. Dažnai net ir organizacijoje naudojamos programinės įrangos sąrašo klausimas sukelia sunkumų, o tai savo ruožtu neleidžia suformuluoti pasiūlymų dėl tiekiamos programinės įrangos sąrašo.

Antroji problema susijusi su tuo, kad sistemų administratoriai (dažniausiai atliekantys testavimą) puikiai žino apie naudojamus produktus, tačiau (natūralu) nežino testuojamo produkto privalumų ir trūkumų (bet tuo pačiu tikimasi, kad perkant produktą atsiras spąstų) ... Atitinkamai rekomenduojama su būsimu tiekėju susitarti dėl procedūrų, kurios bus įgyvendinamos naudojant įsigytą prekę, sąrašo ir paprašyti nuoseklių šio funkcionalumo instrukcijų arba, jei tokių nurodymų nėra, testavimo instrukcijos. Taip bus išvengta gaišimo laiko neakivaizdiems klausimams.

2) Pagal įmonės informacijos saugumo politiką suformuotų saugos politikų galiojimo tikrinimas. Atsižvelgiant į tai, kad kiekvienas produktas savaip įgyvendina įmonei būtiną funkcionalumą (pavyzdžiui, leidžia arba neleidžia valdyti savavališką naršyklę), tiek procedūros veiksmų sąrašas, tiek jos trukmė gali skirtis. Įprastu metu tai nėra kritiška, tačiau virusinio incidento atveju kiekviena sekundė gali būti brangi.

3) Dr.Web programinės įrangos ir įmonėje naudojamos programinės įrangos suderinamumo patikrinimas. Programinės įrangos nesuderinamumas yra retas, tačiau šios galimybės negalima ignoruoti. Todėl šis veiksmas būtinas ir siūlomo produkto testavimo metu.

4) Dr.Web programinės įrangos diegimo plano patikslinimas remiantis bandomųjų instaliacijų rezultatais, atsižvelgiant į įmonės korporatyvinio tinklo struktūrą ir darbuotojų darbo grafiką.

a) Dr.Web programinės įrangos komponentų diegimo įmonės vietiniame tinkle laiko paaiškinimas. Gana dažnai pirkimo proceso metu užduodamas klausimas, kiek laiko reikia įdiegti. Praktika rodo, kad didžiąja dauguma atvejų diegimo trukmė priklauso tik nuo įmonės specialistų. Pagal tą pačią praktiką, norint visiškai pereiti įmonei iš vienos apsaugos sistemos į kitą, kai stočių skaičius artėja prie tūkstančio, pakanka poilsio dienų.

b) Dr.Web programinės įrangos diegimo vietinėse stotyse ir failų serveriuose tipo pasirinkimas (AD politika, distribucijos paleidimas lokaliai, tinklo nuskaitymas į neapsaugotas stotis ir kt.). Įmonė gali rinktis iš įvairių diegimo parinkčių, atsižvelgdama į tinklo pralaidumą, „Active Directory“ prieinamumą ir filialo bei nuotolinio darbuotojo apsaugos reikalavimus (žr. 1 pav.).

c) Programinės įrangos diegimo tvarkos ir laiko parinkimas pagal įmonės korporatyvinio tinklo struktūrą ir darbuotojų darbo grafiką. Saugumo diegimo metu būtina užtikrinti veiklos tęstinumą. Pagal niekšybės dėsnį, baisiausios infekcijos gali kilti tuo metu, kai trūksta apsaugos.

Antivirusinės programos diegimo įmonės tinkle schemos pavyzdys parodytas pav. 2.

5) Įmonės saugos administratorių mokymas darbo su programine įranga technikų.

6) Procedūrų, susijusių su naudotos antivirusinės programinės įrangos pašalinimu ir programinės įrangos įdiegimu, parengimas.

Kaip bebūtų keista, bet naudotos antivirusinės programos pašalinimas kelia daug klausimų. Klientai reikalauja įdiegtos antivirusinės, kad pašalintų anksčiau naudotą antivirusinę. Deja, daugeliu atvejų tai neįmanoma. Antivirusinės savigynos sistema, skirta kovai su kibernetiniais nusikaltėliais, neleidžia niekam jos pašalinti.

a) Apsaugos priemonių kūrimas laikotarpiui, kai įmonės tinklo elementuose nėra antivirusinės programinės įrangos. Arba šiuo laikotarpiu galite įdiegti viso šliuzo gaunamo srauto nuskaitymą ir uždrausti naudoti keičiamąją laikmeną.

7) Vietinio tinklo (apsaugotų stočių ir serverių) patikrinimas, ar nėra paslaugų, reikalingų diegti programinę įrangą įmonės tinkle. Jei reikia, pakoreguokite įmonės tinkle naudojamas ugniasienės taisykles. Šis punktas taip pat sunkus. Kaip bebūtų keista, bet joks produktas negali kondensuotis iš oro ant apsaugoto kompiuterio. Priklausomai nuo pasirinkto diegimo tipo, turite atidaryti tam tikrus prievadus, įjungti reikiamas paslaugas ir pan.

Kartais būtent įmonės naudojamų uostų ir paslaugų apribojimai yra pagrindas pasirenkant diegimo tipą.

8) Diegimo įmonės tinkle grafiko tvirtinimas. Grafiko pateikimas įmonės darbuotojams atsižvelgiant į jų rūpestį. Įmonės darbuotojai turi žinoti (kiek jiems rūpi) apie įmonėje vykstančius renginius. Vykdomos veiklos rėmuose įmonės specialistai turi turėti galimybę greitai pasiekti reikiamus kompiuterius ir patalpas. Dažnai tai neįmanoma be atitinkamo vadovo pritarimo.

Antivirusinės programinės įrangos keitimas įmonės tinkle

1) Reikalingos programinės įrangos paruošimas priklausomai nuo pasirinkto diegimo tipo. Visiškai akivaizdu, kad skirtingoms OS, programų tipams ir kt. naudojami įvairūs paskirstymai.

  • Hierarchinio tinklo serverių, klasterių mazgų ir, jei reikia, reikiamos duomenų bazės įdiegimas (žr. 3 pav.).

  • Atleidimo sistemos diegimas Dr.Web serveriams (žr. 4 pav.). Bet kuris serveris gali sugesti. Tačiau antivirusinio serverio žlugimas veda prie saugomų stočių atnaujinimų nutraukimo. Todėl antivirusinių serverių atsarginė kopija yra būtina.

  • Grupių ir strategijų konfigūravimas.
  • Jei reikia, priskirkite atskirus administratorius vartotojų grupei ir apribokite šių administratorių teises pagal įmonės politiką.
  • Reikalingų veiksmų atlikimas, atsižvelgiant į pasirinktą diegimo politiką. Pavyzdžiui, nustatant AD.

2) Įmonės tinklo nuskaitymas su Dr.Web CureNet tinklo programa! dėl anksčiau nežinomos kenkėjiškos programos (žr. 5 pav.). Deja, nėra garantijos, kad kompiuteryje, kurį ketinate įdiegti, nėra kenkėjiškų programų. Žinoma, įdiegimas užkrėstame kompiuteryje yra įmanomas, tačiau visada yra tikimybė, kad veikianti kenkėjiška programa turi funkcionalumą, skirtą kovoti su antivirusinės programos įdiegimu. Tai bent jau pašalins apsaugos diegimo procesą iš tvarkaraščio, todėl prieš įdiegiant geriau patikrinti, ar nėra kenkėjiškų programų.

  • Darbo stočių ir failų serverių apsaugos sistemos įdiegimas pagal ankstesniame žingsnyje atliktus nustatymus.
  • Pašto serverių, interneto vartų apsaugos sistemos įrengimas.

5) Programinės įrangos veikimas bandomuoju laikotarpiu.

6) Programinės įrangos atnaujinimų vykdymas pagal įmonės politiką.

7) Periodiškas saugomų darbo vietų, failų ir pašto serverių patikras (žr. 7 pav.).

8) Programinės įrangos veiksmų kontrolė prieš bandomąją kenkėjiškų programų įtaką.

9) Sąveikos su technine pagalba tvarkos patikrinimas.

Apskritai, nieko sudėtingo, jei bet kuriam etapui ruošiatės iš anksto.

Sėkmės diegiant!


Susisiekus su

Serveris yra specializuotas kompiuteris, kuriame veiksmai atliekami be aktyvaus vartotojo dalyvavimo. Paprastai ten įdiegiama aptarnavimo programinė įranga tam tikroms užduotims atlikti. Per tokį kompiuterį keičiamasi duomenimis, pradedami veiksmai, atliekami matematiniai skaičiavimai ir daug daugiau. Visi serveriai skiriasi tipais, pavyzdžiui, yra žaidimų, žiniatinklio, pašto ir tarpinių serverių. Kiekvienas toks įrenginys atlieka aiškiai apibrėžtą užduotį. Dažnai, kad toks aparatas veiktų saugiai, jame įdiegiama antivirusinė programa, todėl apie tokią programinę įrangą norėtume papasakoti plačiau, išskirdami keletą konkrečių sprendimų.

Platforma: Windows Server

Gerai žinoma antivirusinė kompanija „Avast“ išleidžia specialiai serveriams skirtą rinkinį, kuriame yra papildomų naudingų įrankių. Pavyzdžiui, atkreipkite dėmesį į funkciją "Duomenų sunaikinimas"... Jis įdiegtas taip, kad visuose ištrintuose duomenyse perrašo atsitiktinai sugeneruotą informaciją, o tai neleis atkurti pradinės failo būsenos, kai bandysite jį atkurti. Be to, yra „Elgesio analizė“- įrankis, atsakingas už veikiančių programų nuskaitymą dėl įtartinos veiklos. Jei užrašų knygelė bandys pasiekti tą pačią internetinę kamerą, tokia užklausa bus nedelsiant užblokuota. Žinoma, toks pavyzdys paprastas, tačiau funkcija veikia aukštesniu lygiu.

„Avast Business Antivirus Pro“ taip pat turi integruotą ugniasienę, išmanųjį nuskaitymą, apsaugą nuo šiukšlių, slaptažodžio apsaugą ir lengvą prisijungimą. Taip pat yra nuolatinis galimų grėsmių palyginimas su dabartine virusų baze, naudojant programinės įrangos gynėjo technologiją. Tai leis jums bendrauti tik su patikrintais duomenimis. Savo ruožtu „CyberCapture“ įrankis nusiųs įtartinus objektus į grėsmių tyrimo laboratoriją.

Avira Antivirus Server

Platforma: Windows Server

„Avira Antivirus Server“ yra specialus kūrėjo sprendimas serveriams, kuriuose veikia „Windows“ operacinė sistema. Kūrėjai žada efektyviausią darbą su mažu sistemos resursų suvartojimu, dideliu grėsmių aptikimo greičiu ir naudojimo patogumu. Surinkimas papildė prieigos apsaugos įrankius, tai yra, vykdomų procesų valdymas atliekamas prieigai prie jų iš kitų programų. Taip pat yra rankinis nuskaitymas, leidžiantis bet kuriuo metu paleisti nurodytos laikmenos ar atskiro katalogo analizę.

Dar kartą pažymime, kad kūrėjas ypatingą dėmesį skiria mažam kompiuterio išteklių sunaudojimui ir antivirusinės programos valdymo paprastumui. Taip pat žadamos nuolatinės nemokamos naujovės ir virusų duomenų bazių atnaujinimai. Jei norite susipažinti su šiuo produktu, galite gauti nemokamą versiją 30 dienų oficialioje svetainėje, užpildę atitinkamą formą. Bandymo metu bus prieinami visi įrankiai ir funkcijos, taip pat bus galima nemokamai paskambinti pagalbos tarnybai.

ESET failų sauga

ESET File Security sukurta veikti „Windows“ ir „Linux“ serveriuose ir užtikrina daugiasluoksnę apsaugą per ESET Dynamic Threat Defense debesies smėlio dėžės priedą. Debesis pagrįsta apsaugos sistema automatiškai apsaugo nuo naujų grėsmių, nelaukdama, kol atnaujins aptikimo variklį (nurodytas vidutinis atnaujinimo laikas yra 20 minučių). Integruota tinklo atakų apsauga atpažįsta žinomus tinklo sluoksnio pažeidžiamumus, o naudojant „OneDrive“, „Office 365 OneDrive Storage“ jį nuskaitys. Atkreipkite dėmesį į tai, kad išvengtumėte botnetų įtakos. Priemonė ne tik suranda kenkėjišką ryšį, bet ir aptinka tuos pačius procesus, iš karto blokuoja pavojingą veiklą ir informuoja apie tai vartotoją.

Norėdami valdyti ESET File Security, vartotojas raginamas įdiegti konsolę sistemoje Windows arba Linux, o sąrankos palengvinimui yra virtualus importuotojas. Galite susipažinti su visomis šios antivirusinės programos funkcijomis, išbandyti nemokamą jos versiją ir įsigyti pilną versiją oficialioje kūrėjų svetainėje.

Kaspersky Security

Platforma: Windows Server, Linux

„Kaspersky Security for Servers“ yra įtraukta į rinkinius – „Total“, „Endpoint Security for Business“, „Kaspersky Security for Virtual and Cloud Environments“ ir „Kaspersky Security for Storage Systems“. Įsigiję vieną iš šių versijų gausite patikimą serverio apsaugą nuo naujausios kartos kenkėjiškų programų. Aptariama programinė įranga turi pažangią serverio apsaugą ir užtikrina apsaugą nuo išnaudojimų, terminalų serverių apsaugą, stebi išorinį srautą, sistemos vientisumą ir nuolat saugo duomenų saugojimo sistemas naudodama kelių pakopų įrankį. Integruotos sistemos, skirtos administratoriaus teisėms valdyti, palengvina valdymą, pranešimus, integraciją su SIEM sistemomis ir „Windows“ užkardos valdymą.

Norėčiau atkreipti dėmesį, kad „Kaspersky Security“ turi atskirus sistemos reikalavimus konkrečioms saugojimo platformoms, pavyzdžiui, „NetApp“ – „Clustered Data ONTAP 8.x“ ir „9.x“ bei „Data ONTAP 7.x“ ir „8.x“ 7 režimu. EMC Isilon – IBM System Storage N serija. Su visų reikalavimų sąrašu galite susipažinti atsisiųsdami antivirusinę programą „Kaspersky“ svetainėje.

„McAfee VirusScan Enterprise“.

Platforma: Windows Server, Linux

Anksčiau vartotojai savo serveriuose įdiegdavo „McAfee Endpoint Security“, tačiau kūrėjai nusprendė patobulinti šį produktą dar pakeitę pavadinimą. Dabar tai yra „VirusScan Enterprise“. Visiems, kurie anksčiau naudojo šią antivirusinę programą, siūloma nemokama migracija. Oficialioje svetainėje pateikiamos visos reikalingos instrukcijos ir pamokos šiuo klausimu. Į pagrindinį naujosios versijos įrankių rinkinį įeina: ugniasienė, žiniatinklio valdikliai, skirti dalytis informacija apie grėsmę, privaloma antivirusinė ir pažeidžiamumo prevencijos parinktys.

„McAfee VirusScan Enterprise“ taip pat naudoja modernius mašininio mokymosi metodus. Tokios technologijos leidžia aptikti kenkėjišką kodą naudojant statinius ir elgesio atributus. Kenkėjiškos programos sulaikomos net jos įsiskverbimo į sistemą momentu, neleidžiant jai užkrėsti kitų procesų. Endpoint Detection ir Tesponse technologija yra atsakinga už galinių taškų aptikimą ir reagavimą į juos, kad galėtumėte reaguoti į grėsmes vienu paspaudimu.

Comodo Antivirus, skirta Linux

Platforma: Linux

Comodo Antivirus kūrėjai pristatė atskirą versiją operacinėms sistemoms, pagrįstoms Linux branduoliu. Šią programą palaiko dauguma platinimų, tiek 32 bitų, tiek 64. Iš funkcijų iš karto norėčiau atkreipti dėmesį į pašto filtrą, kuris yra suderinamas su populiariais pašto agentais: Postfix, Qmail, Sendmail ir Exim MTA. Gamintojas garantuoja patikimą apsaugą realiuoju laiku, lengvą montavimą ir sudėtingų konfigūravimo veiksmų nebuvimą. Anti-spam sistemą galima visiškai redaguoti rankiniu būdu, tačiau standartiniai nustatymai užtikrins gerą filtravimą. Jei vartotojas nori dar labiau valdyti failus, šią funkciją galima įtraukti. Realaus laiko elgesio analizė... Visi įtartini objektai bus siunčiami į debesies elgsenos analizės serverį.

Norint patogiai naudotis Comodo Antivirus, reikalingas galingas kompiuteris, kurio minimalus 2 GHz procesoriaus dažnis ir 2 GB laisvos RAM. Jums nereikės rūpintis dėl nuskaitymų: pakaks vieną kartą sukonfigūruoti jų planą, o ateityje jie bus paleisti automatiškai. Analizę galima pradėti bet kuriuo patogiu metu, paspaudus vieną mygtuką. Aptariama antivirusinė programa yra atvirojo kodo, platinama nemokamai ir atsisiunčiama iš oficialios svetainės.

Chkrootkit

Platforma: Linux

Chkrootkit (Check Rootkit) yra įprasta sistemos administratorių programa, skirta apsaugoti operacinę sistemą nuo žinomų rootkit. „Rootkit“ yra komponentų, tokių kaip scenarijai, vykdomieji arba konfigūracijos failai, kurie atlieka maskavimo, valdymo ir duomenų rinkimo funkciją, rinkinys. Tokių įrankių pagalba užpuolikai įsiskverbia į OS ir gauna visą jiems reikalingą informaciją. Pirmiau minėta programinė įranga skirta apsaugoti jūsų kompiuterį nuo tokios veiklos. Chkrootkit diegti nereikia ir jį galima paleisti iš tiesioginio kompaktinio disko. Darbas jame atliekamas per bet kurią patogią konsolę, o valdymas suprantamas net nepatyrusiam vartotojui.

„Chkrootkit“ veikia gana greitai, puikiai atlieka savo darbą, neužima daug vietos diske, tačiau tuo pačiu metu yra daugybė modulių kiekvienam naudotojo tipui. Oficialioje svetainėje yra įvairių plėtinių programos rinkiniai, o atsisiųsti galima iš tiesioginio šaltinio arba kelių veidrodžių.

Jūs susipažinote su antivirusiniais sprendimais, kurie bus geriausias sprendimas įvairių tipų serveriams. Kaip matote, kiekviena programinė įranga turi savo ypatybes, todėl ji bus naudingiausia tam tikrose situacijose.

Apsaugoti serverio nuo išorinės prieigos kartą ir visiems laikams neįmanoma, nes kasdien atrandama vis naujų pažeidžiamumų ir atsiranda naujų būdų nulaužti serverį. Šiame straipsnyje kalbėsime apie serverių apsaugą nuo neteisėtos prieigos.

Bet kurios įmonės serveriai anksčiau ar vėliau gali tapti įsilaužimo ar virusų atakų taikiniu. Paprastai tokios atakos pasekmė yra duomenų praradimas, reputacijos ar finansinė žala, todėl pirmiausia reikėtų pagalvoti apie serverio saugumą.

Reikėtų suprasti, kad apsauga nuo įsilaužimo į serverį yra priemonių kompleksas, įskaitant ir tą, kuris reiškia nuolatinį serverio veikimo stebėjimą ir darbą gerinant apsaugą. Apsaugoti serverio nuo išorinės prieigos kartą ir visiems laikams neįmanoma, nes kasdien atrandama vis naujų pažeidžiamumų ir atsiranda naujų būdų nulaužti serverį.

Šiame straipsnyje kalbėsime apie serverių apsaugą nuo neteisėtos prieigos.

Serverių apsaugos nuo neteisėtos prieigos būdai ir metodai

Fizinė serverio apsauga

Fizinė apsauga. Pageidautina, kad serveris būtų saugiame duomenų centre, uždarose ir saugomose patalpose, pašaliniai asmenys negalėtų prieiti prie serverio.

Nustatykite SSH autentifikavimą

Konfigūruodami prieigą prie serverio, naudokite SSH rakto autentifikavimą, o ne slaptažodį, nes tokius raktus yra daug sunkiau, o kartais tiesiog neįmanoma nulaužti naudojant daugybę parinkčių.

Jei manote, kad jums vis tiek reikia slaptažodžio, būtinai apribokite bandymų jį įvesti skaičių.

Atkreipkite dėmesį, jei prisijungdami matote tokį pranešimą:

Paskutinis nepavykęs prisijungimas: antradienis, rugsėjo 28 d., 12:42:35 MSK 2017 m. nuo 52.15.194.10 ssh: notty
Nuo paskutinio sėkmingo prisijungimo buvo 8243 nesėkmingi prisijungimo bandymai.

Tai gali reikšti, kad kažkas bandė įsilaužti į jūsų serverį. Tokiu atveju, norėdami sukonfigūruoti serverio apsaugą, pakeiskite SSH prievadą, apribokite IP, iš kurių galima prieiti prie serverio, sąrašą arba įdiekite programinę įrangą, kuri automatiškai blokuoja pernelyg dažną ir įtartiną veiklą.

Reguliariai įdiekite naujausius naujinimus

Norėdami užtikrinti serverio apsaugą, laiku įdiekite naujausius naudojamos serverio programinės įrangos – operacinės sistemos, hipervizoriaus, duomenų bazės serverio – pataisas ir atnaujinimus.

Patartina kiekvieną dieną tikrinti, ar nėra naujų pataisų, atnaujinimų ir praneštų klaidų / pažeidžiamumų, kad išvengtumėte atakų, kurios išnaudoja nulinės dienos pažeidžiamumą. Norėdami tai padaryti, užsiprenumeruokite programinės įrangos kūrimo įmonės naujienas, sekite jos puslapius socialiniuose tinkluose.

Apsaugokite slaptažodžius

Iki šiol vienas iš labiausiai paplitusių būdų pasiekti serverį yra nulaužti serverio slaptažodį. Todėl laikykitės gerai žinomų, bet vis dėlto svarbių rekomendacijų, kad nepaliktumėte serverio neapsaugoto:

  • Nenaudokite slaptažodžių, kuriuos lengva atspėti, pvz., įmonės pavadinimo.
  • jei vis dar naudojate numatytąjį administratoriaus konsolės slaptažodį, nedelsdami pakeiskite jį;
  • skirtingų paslaugų slaptažodžiai turi būti skirtingi;
  • jei jums reikia kam nors perduoti slaptažodį, niekada nesiųskite IP adreso, vartotojo vardo ir slaptažodžio tuo pačiu laišku ar žinute messengeryje;
  • Norėdami prisijungti prie administratoriaus paskyros, galite nustatyti patvirtinimą dviem veiksmais.

Ugniasienė

  • Įsitikinkite, kad serveris yra, sukonfigūruotas ir veikia visą laiką.
  • Apsaugokite tiek įeinantį, tiek išeinantį srautą.
  • Stebėkite, kurie prievadai yra atidaryti ir kokiais tikslais, neatidarykite nieko nereikalingo, kad sumažintumėte galimų pažeidžiamumų, susijusių su įsilaužimu į serverį, skaičių.

Visų pirma, ugniasienė labai padeda apsaugoti serverį nuo ddos ​​atakų, nes galite greitai sukurti draudžiančias ugniasienės taisykles ir į jas įvesti IP adresus, iš kurių vyksta ataka, arba blokuoti prieigą prie tam tikrų programų naudojant tam tikrus protokolus.

Stebėjimas ir įsibrovimų aptikimas

  • Apribokite savo serveryje veikiančią programinę įrangą ir paslaugas. Periodiškai tikrinkite viską, kas veikia, o jei radote kokių nors nepažįstamų procesų, nedelsdami juos ištrinkite ir pradėkite tikrinti, ar nėra virusų.
  • Reguliariai tikrinkite, ar nėra klastojimo požymių. Naujos naudotojų paskyros, kurių nesukūrėte, failo perkėlimas ar ištrynimas gali rodyti pažeidimą /etc/syslog.conf, ištrinti failai / etc / šešėlis ir / etc / passwrd.
  • Stebėkite savo serverio darbą, stebėkite įprastą jo greitį ir pralaidumą, kad galėtumėte pastebėti nukrypimus, pavyzdžiui, kai serverio apkrova tapo daug didesnė nei įprastai.

Naudojant VPN ir SSL / TLS šifravimą

Jei reikalinga nuotolinė prieiga prie serverio, ji turėtų būti leidžiama tik iš konkrečių IP adresų ir turėtų būti daroma per VPN.

Kitas žingsnis užtikrinant saugumą gali būti SSL nustatymas, kuris ne tik užšifruos duomenis, bet ir patikrins kitų tinklo infrastruktūros dalyvių tapatybę, išduodant jiems atitinkamus sertifikatus.

Serverio saugumo patikra

Būtų naudinga pačiam patikrinti serverio saugumą pentest metodu, t.y. atakos modeliavimas, siekiant rasti galimus pažeidžiamumus ir laiku juos pašalinti. Patartina į tai įtraukti informacijos saugumo specialistus, tačiau kai kuriuos testus galima atlikti ir savarankiškai, naudojant serverių įsilaužimo programas.

Kas dar kelia grėsmę serveriams, be įsilaužimo

Serveris gali sugesti dėl daugelio kitų priežasčių nei įsilaužimas. Pavyzdžiui, tai gali būti kenkėjiškų programų infekcija arba tiesiog fizinis bet kurio komponento gedimas.

Todėl serverio apsaugos priemonės turėtų apimti:

  • Programų, skirtų serveriui apsaugoti, diegimas ir atnaujinimas – antivirusinė.
  • Įprastos šifruotos duomenų kopijos bent kartą per savaitę, nes pagal statistiką serverių standieji diskai yra pirmoje vietoje pagal gedimų dažnį. Įsitikinkite, kad atsarginė kopija saugoma fiziškai saugioje aplinkoje.
  • Nepertraukiamo maitinimo tiekimas serverio patalpai.
  • Laiku atliekama fizinė serverių profilaktika, įskaitant jų valymą nuo dulkių ir termo pastos keitimą.

Integrus specialistų patirtis byloja, kad geriausia apsauga nuo tokių grėsmių yra geriausios praktikos taikymas serverių apsaugos sistemų srityje.

Klientų serverių saugumui užtikrinti naudojame įrankių derinį: ugniasienės, antivirusinės, saugumo / įvykių valdymo technologijos (SIM / SEM), įsibrovimų aptikimo / apsaugos technologijos (IDS / IPS), tinklo elgsenos analizės technologijos (NBA) , žinoma, reguliari profilaktinė priežiūra.serveriai ir saugių serverių kambarių sutvarkymas iki galo. Tai leidžia iki minimumo sumažinti įsilaužimo ar serverio gedimo dėl kitų priežasčių riziką.

Esame pasirengę atlikti Jūsų įmonės serverių saugumo auditą, konsultuoti specialistus, atlikti visų tipų serverių įrangos apsaugos nustatymo darbus.

Čitos valstybinis universitetas Energetikos institutas Ekonomikos ir informatikos fakultetas Taikomosios informatikos ir matematikos katedra Santrauka tema: PC vartotojas tema: Antivirusinė programinė įranga serveriams Atlieka: Art. gr. PI-07-1 Zlova V.V. Patikrinta: str. Rev. skyrius PIMMonich I.P. Čita, 2007 m Turinys

Įvadas. 3

1 Failų serveriai kaip vienas iš virusų plitimo šaltinių. 5

2 Antivirusinė programinė įranga LAN serveriams. 5

3 Antivirusinė programinė įranga pašto serveriams. aštuoni

4 Kaspersky Anti-Virus. vienuolika

Išvada. 17

Naudotos literatūros sąrašas .. 18

Įvadas Kompiuteriniai virusai šiandien yra viena iš pavojingiausių grėsmių informacijos saugumui. Kompiuterinis virusas – tai specialiai parašyta programa, galinti spontaniškai prisijungti prie kitų programų, kurti savo kopijas ir įterpti jas į failus, kompiuterio sistemos sritis ir kompiuterių tinklus, kad sutrikdytų programų veikimą, sugadintų failus ir katalogus, sukurtų visų rūšių trukdžių kompiuteriui.

Informacijos saugumas suprantamas kaip informacijos ir ją palaikančios infrastruktūros saugumas nuo bet kokios atsitiktinės ar kenkėjiškos įtakos, dėl kurios gali būti padaryta žala pačiai informacijai, jos savininkams ar pagalbinei infrastruktūrai. Informacijos saugumo užduotys sumažinamos iki minimumo sumažinant žalą, taip pat numatant ir užkertant kelią tokiems poveikiams.

Daugeliui organizacijų tinklo išteklių apsauga nuo neteisėtos prieigos tampa viena iš opiausių problemų. Ypatingą susirūpinimą kelia tai, kad internetas dabar plačiai naudojamas įvairiems duomenims ir konfidencialiai įmonių informacijai transportuoti ir saugoti.

Informacijos apsaugos uždavinys ypač aktualus internetinių informacijos duomenų bazių savininkams, elektroninių žurnalų leidėjams ir kt.

Iki šiol buvo sukurta daug antivirusinių programų, skirtų kovai su virusais Antivirusinė programa (antivirusinė) iš pradžių yra programa, skirta aptikti ir gydyti programas, užkrėstas kompiuteriniais virusais, taip pat užkirsti kelią failo užkrėtimui virusu (pvz. vakcinacijos būdu). Daugelis šiuolaikinių antivirusinių programų taip pat gali aptikti ir pašalinti Trojos arklius ir kitas kenkėjiškas programas. Antivirusinė programinė įranga susideda iš kompiuterių programų, kurios bando aptikti, užkirsti kelią ir pašalinti kompiuterių virusus ir kitas kenkėjiškas programas.Antivirusinė programinė įranga padeda apsaugoti kompiuterį nuo žinomų virusų, kirminų, Trojos arklių ir kitų kenkėjiškų programų, kurios gali sugesti. Failų ir pašto serveriai dabar yra pagrindinis duomenų valdymo įrankis. Duomenų saugojimas, keitimasis ir perdavimas yra pagrindiniai tokio valdymo uždaviniai, tačiau jie neįmanomi be lengvos informacijos prieigos, duomenų integravimo ir sistemos stabilumo. Failų serveris yra vienas iš labiausiai pažeidžiamų tinklo išteklių. Užkrėtimo ar gedimo atveju prieiga prie kitų tinklo išteklių gali būti apribota. Vienas užkrėstas failas gali užkrėsti didelį duomenų kiekį, prarasti duomenų integravimą ir sutrikti sistemos veikimas. Ši rizika prisideda prie didelių serverio ir tinklo valdymo produktų kainų. „Viešieji“ failų serveriai ir elektroninės konferencijos yra vienas iš pagrindinių virusų šaltinių. Beveik kiekvieną savaitę gaunamas pranešimas, kad vartotojas savo kompiuterį užkrėtė virusu, kuris buvo pašalintas iš BBS, ftp serverio ar kokios nors elektroninės konferencijos. Tuo pačiu metu viruso autorius dažnai užkrėstus failus „įdeda“ į keletą BBS / ftp arba siunčia į kelias konferencijas vienu metu, o šie failai yra užmaskuojami kaip naujos kai kurios programinės įrangos versijos (kartais - naujomis antivirusų versijomis). . Masiškai siunčiant virusą į ftp / BBS failų serverius, tūkstančiai kompiuterių gali būti užkrėsti beveik vienu metu, tačiau dažniausiai „pasodinami“ DOS arba Windows virusai, kurių plitimas šiuolaikinėmis sąlygomis yra daug mažesnis nei kad makrovirusai. Dėl šios priežasties tokie incidentai beveik niekada nesibaigia didžiulėmis epidemijomis, ko negalima pasakyti apie makrovirusus. 2 Antivirusinė programinė įranga LAN serveriams Veiksmingos antivirusinės apsaugos klausimai šiandien yra aktualesni tiek verslo sektoriuje, tiek tarp privačių vartotojų, tačiau, priešingai nei pastarųjų, įmonių problemos ir uždaviniai yra daug rimtesni ir reikalauja kitokio lygio sprendimų. Įmonių informacinių sistemų administratoriai turi įdiegti antivirusinius įrankius, juos sukonfigūruoti ir konfigūruoti atnaujinimo politiką, taip pat užtikrinti, kad antivirusinės programos būtų nuolat įjungtos šimtuose ar net tūkstančiuose kompiuterių – ir dažnai visa tai tenka daryti rankiniu būdu. Vietiniai tinklai yra vienas iš pagrindinių virusų šaltinių. Jei nesiimsite reikiamų apsaugos priemonių, užkrėsta darbo vieta, patekusi į tinklą, užkrečia vieną ar kelis tarnybinius failus serveryje (Novell NetWare atveju LOGIN.COM). Kitą dieną prisijungę prie tinklo vartotojai paleidžia užkrėstus failus. Vietoj paslaugų failo LOGIN.COM taip pat gali būti serveryje įdiegta įvairi programinė įranga, įmonėje naudojami standartiniai dokumentai-šablonai ar Excel lentelės.

Pavojus užsikrėsti kompiuterių tinkluose yra realus bet kuriai įmonei, tačiau virusinė epidemija gali išsivystyti vietiniuose didelių ekonominių ir pramoninių kompleksų tinkluose su plačiai paplitusia infrastruktūra. Jų kompiuterių tinklai, kaip taisyklė, buvo kuriami etapais, naudojant įvairią techninę ir programinę įrangą. Akivaizdu, kad tokioms įmonėms antivirusinės apsaugos klausimas tampa labai sudėtingas ne tik technine, bet ir finansine prasme.

Tuo pačiu metu šios problemos sprendimas pasiekiamas derinant organizacines priemones ir programinės bei techninės įrangos sprendimus. Šis metodas nereikalauja didelių techninių ir neatidėliotinų finansinių išlaidų ir gali būti taikomas visapusiškai antivirusinei bet kurios įmonės vietinio tinklo apsaugai.

Tokios antivirusinės apsaugos sistemos kūrimas gali būti grindžiamas šiais principais:

Vieningos techninės politikos įgyvendinimo principas pagrindžiant antivirusinių produktų pasirinkimą įvairiems vietinio tinklo segmentams;

Viso organizacijos vietinio tinklo aprėpties antivirusine sistema išsamumo principas;

Įmonės vietinio tinklo nuolatinio stebėjimo principas, kad laiku būtų aptikta kompiuterinė infekcija;

Antivirusinės apsaugos centralizuoto valdymo principas;

Vieningos techninės politikos įgyvendinimo principas numato visuose vietinio tinklo segmentuose naudoti tik antivirusinę programinę įrangą, kurią rekomenduoja įmonės antivirusinės apsaugos skyrius. Ši politika yra ilgalaikio pobūdžio, patvirtinta įmonės vadovybės ir yra pagrindas tikslingai ir ilgalaikei antivirusinės programinės įrangos produktų įsigijimo ir tolesnio jų atnaujinimo išlaidų planavimui.

Vietinio tinklo antivirusinės apsaugos sistemos aprėpties išsamumo principas numato laipsnišką antivirusinės apsaugos programinės įrangos įvedimą į tinklą iki visiško prisotinimo kartu su organizacinėmis ir režiminėmis informacijos apsaugos priemonėmis.

Nuolatinio vietinio tinklo antivirusinės būklės stebėjimo principas reiškia tokį jo apsaugos organizavimą, kuris suteikia nuolatinę galimybę stebėti tinklo būseną, kad būtų galima aptikti virusus.

Antivirusinės apsaugos centralizuoto valdymo principas numato sistemos valdymą iš vienos institucijos, naudojant techninę ir programinę įrangą. Būtent ši įstaiga organizuoja centralizuotą kontrolę tinkle, iš jų darbo vietų gauna kontrolės duomenis ar ataskaitas iš vartotojų apie virusų aptikimą ir užtikrina priimtų antivirusinės apsaugos sistemos valdymo sprendimų įgyvendinimą. didelės organizacijos vietinis tinklas yra sudėtinga problema, kuri neapsiriboja paprastu antivirusinių produktų įdiegimu. Paprastai reikia sukurti atskirą posistemį. Techniniu požiūriu, sprendžiant šią problemą, ypatingas dėmesys turėtų būti skiriamas visų naujai įsigytų antivirusinių programų testavimui, taip pat antivirusinių paketų įdiegimui pašto serveriuose. 3 Antivirusinė programinė įranga pašto serveriams

Jei kompiuterinių technologijų vystymosi aušroje pagrindinis virusų plitimo kanalas buvo programų failų mainai per diskelius, tai šiandien delnas priklauso el. El. paštas yra patogi ir nepakeičiama dalykinio bendravimo priemonė. Tačiau dauguma virusų ir šiukšlių plinta el. paštu, tai gali būti konfidencialių duomenų nutekėjimo kanalas. Kasdien jos kanalais perduodama milijonai pranešimų, o daugelis šių pranešimų yra užkrėsti virusais.

Deja, priedų failai, perduodami su el. pašto žinutėmis, taip pat gali būti labai pavojingi jūsų kompiuterio sveikatai. Kokie yra priedų failų pavojai? Kaip toks failas, vartotojui gali būti išsiųstas virusas arba Trojos arklys arba Microsoft Office formato dokumentas (* .doc, * .xls), užkrėstas kompiuteriniu virusu. Paleidęs gautą programą vykdyti arba atidaręs dokumentą peržiūrėti, vartotojas gali inicijuoti virusą arba įdiegti Trojos arklys savo kompiuteryje. Be to, dėl neteisingų pašto programos nustatymų ar klaidų joje, peržiūrint gautų laiškų turinį, priedų failai gali atsidaryti automatiškai. Tokiu atveju, jei nesiimsite jokių apsaugos priemonių, tai bus laiko klausimas, kada į kompiuterį pateks virusai ar kitos kenkėjiškos programos Galimi ir kiti bandymai įsiskverbti į kompiuterį el. Pavyzdžiui, jie gali siųsti pranešimą HTML dokumento forma, kuriame yra įterptas Trojos arklys ActiveX valdiklis. Atidarę tokį pranešimą, galite atsisiųsti šį elementą į savo kompiuterį, po kurio jis iš karto pradės atlikti savo darbą Elektroninio pašto trojos arklys – Trojos arklys, leidžiantis „ištraukti“ slaptažodžius ir kitą informaciją iš kompiuterio failų ir išsiųsti š. paštu savininkui. Tai gali būti tiekėjo prisijungimai ir interneto slaptažodžiai, pašto dėžutės slaptažodis, ICQ ir IRC slaptažodžiai ir kt. Norėdami išsiųsti laišką savininkui paštu, Trojos arklys susisiekia su svetainės pašto serveriu naudodamas SMTP protokolą (pvz., adresu smtp.mail.ru). Surinkęs reikiamus duomenis, Trojos arklys patikrins, ar duomenys buvo išsiųsti. Jei ne, duomenys siunčiami ir saugomi registre. Jei jie jau išsiųsti, tada ankstesnis laiškas ištraukiamas iš registro ir lyginamas su dabartiniu. Jeigu pasikeitė informacija (atsirado naujų duomenų), tada laiškas išsiunčiamas, o registre įrašomi nauji slaptažodžių duomenys. Trumpai tariant, tokio tipo Trojos arklys tiesiog renka informaciją, o nukentėjusysis gali net nenutuokti, kad jo slaptažodžiai kažkam jau žinomi.Tokio Trojos arklys archyve dažniausiai yra 4 failai: serverio redaktorius (konfigūratorius), Trojos arklys, a pakuotojo (klijuotojo) bylos, naudojimo instrukcija.Darbo rezultatu galima nustatyti tokius duomenis: 1) nukentėjusiojo kompiuterio IP adresą 2) detalią informaciją apie sistemą (kompiuterio pavadinimas ir vartotojo vardas, „Windows“ versija, modemas ir kt.); 3) visi talpykloje saugomi slaptažodžiai; 4) visi telefono ryšio nustatymai, įskaitant telefono numerius, prisijungimus ir slaptažodžius; 5) slaptažodžiai iš ICQ; 6) paskutinių aplankytų svetainių skaičius. Be grynai administracinių priemonių, kovai su virusais ir kitomis kenkėjiškomis programomis turi būti naudojama speciali antivirusinė programinė įranga (antivirusai), siekiant apsisaugoti nuo virusų, plintančių elektroniniu paštu, siuntėjo ir gavėjo kompiuteriuose galite įdiegti antivirusines programas. Tačiau šios apsaugos dažnai nepakanka. Įprastos interneto vartotojų kompiuteriuose įdiegtos antivirusinės programos yra skirtos failams nuskaityti ir ne visada gali analizuoti el. pašto duomenų srautą. Jei antivirusinė programa automatiškai nenuskaito visų atidarytų failų, tai virusas ar Trojos arklys gali nesunkiai prasiskverbti pro apsaugą į kompiuterio diską.Be to, antivirusinių programų efektyvumas labai priklauso nuo jų naudojimo taisyklių laikymosi: būtina periodiškai atnaujinti antivirusinę duomenų bazę, naudoti tinkamus antivirusinių skaitytuvo nustatymus ir kt. Deja, daugelis kompiuterių savininkų nemoka teisingai naudotis antivirusine programine įranga arba neatnaujina antivirusinės duomenų bazės, todėl neišvengiamai užsikrečiama virusais.Suprasdamos virusų plitimo elektroniniu paštu problemos aktualumą, daugelis įmonių siūlo specialias antivirusines programas. pašto serverių apsaugos programos. Tokios antivirusinės programos analizuoja duomenų srautą, einantį per pašto serverį, neleisdamos perduoti pranešimų su užkrėstais priedų failais. Yra ir kita išeitis – prisijungti prie pašto serverių įprastų antivirusinių, skirtų failams nuskaityti.. SMTP ir POP3 pašto serverių antivirusinė apsauga yra daug efektyvesnė nei vartotojų kompiuterių antivirusinė apsauga. Paprastai antivirusines programas serveryje sukonfigūruoja patyręs administratorius, kuris nesuklys nustatydamas ir, be to, įjungs automatinio duomenų bazės atnaujinimo režimą per internetą. Saugių SMTP ir POP3 serverių naudotojams nereikia rūpintis pagrindiniu virusų platinimo kanalu – jie gaus žinutes, kurios jau buvo išvalytos nuo virusų Pašto serverių veiksmai siunčiant ir gaunant užkrėstus pranešimus priklauso nuo antivirusinės programos nustatymų. ir pats pašto serveris. Pavyzdžiui, kai siuntėjas bando išsiųsti pranešimą su užkrėstu failu, saugus SMTP pašto serveris jį atsisakys, o pašto programa parodys įspėjamąjį pranešimą; jei kas nors atsiųs el. laišką su užkrėsto failo priedu jūsų adresu, tada Naudodami saugų POP3, gausite tik pranešimą apie viruso aptikimą. Nepaisant nuolat augančio Microsoft Windows platformos populiarumo, dauguma interneto serverių šiandien naudoja Linux, FreeBSD ir panašias į UNIX sistemas. Pagrindinis Linux pranašumas yra labai maža įsigijimo kaina. Kiekvienas gali atsisiųsti „Linux“ platinimą internetu ir įdiegti jį į bet kokį skaičių kompiuterių. Šiame paskirstyme yra viskas, ko reikia interneto svetainei sukurti, įskaitant el. pašto serverius. Kiti Linux ir panašių operacinių sistemų pranašumai yra atvirumas, šaltinio kodo prieinamumas, didžiulė savanorių kūrėjų bendruomenė, kuri yra pasiruošusi padėti. sudėtingose ​​situacijose paprastas nuotolinio valdymo pultas naudojant teksto konsolę ir kt. Šios serijos OS buvo sukurta tik kelios dešimtys virusų, o tai rodo aukštą jos saugumą.

4 Kaspersky Anti-Virus

Remdamiesi aukščiau pateiktais samprotavimais ir pavyzdžiais, galime suformuluoti pagrindinius darbo stočių antivirusinės programos reikalavimus. Akivaizdu, kad šie reikalavimai skirsis skirtingų klasių darbo stotims.

„Windows“ darbo stočių antivirusiniai reikalavimai

Kaip ir anksčiau, reikalavimai bus suskirstyti į kelias kategorijas:

  1. Bendrieji reikalavimai- patikimumas, našumas, naudojimo paprastumas, pigumas - nėra prasmės kartoti dar kartą
  2. Pirminiai reikalavimai- kaip pagrindinės užduoties pasekmė:
    • Visų failų nuskaitymas vietiniuose diskuose, kurie yra pasiekiami – skaitymui, rašymui, paleidimui – siekiant nustatyti ir neutralizuoti kompiuterinius virusus
    • Tikrinami išimami ir tinklo diskai
    • Atminties patikrinimas
    • Tikrinant, ar gaunamuose ir siunčiamuose pranešimuose nėra virusų, reikia patikrinti ir pačius laiškus, ir jų priedus
    • Tikrinami scenarijai ir kiti aktyvūs tinklalapių elementai
    • Tikrinamos makrokomandos Microsoft Office dokumentuose ir kitų programų failuose
    • Sudėtinių failų nuskaitymas – archyvai, savaime išsiskleidžiantys archyvai, supakuoti vykdomieji failai, pašto duomenų bazės, pašto formato failai, OLE konteineriai
    • Galimybė pasirinkti įvairius veiksmus su užkrėstais failais, paprastai:
      • blokavimas (tikrinus realiuoju laiku)
      • registravimas (nuskaitymas pagal pareikalavimą)
      • ištrynimas
      • karantinas
      • gydymas
      • prašydamas vartotojo atlikti veiksmą
    • Užkrėstų failų gydymas
    • Užkrėstų failų valymas archyvuose
    • Pageidautina – aptikti galimai nepageidaujamas programas (reklaminių ir šnipinėjimo programų modulius, įsilaužėlių įrankius ir kt.)
  3. Valdymo reikalavimai
    • Vietinė GUI
    • Nuotolinio ir centralizuoto valdymo galimybė (įmonės versija)
    • Galimybė planuoti nuskaitymo ir atnaujinimo užduočių paleidimą
    • Galimybė pradėti bet kokią užduotį arba atlikti bet kokį veiksmą pagal poreikį (rankiniu būdu)
    • Galimybė apriboti neprivilegijuoto vartotojo veiksmus, susijusius su antivirusiniu kompleksu
  4. Atnaujinimo reikalavimai
    • Įvairių naujinimo šaltinių palaikymas, standartinis:
      • HTTP arba FTP šaltinis
      • Vietinis arba tinklo aplankas
      • Centralizuota naujinimo sistema (įmoninėse versijose)
    • Galimybė atnaujinti antivirusines duomenų bazes, antivirusinį variklį ir programų modulius
    • Galimybė atnaujinti rankiniu būdu pagal poreikį arba automatiškai pagal grafiką
    • Galimybė atšaukti antivirusinių duomenų bazių atnaujinimus
  5. Diagnostikos reikalavimai
    • Vietinio vartotojo informavimas apie svarbius įvykius – virusų aptikimą, antivirusinės būsenos pasikeitimą ir kt.
    • Antivirusinės programos ir (arba) atskirų užduočių žurnalų tvarkymas
    • Antivirusinės saugos administratoriaus pranešimas (įmonėje)
Antivirusiniai reikalavimai Linux / Unix darbo stotims
  1. Bendrieji reikalavimai- praktiškai nesikeičia: patikimumas, našumas, maža kaina. Naudojimas Unix sistemose tradiciškai vertinamas pagal kiek kitokius kriterijus nei Windows sistemose, nors tokia padėtis pamažu ima keistis reikalavimų suvienodinimo link
  2. Pirminiai reikalavimai- remiantis tikslu:
    • Savavališkų failų ir katalogų virusų nuskaitymas pagal pareikalavimą
    • Norint pasiekti failus, pageidautina, bet ne itin svarbu, nuskaityti tam tikrus katalogus realiuoju laiku. Jeigu toks funkcionalumas tikrai reikalingas, tai kalbame ne tiek apie darbo stotį, kiek apie serverį – Unix sistemose ryškaus skirtumo tarp jų nėra.
    • Virusų aptikimas sudėtiniuose objektuose – archyvuose, savaime išsiskleidžiančiuose archyvuose, supakuotuose vykdomuosiuose moduliuose, pranešimų duomenų bazėse, pašto formato failuose, OLE konteineriuose – neapsiribojant Unix aplinkoje įprastais formatais
    • Galimybė pasirinkti veiksmą aptikus užkrėstus failus, paprastai:
      • Ištrinti
      • perkelti arba pervardyti
      • gydyti
      • rašyti informaciją į ataskaitą
      • paprašyti vartotojo imtis veiksmų (kai tikrinama pagal poreikį)
    • Užkrėstų failų gydymas
    • Pageidautina – galimybė gydytis archyvuose
  3. Valdymo reikalavimai
    • Vietinis valdymas redaguojant konfigūracijos failus
    • Pageidautina – nuotolinis valdymas per žiniatinklio sąsają
    • Gebėjimas planuoti užduočių pradžią ir veiksmų atlikimą
    • Gebėjimas atlikti užduotis ir veiksmus rankiniu būdu
  4. Diagnostikos reikalavimai
    • Darbo žurnalų vedimas
    • Antivirusinės apsaugos administratoriaus pranešimas

Serverio apsauga

Apskritai antivirusinė apsauga serveriai ne taip skiriasi nuo darbo vietos apsaugos, kaip, pavyzdžiui, nuo šliuzo apsaugos. Pagrindinės grėsmės ir technologijos joms atremti išlieka tos pačios – tik perkeliami akcentai.

Tinklo serveriai, kaip ir darbo stotys, natūraliai skirstomi į klases pagal naudojamas operacines sistemas:

  • Windows serveriai
  • „Novell Netware“ serveriai
  • Unix serveriai

Padalijimo principą lemia įvairioms operacinėms sistemoms būdingos virusų grėsmės ir dėl to skirtingos galimybės apibrėžiant pagrindinę antivirusinės programos užduotį.

Serverio apsaugos produktų atveju nėra skirstymo į asmeninius ir tinklo produktus – visi produktai yra tinklo (įmonės). Daugelis gamintojų net neskirsto įmonių produktų į skirtus darbo stotims ir failų serveriams – jie turi vieną produktą.

Konkrečios grėsmės ir atsakomosios priemonės

Visos serveriui būdingos grėsmės yra susijusios ne tiek su serverių operacinių sistemų savybėmis, kiek su serveriams būdingos pažeidžiamos programinės įrangos naudojimu.

Microsoft Windows serveriai

„Windows“ serveriams aktualios visos tos pačios grėsmės, kaip ir darbo stotims, kuriose veikia „Windows NT / 2000 / XP“. Vieninteliai skirtumai yra vyraujantis serverių veikimo būdas, dėl kurio atsiranda daugybė papildomų atakų, kurios nėra būdingos darbo stotims.

Taigi vartotojai retai dirba tiesiogiai už „Windows“ serverių, o tai reiškia, kad serveriuose esantys pašto klientai ir biuro programos paprastai nenaudojamos. Dėl to „Windows“ serveriuose mažiau reikalingi pašto apsaugos reikalavimai pašto kliento lygiu ir papildomos makrovirusų aptikimo priemonės.

Pavyzdys... Skirtingai nuo „Kaspersky Anti-Virus for Windows Workstations“, „Kaspersky Anti-Virus for Windows“ failų serveriams trūksta makrokomandų, vykdomų dirbant su „Microsoft Office“ dokumentais, elgesio analizės modulio ir gaunamo ir siunčiamo pašto nuskaitymo modulio. Tai nereiškia, kad gaminiui trūksta apsaugos nuo makrovirusų ir pašto kirminų – kaip jau minėta, galiausiai visus atidarytus failus tikrina failų sistemos apsaugos realiuoju laiku modulis – tiesiog serverio veikimo specifika nesikeičia. reikalingos papildomos apsaugos, kaip buvo darbuotojų atveju.

Kita vertus, tokios paslaugos kaip Microsoft SQL Server ir Microsoft IIS gali būti naudojamos Windows serveriuose daug dažniau nei darbo stotyse. Kaip ir pačiose „Microsoft“ (ir ne tik „Microsoft“) sukurtose operacinėse sistemose, šiose paslaugose gali būti spragų, kuriomis savo laiku virusų autoriai naudojosi ne kartą.

Pavyzdys... 2003 m. atsirado kirminas Net-Worm .Win32.Slammer ir tiesiogine to žodžio prasme apėmė internetą, kuris išnaudojo Microsoft SQL Server 2000 pažeidžiamumą. Slammer neišsaugojo savo failų diske, o buvo vykdomas tiesiogiai SQL serverio adresų erdvėje. taikymas. Tada kirminas atakavo atsitiktinius IP adresus tinkle begaliniu ciklu, bandydamas išnaudoti tą patį pažeidžiamumą, kad įsiskverbtų. Dėl kirmino veiklos serveriai ir interneto ryšio kanalai buvo taip perkrauti, kad ištisi tinklo segmentai buvo nepasiekiami. Epidemija ypač stipriai nukentėjo Pietų Korėjoje. Pažymėtina, kad kirminas neatliko jokių kitų veiksmų, išskyrus reprodukciją.

Pavyzdys... Anksčiau, 2001 m., „Microsoft IIS 5.0“ pažeidžiamumu išplatino „Net-Worm .Win32“ kirminas. CodeRed .a. Epidemijos pasekmės nebuvo tokios įspūdingos kaip Slammer kirmino atveju, tačiau naudojant CodeRed .a užkrėstus kompiuterius, JAV Baltųjų rūmų svetainėje (www.whitehouse.gov) buvo sėkmingai bandoma įdiegti DDoS. ). CodeRed .a taip pat neišsaugojo failų užkrėstų serverių diskuose.

Abiejų kirminų ypatumas yra tas, kad failų sistemos tikrinimo modulis (bent jau paprašius, bent jau prieiga) yra bejėgis prieš juos. Šie kirminai neišsaugo savo kopijų diske ir visiškai nerodo savo buvimo sistemoje, išskyrus padidėjusį tinklo aktyvumą. Šiandien pagrindinė apsaugos rekomendacija – operacinės sistemos ir naudojamos programinės įrangos pataisų įdiegimas laiku. Kitas būdas yra sukonfigūruoti ugniasienes taip, kad pažeidžiamų tarnybų naudojami prievadai būtų nepasiekiami iš išorės – tai pagrįstas reikalavimas Slammer apsaugos atveju, tačiau nepriimtinas CodeRed apsaugai.

Windows serveriams išlieka aktualūs kirminai, atakuojantys jau tiesiogiai jau pažeidžiamas operacinės sistemos paslaugas, tokias kaip Lovesan, Sasser, Mytob ir kt.. Apsaugą nuo jų reikėtų užtikrinti kompleksinėmis priemonėmis – naudojant ugniasienes, diegiant pataisas, naudojant prieigos patvirtinimą. (paminėti kirminai sėkmingos atakos atveju išsaugo savo failus į jūsų standųjį diską).

Atsižvelgdami į atakų pobūdį, galime daryti išvadą, kad pagrindiniai „Windows“ serverių apsaugos įrankiai yra: failų nuskaitymo prieiga modulis, failų nuskaitymo pagal pareikalavimą modulis, scenarijų tikrinimo modulis, o pagrindinės technologijos yra parašo ir euristinė analizė (taip pat kaip elgsenos - scenarijaus tikrinimo modulyje) ...

„Novell Netware“ serveriai

Nėra jokių specifinių virusų, galinčių užkrėsti Novell Netware. Tačiau yra keletas Trojos arklių, kurie vagia prieigos prie „Novell“ serverių teises, tačiau jie vis tiek skirti veikti „Windows“.

Atitinkamai, Novell Netware serverio antivirusinė programa iš tikrųjų nėra skirta apsaugoti šį serverį. Kokios tada jo funkcijos? Siekiant užkirsti kelią virusų plitimui. Dauguma Novell Netware serverių naudojami kaip failų serveriai; Windows kompiuterių vartotojai gali saugoti savo failus tokiuose serveriuose arba paleisti programas, esančias Novell Netware tomuose. Norint užkirsti kelią virusams patekti į bendrinamus Novell serverio išteklius arba paleisti / nuskaityti virusus iš tokių išteklių, reikalinga antivirusinė programa.

Atitinkamai, pagrindiniai įrankiai, naudojami Novell Netware antivirusinėje programoje, yra prieigos nuskaitymas ir nuskaitymas pagal poreikį.

Iš specifinių technologijų, naudojamų Novell Netware antivirusinėse programose, būtina atkreipti dėmesį į stočių ir (arba) vartotojų, rašančių į serverį kenkėjiškas programas, blokavimą.

Unix serveriai

Apie Unix serverius galima pasakyti tą patį, kaip ir apie Novell Netware serverius. Unix serverių antivirusinė programa išsprendžia ne tiek pačių serverių apsaugos nuo užkrėtimo, kiek virusų plitimo per serverį prevencijos problemą. Tam naudojami visi tie patys du pagrindiniai įrankiai:

  • Failų nuskaitymas pagal pareikalavimą
  • Tikrinami prieigos failai

Pavyzdys... „Kaspersky Anti-Virus for Unix“ / „Linux“ failų serveriuose yra prieigos nuskaitymo modulis, o „Kaspersky Anti-Virus for Linux Workstations“ tokio modulio neturi. Taip yra dėl įvairių Linux darbo stočių ir serverių funkcijų – tinkle, sukurtame išskirtinai (arba daugiausia) ant Linux stočių, virusų užsikrėtimo pavojaus praktiškai nėra, todėl nereikia skubiai modulio, valdančio visą failą. operacijos. Priešingai, jei „Linux“ kompiuteris aktyviai naudojamas failams saugoti ir perkelti (ypač „Windows“ tinkle), tai iš tikrųjų yra serveris ir jam reikia nuolatinio failų valdymo priemonių.

Daugelis gerai žinomų kirminų Linux sistemoje naudoja pažeidžiamumui platinti ne pačioje operacinėje sistemoje, o sistemoje ir taikomojoje programinėje įrangoje – wu-ftpd ftp serveryje, Apache žiniatinklio serveryje. Akivaizdu, kad tokios aplikacijos serveriuose naudojamos dažniau nei darbo stotyse, o tai yra papildomas argumentas patobulintų serverių saugumo priemonių naudai.

Skirtingai nuo „Novell“ serverių, kuriuose yra integruotas „Microsoft“ tinklo palaikymas, „Unix“ serveriai pagal numatytuosius nustatymus nėra skirti SMB / CIFS failų perdavimui. Tam naudojamas specialus programinės įrangos paketas – Samba, leidžiantis kurti bendrinamus išteklius, suderinamus su Microsoft tinklais.

Jei failais keičiamasi tik naudojant SMB / CIFS protokolus, akivaizdu, kad nėra prasmės kontroliuoti visų failų operacijų, pakanka patikrinti tik failus, perkeltus naudojant „Samba“ serverį.

Pavyzdys... Kaspersky Lab produktų linijoje yra specialus sprendimas – Kaspersky Anti-Virus for Samba Server, sukurtas specialiai apsaugoti bendrinamus aplankus, sukurtus Unix serveriuose naudojant Samba programinę įrangą. Šiame gaminyje nėra modulio, kuris valdo failų operacijas; vietoj to jis naudoja „Samba“ integruotą filtrą, kuris perima visus perkeltus failus.

© Autorių teisės 2021, emupauto.ru – apdaila. Armatūra. Remontas. Montavimas. Pasirinkimas. Atidarymas.