Prosedyren for å implementere antivirusbeskyttelse. Konfigurere antivirusbeskyttelse Opprette en antivirusbeskyttelsesserver

Installasjon

VYACHESLAV MEDVEDEV, ledende analytiker ved utviklingsavdelingen til Doctor Web

Prosedyre for implementering av antivirusbeskyttelse

Ganske ofte, på tidspunktet for valg (og noen ganger til og med på kjøpstidspunktet), er klienter interessert i anbefalinger om prosedyren for å distribuere antivirusbeskyttelse eller stadiene for å erstatte et tidligere brukt produkt. Denne artikkelen vil snakke om hvordan du organiserer prosessen riktig

Et ekstremt viktig poeng. Dessverre, i de fleste tilfeller går kontakter om salgsproblemer med ledere, og spørsmålet om testing overføres til systemadministratorer. Resultatet er ofte en rapport som forbløffer selv leverandøren. Feil produktnavn, eldgamle versjoner, indikasjoner på fravær av funksjonalitet som faktisk har vært tilgjengelig i flere år osv. Alt må gjøres om, men toget har allerede gått, og bedriftens ære hindrer oss i å innrømme at våre spesialister mangler de nødvendige kvalifikasjonene.

1) Studere løsningens muligheter under testinstallasjoner av beskyttelsessystemer for arbeidsstasjoner, filservere, e-postservere, samtjonsservere. Det er også noen fallgruver her. Merkelig nok, ganske ofte vet ikke kundene hva de trenger. Og hvis spørsmålet gjaldt funksjonalitet, ville det være forståelig. Ofte forårsaker selv spørsmålet om en liste over programvare som brukes i en organisasjon, vanskeligheter, som igjen ikke tillater å generere forslag til en liste over levert programvare.

Det andre problemet er knyttet til det faktum at systemadministratorer (som som regel utfører testing) kjenner produktene som brukes godt, men (naturligvis) ikke kjenner til fordelene og ulempene med produktet som testes (men samtidig forventer at det vil være fallgruver ved kjøp av produktet). Følgelig anbefales det å bli enige med den foreslåtte leverandøren om en liste over prosedyrer som vil bli implementert ved bruk av det kjøpte produktet og be om trinnvise instruksjoner for denne funksjonaliteten eller, i mangel av slike instruksjoner, testinstruksjoner. Dette vil unngå å kaste bort tid på å studere ikke-opplagte problemer.

2) Kontrollere gyldigheten av sikkerhetspolicyer utformet i samsvar med selskapets informasjonssikkerhetspolicy. På grunn av det faktum at hvert produkt implementerer funksjonaliteten som kreves av selskapet på sin egen måte (det tillater for eksempel eller ikke tillater bruk av en vilkårlig nettleser for administrasjon), kan både listen over trinn i prosedyren og dens varighet avvike. I normale tider er ikke dette kritisk, men ved en virushendelse kan hvert sekund være verdifullt.

3) Kontrollere kompatibiliteten til Dr.Web programvare og programvare som brukes i selskapet. Programvareinkompatibilitet er sjelden, men denne muligheten kan ikke ignoreres. Derfor er dette trinnet også obligatorisk under testing av det foreslåtte produktet.

4) Avklaring av Dr.Web-programvaredistribusjonsplanen basert på resultatene av testinstallasjoner i samsvar med strukturen til selskapets bedriftsnettverk og arbeidsplanen til ansatte.

a) Avklaring av utrullingstiden for Dr.Web-programvarekomponenter i selskapets lokale nettverk. Ganske ofte under anskaffelse stilles spørsmålet om tiden som kreves for utplassering. Praksis viser at i de aller fleste tilfeller avhenger varigheten av utplasseringen utelukkende av selskapets spesialister. I følge samme praksis er en helg nok til å fullstendig overføre et selskap fra et beskyttelsessystem til et annet med et antall stasjoner som nærmer seg tusen.

b) Velge type distribusjon av Dr.Web-programvare på lokale stasjoner og filservere (AD policy, lansering av distribusjoner lokalt, skanning av nettverket for ubeskyttede stasjoner, etc.). Avhengig av nettverksbåndbredde, Active Directory-tilgjengelighet og sikkerhetskrav for avdelingskontorer og eksterne arbeidere, kan et selskap velge en rekke distribusjonsalternativer (se figur 1).

c) Velge rekkefølge og tidspunkt for programvaredistribusjon i samsvar med strukturen til selskapets bedriftsnettverk og arbeidsplanen til ansatte. Det er avgjørende å sikre forretningskontinuitet under en sikkerhetsdistribusjon. I følge ondskapens lov er det nettopp i øyeblikket av mangel på beskyttelse at de mest forferdelige infeksjonene kan oppstå.

Et eksempel på et antivirusinstallasjonsopplegg på et bedriftsnettverk er vist i fig. 2.

5) Opplæring av bi hvordan de jobber med programvaren.

6) Øve prosedyrer knyttet til å fjerne antivirusprogramvaren som brukes og installere programvaren.

Merkelig nok reiser det mange spørsmål å fjerne antiviruset du bruker. Kunder krever at det installerte antivirusprogrammet fjerner det tidligere brukte. Dessverre er dette i de fleste tilfeller ikke mulig. Antivirusets selvforsvarssystem, designet for å motvirke angripere, hindrer noen i å slette det.

a) Utvikling av beskyttelsestiltak for perioden med fravær av antivirusprogramvare på elementene i selskapets nettverk. Alternativt, for denne perioden, kan du distribuere skanning av all innkommende trafikk på gatewayen og forby bruk av flyttbare medier.

7) Sjekke det lokale nettverket (beskyttede stasjoner og servere) for tilgjengeligheten av tjenester som er nødvendige for programvaredistribusjon i bedriftens nettverk. Om nødvendig, juster brannmurreglene som brukes i selskapets nettverk. Dette punktet skaper også vanskeligheter. Merkelig nok, men ingen produkter kan kondensere på den beskyttede datamaskinen fra luften. Avhengig av valgt type distribusjon, er det nødvendig å åpne visse porter, aktivere de nødvendige tjenestene, etc.

Noen ganger er det selskapets restriksjoner på havner og tjenester som brukes som ligger til grunn for valg av utplasseringstype.

8) Godkjenning av distribusjonsplanen i selskapets nettverk. Gjøre tidsplanen oppmerksom på selskapets ansatte når det gjelder dem. Selskapets ansatte bør være klar over (som det gjelder dem) om hendelsene som finner sted i selskapet. Som en del av pågående arrangementer skal bedriftsspesialister raskt kunne få tilgang til nødvendige datamaskiner og lokaler. Dette er ofte umulig uten godkjenning fra den aktuelle lederen.

Bytte ut antivirusprogramvare på bedriftens nettverk

1) Klargjøring av nødvendig programvare avhengig av valgt type distribusjon. Det er ganske åpenbart at for forskjellige OS, applikasjonstyper, etc. Ulike fordelinger brukes.

  • Installasjon av hierarkiske nettverksservere, klyngenoder og, om nødvendig, nødvendig database (se fig. 3).

  • Utrulling av Dr.Web server redundanssystemet (se fig. 4). Enhver server kan mislykkes. Men antivirusserverens fall fører til at oppdateringer til beskyttede stasjoner stopper. Derfor er redundans av antivirusservere viktig.

  • Sette opp grupper og retningslinjer.
  • Tildel eventuelt individuelle administratorer til en brukergruppe og begrens rettighetene til disse administratorene i henhold til gjeldende policy i selskapet.
  • Utføre de nødvendige aktivitetene avhengig av den valgte distribusjonspolicyen. For eksempel å sette opp AD.

2) Skanning av selskapets nettverk ved hjelp av Dr.Web CureNet-nettverksverktøyet! for tilstedeværelsen av tidligere ukjent skadelig programvare (se fig. 5). Dessverre kan det ikke garanteres at PC-en som installasjonen skal utføres på er fri for skadevare. Naturligvis er installasjon på en infisert maskin mulig, men det er alltid en sjanse for at et kjørende skadelig program har funksjonalitet som er rettet mot å forhindre installasjon av et antivirus. Dette vil i det minste føre til at prosessen med å distribuere beskyttelse går ut av planen, så det er bedre å sjekke om det er skadelig programvare kort tid før installasjonen.

  • Installere et beskyttelsessystem for arbeidsstasjoner og filservere i samsvar med innstillingene som ble gjort i forrige trinn.
  • Installasjon av et sikkerhetssystem for e-postservere og Internett-gatewayer.

5) Drift av programvaren i testperioden.

6) Gjennomføring av programvareoppdateringer i henhold til gjeldende retningslinjer i selskapet.

7) Gjennomføre periodiske kontroller av beskyttede arbeidsstasjoner, fil- og e-postservere (se fig. 7).

8) Overvåking av programvarehandlinger for testeffekter av skadelig programvare.

9) Kontrollere prosedyren for interaksjon med teknisk støtte.

Generelt er det ikke noe vanskelig hvis du forbereder deg på et hvilket som helst stadium på forhånd.

God utplassering!


I kontakt med

En server er en spesialisert datamaskin der handlinger skjer uten aktiv deltakelse fra brukeren. Vanligvis installeres serviceprogramvare der for å utføre visse oppgaver. Gjennom en slik datamaskin utveksles data, handlinger settes i gang, matematiske beregninger utføres og mye mer. Alle servere varierer i type, for eksempel er det spill-, web-, mail- og proxy-servere. Hver slik enhet utfører en klart definert oppgave. Ofte, for sikker drift av en slik maskin, er et antivirus installert på den, så vi vil gjerne fortelle deg mer om slik programvare, og fremheve flere spesifikke løsninger.

Plattform: Windows Server

Avast, et velkjent antivirusselskap, gir ut en build spesielt for servere, og gir flere nyttige verktøy. Vær for eksempel oppmerksom på funksjonen "Data ødeleggelse". Den er implementert på en slik måte at den overskriver tilfeldig generert informasjon i alle slettede data, noe som ikke vil tillate deg å gjenskape den opprinnelige tilstanden til filen når du prøver å gjenopprette den. I tillegg til dette er det "Atferdsanalyse"- et verktøy som er ansvarlig for å skanne arbeidsapplikasjoner for mistenkelig aktivitet. Hvis notisblokk prøver å få tilgang til det samme webkameraet, vil en slik forespørsel bli blokkert umiddelbart. Selvfølgelig er dette eksemplet enkelt, men funksjonen fungerer på et høyere nivå.

Avast Business Antivirus Pro har også en innebygd brannmur, smart skanning, anti-spam, passordbeskyttelse og forenklet kontopålogging. Det er også en konstant sammenligning av sannsynlige trusler med gjeldende virusdatabase ved bruk av Software Defender-teknologi. Det vil tillate deg å samhandle kun med verifiserte data. På sin side vil CyberCapture-verktøyet sende mistenkelige objekter til trusselforskningslaboratoriet.

Avira Antivirus Server

Plattform: Windows Server

Avira Antivirus Server er en spesialløsning fra utviklerselskapet for servere som kjører Windows-operativsystemet. Skaperne lover den mest effektive driften med lavt forbruk av systemressurser, høy trusseldeteksjonsrate og brukervennlighet. Forsamlingen legger til tilgangsbeskyttelsesverktøy, det vil si at den overvåker kjørende prosesser mens de får tilgang til andre applikasjoner. Det er også manuell skanning, som lar deg kjøre en analyse av det angitte mediet eller en egen katalog når som helst.

La oss merke igjen at utvikleren legger spesiell vekt på lavt forbruk av PC-ressurser og enkel antivirusadministrasjon. Konstante gratis innovasjoner og virusdatabaseoppdateringer loves også. Hvis du er interessert i å bli kjent med dette produktet, kan du få en gratisversjon for en 30-dagers periode på den offisielle nettsiden ved å fylle ut det aktuelle skjemaet. Under testing vil alle verktøy og funksjoner være tilgjengelige, og gratis støtte vil være tilgjengelig.

ESET filsikkerhet

ESET File Security er utviklet for å fungere på Windows- og Linux-servere, og gir flerlagsbeskyttelse med den valgfrie ESET Dynamic Threat Defense-skysandkassekomponenten. Det skybaserte beskyttelsessystemet beskytter automatisk mot nye trusler uten å vente på at deteksjonsmekanismen skal oppdateres (den oppgitte gjennomsnittlige oppdateringstiden er 20 minutter). Innebygd beskyttelse mot nettverksangrep gjenkjenner kjente sårbarheter på nettverksnivå, og når du bruker OneDrive, vil Office 365 OneDrive Storage skanne den. Oppmerksomhet bør også rettes mot å forhindre påvirkning av botnett. Verktøyet finner ikke bare en ondsinnet forbindelse, men identifiserer også de samme prosessene, blokkerer umiddelbart farlige aktiviteter og varsler brukeren om det.

For å administrere ESET File Security, blir brukeren bedt om å installere en konsoll på Windows eller Linux, og det er en virtuell importør for å forenkle oppsettet. Du kan bli kjent med all funksjonaliteten til dette antivirusprogrammet, prøve gratisversjonen og kjøpe fullversjonen på den offisielle nettsiden til utviklerne.

Kaspersky Security

Plattform: Windows Server, Linux

Kaspersky Security for Servers er inkludert i følgende bygg: Total, Endpoint Security for Business, Kaspersky Security for virtuelle og skymiljøer og Kaspersky Security for Storage Systems. Ved å kjøpe en av disse versjonene får du pålitelig beskyttelse for serveren din mot den nyeste generasjonen av skadelig programvare. Programvaren det gjelder har avansert serverbeskyttelse og gir beskyttelse mot utnyttelser, beskyttelse for terminalservere, overvåker ekstern trafikk, systemintegritet og beskytter kontinuerlig datalagringssystemer ved hjelp av et flernivåverktøy. Innebygde systemer for administrasjon av administratorrettigheter gir enkel administrasjon, varsler og integrasjon med SIEM-systemer og Windows-brannmuradministrasjon er også mulig.

Jeg vil merke meg at Kaspersky Security har separate systemkrav for spesifikke datalagringsplattformer, for eksempel for NetApp - Clustered Data ONTAP 8.x og 9.x og Data ONTAP 7.x og 8.x i 7-modus, og for EMC Isilon - IBM System Storage N-serien. Du kan se listen over alle krav når du laster ned antivirusprogrammet på Kaspersky-nettstedet.

McAfee VirusScan Enterprise

Plattform: Windows Server, Linux

Tidligere installerte brukere McAfee Endpoint Security på serverne sine, men utviklerne bestemte seg for å forbedre dette produktet og endre navnet ytterligere. Dette er nå VirusScan Enterprise. Alle som tidligere har brukt dette antiviruset tilbys en gratis migrering. Den offisielle nettsiden gir alle nødvendige instruksjoner og leksjoner om dette problemet. De grunnleggende verktøyene i den nye versjonen inkluderer: en brannmur, webkontroller for å utveksle informasjon om trusler, et obligatorisk antivirus og alternativer for å forhindre utnyttelse av sårbarheter.

McAfee VirusScan Enterprise bruker også avanserte maskinlæringsteknikker. Slike teknologier gjør det mulig å oppdage ondsinnet kode gjennom statiske og atferdsmessige attributter. Inneslutning av skadelig programvare skjer så snart den kommer inn i systemet, og hindrer den i å infisere andre prosesser. Endpoint Detection and Testponse-teknologi er ansvarlig for deteksjon og respons ved endepunkter – dette vil tillate deg å svare på trusler med ett klikk.

Comodo Antivirus for Linux

Plattform: Linux

Utviklerne av Comodo Antivirus har presentert en egen versjon for operativsystemer basert på Linux-kjernen. Dette programmet støttes av de fleste distribusjoner, både 32-bit og 64-bit. Blant funksjonene vil jeg umiddelbart legge merke til e-postfilteret, som er kompatibelt med populære e-postagenter: Postfix, Qmail, Sendmail og Exim MTA. Produsenten garanterer pålitelig sanntidsbeskyttelse, enkel installasjon og ingen kompliserte konfigurasjonstrinn. Anti-spam-systemet kan fullstendig redigeres manuelt, men standardinnstillingene vil gi god filtrering. Hvis brukeren ønsker å få enda mer kontroll over filer, er en funksjon tilgjengelig for å aktivere "Atferdsanalyse i sanntid". Alle mistenkelige objekter vil bli sendt til skyatferdsanalyseserveren.

For å bruke Comodo Antivirus komfortabelt, trenger du en datamaskin med høy effekt med en minimum prosessorfrekvens på 2 GHz og 2 GB ledig RAM. Du trenger ikke å bekymre deg for å kjøre skanninger: du trenger bare å sette opp tidsplanen deres én gang, og i fremtiden vil de kjøre automatisk. Du kan starte analysen når som helst ved å trykke på én knapp. Antiviruset det gjelder er åpen kildekode, distribuert gratis og lastet ned fra den offisielle nettsiden.

Chkrootkit

Plattform: Linux

Chkrootkit (Check Rootkit) er et program som er mye brukt blant systemadministratorer for å beskytte operativsystemet mot kjente rootkits. Et rootkit er en samling komponenter, for eksempel skript, kjørbare filer eller konfigurasjonsfiler, som utfører funksjonen maskering, kontroll og innsamling av data. Ved hjelp av slike verktøy trenger angripere inn i OS og får all nødvendig informasjon. Programvaren nevnt ovenfor er nettopp designet for å beskytte datamaskinen mot denne typen aktivitet. Chkrootkit krever ikke installasjon og kan kjøres fra en Live CD. Arbeidet i den utføres gjennom en hvilken som helst praktisk konsoll, og kontrollene er klare selv for en uerfaren bruker.

Chkrootkit fungerer ganske raskt, takler oppgaven sin perfekt, tar ikke opp mye plass på stasjonen, men inneholder samtidig et stort antall moduler for hver type bruker. Den offisielle nettsiden inneholder samlinger av programmet i forskjellige utvidelser, og nedlasting er tilgjengelig fra en direkte kilde eller flere speil.

Du har blitt introdusert for antivirusløsninger som vil være den beste løsningen for ulike typer servere. Som du kan se, har hver programvare sine egne egenskaper, så det vil være mest nyttig i visse situasjoner.

Det er umulig å beskytte serveren mot ekstern tilgang en gang for alle, for hver dag oppdages nye sårbarheter og nye måter å hacke serveren på dukker opp. Vi vil snakke om å beskytte servere mot uautorisert tilgang i denne artikkelen.

Serverne til ethvert selskap kan før eller siden bli et mål for hacking eller et virusangrep. Vanligvis er resultatet av et slikt angrep tap av data, omdømme eller økonomisk skade, så serversikkerhetsproblemer bør prioriteres.

Det skal forstås at beskyttelse mot serverhacking er et sett med tiltak, inkludert konstant overvåking av serverdrift og arbeid med å forbedre beskyttelsen. Det er umulig å beskytte serveren mot ekstern tilgang en gang for alle, for hver dag oppdages nye sårbarheter og nye måter å hacke serveren på dukker opp.

Vi vil snakke om å beskytte servere mot uautorisert tilgang i denne artikkelen.

Måter og metoder for å beskytte servere mot uautorisert tilgang

Server fysisk beskyttelse

Fysisk beskyttelse. Det er tilrådelig at serveren er plassert i et sikkert datasenter, et lukket og bevoktet rom skal ikke ha tilgang til serveren.

Sett opp SSH-autentisering

Når du setter opp tilgang til serveren, bruk SSH-nøkkelautentisering i stedet for et passord, siden slike nøkler er mye vanskeligere og noen ganger ganske enkelt umulige å knekke med brute force.

Hvis du tror at du fortsatt trenger et passord, sørg for å begrense antall forsøk på å angi det.

Vær oppmerksom på om du ser en slik melding når du logger på:

Sist mislykket pålogging: Tue Sep 28 12:42:35 MSK 2017 fra 52.15.194.10 på ssh:notty
Det var 8243 mislykkede påloggingsforsøk siden siste vellykkede pålogging.

Det kan tyde på at noen prøvde å hacke serveren din. I dette tilfellet, for å konfigurere serversikkerhet, endre SSH-porten, begrense listen over IP-er som tilgang til serveren er mulig fra, eller installere programvare som automatisk blokkerer overdrevent hyppig og mistenkelig aktivitet.

Installer de siste oppdateringene regelmessig

For å sikre serverbeskyttelse, installer umiddelbart de siste oppdateringene og oppdateringene til serverprogramvaren du bruker - operativsystem, hypervisor, databaseserver.

Det anbefales å se etter nye patcher, oppdateringer og feil/sårbarhetsrapporter hver dag for å forhindre angrep som utnytter nulldagssårbarheter. For å gjøre dette, abonner på nyheter fra programvareutviklingsselskapet, følg sidene på sosiale nettverk.

Beskytt passordene dine

Til nå er en av de vanligste måtene å få tilgang til en server på å hacke serverpassordet. Følg derfor kjente, men likevel relevante anbefalinger for ikke å la serveren være ubeskyttet:

  • Ikke bruk passord som er enkle å gjette, for eksempel firmanavnet ditt;
  • hvis du fortsatt bruker standardpassordet for administratorkonsollen, endre det umiddelbart;
  • passord for ulike tjenester må være forskjellige;
  • hvis du trenger å gi et passord til noen, send aldri IP-adressen, påloggingsinformasjonen og passordet i samme e-post eller messenger-melding;
  • Du kan sette opp tofaktorautentisering for å logge på administratorkontoen din.

Brannmur

  • Sørg for at serveren har , den er konfigurert og at den kjører hele tiden.
  • Sikre både innkommende og utgående trafikk.
  • Hold styr på hvilke porter som er åpne og til hvilke formål, ikke åpne noe unødvendig, for å redusere antall mulige sårbarheter for hacking av serveren.

Spesielt er en brannmur veldig nyttig for å beskytte serveren mot ddos-angrep, fordi... du kan raskt lage prohibitive brannmurregler og legge til IP-adressene som angrepet kommer fra, eller blokkere tilgang til visse applikasjoner ved hjelp av visse protokoller.

Overvåking og inntrengningsdeteksjon

  • Begrens programvaren og tjenestene som kjører på serveren din. Sjekk med jevne mellomrom alt du kjører, og hvis du finner noen prosesser som er ukjente for deg, slett dem umiddelbart og begynn å søke etter virus.
  • Sjekk med jevne mellomrom for tegn på tukling. Hacking kan indikeres av nye brukerkontoer som du ikke har opprettet, flyttet eller slettet en fil /etc/syslog.conf, slettede filer /etc/shadow Og /etc/passwrd.
  • Overvåk ytelsen til serveren din, hold styr på dens normale hastighet og gjennomstrømning, slik at du kan merke avvik, for eksempel når belastningen på serveren har blitt betydelig høyere enn vanlig.

Bruker VPN og SSL/TLS-kryptering

Hvis ekstern tilgang til serveren er nødvendig, bør den kun tillates fra visse IP-adresser og skje over en VPN.

Det neste trinnet i å sikre sikkerheten kan være å sette opp SSL, som lar deg ikke bare kryptere data, men også verifisere identiteten til andre deltakere i nettverksinfrastrukturen, og utstede dem de riktige sertifikatene.

Serversikkerhetssjekk

Det vil være en god idé å uavhengig sjekke sikkerheten til serveren ved å bruke en pentest-metode, dvs. angrepsmodellering for å finne potensielle sårbarheter og eliminere dem i tide. Det anbefales å involvere ini dette, men noen tester kan gjøres uavhengig ved bruk av programmer for hacking av servere.

Hva annet truer servere enn hacking?

En server kan mislykkes av en rekke andre årsaker enn hacking. Dette kan for eksempel være en skadelig programvareinfeksjon eller bare en fysisk sammenbrudd av en av komponentene.

Derfor bør tiltak for å beskytte serveren omfatte:

  • Installasjon og oppdatering av programmer for å beskytte serveren - antivirus.
  • Vanlige krypterte kopier av data, minst en gang i uken, siden, ifølge statistikk, er serverharddisker på første plass i frekvensen av feil. Sørg for at sikkerhetskopien er lagret i et fysisk sikkert miljø.
  • Sikre uavbrutt strømforsyning til serverrommet.
  • Rettidig fysisk forebygging av servere, inkludert rengjøring av dem fra støv og utskifting av termisk pasta.

Erfaringen til Integrus-spesialister forteller oss at den beste beskyttelsen mot denne typen trusler er bruken av beste praksis innen serverbeskyttelsessystemer.

For å sikre sikkerheten til våre kunders servere bruker vi en kombinasjon av verktøy: brannmurer, antivirus, sikkerhet / hen(SIM / SEM), inntrengningsdeteksjon / beskyttelsesteknologier (IDS / IPS), nettverksatferdsanalyse (NBA) teknologier , og selvfølgelig regelmessig forebyggende vedlikeholdsservere og tilrettelegging av nøkkelferdige sikre serverrom. Dette lar deg redusere risikoen for hacking eller serverfeil av andre årsaker til et minimum.

Vi er klare til å gjennomføre en sikkerhetsrevisjon av din bedrifts servere, rådføre oss med spesialister og utføre alle typer arbeid for å sette opp beskyttelse av serverutstyr.

Chita State UniversityEnergy Institute Fakultet for økonomi og informatikk Institutt for anvendt informatikk og matematikk Abstrakt om emnet: PC-bruker om emnet: Antivirusprogramvare for servere Fullført av: Art. gr. PI-07-1 Zlova V.V. Sjekket: art. Rev. avdeling PIMMONICH I.P. Chita, 2007 Innhold

Introduksjon. 3

1 Filservere som en av kildene til virus. 5

2 Antivirusprogramvare for lokale nettverksservere. 5

3 Antivirusprogramvare for e-postservere. 8

4 Kaspersky Anti-Virus. elleve

Konklusjon. 17

Liste over brukt litteratur... 18

Introduksjon En av de farligste truslene mot informasjonssikkerheten i dag er datavirus. Et datavirus er et spesialskrevet program som er i stand til spontant å knytte seg til andre programmer, lage kopier av seg selv og introdusere dem i filer, systemområder på datamaskinen og datanettverk for å forstyrre driften av programmer, skade filer og kataloger, og skape alle slags forstyrrelser med arbeid på datamaskinen.

Informasjonssikkerhet refererer til sikkerheten til informasjon og dens støttende infrastruktur fra enhver tilfeldig eller ondsinnet påvirkning som kan føre til skade på selve informasjonen, dens eiere eller støttende infrastruktur. Målene for informasjonssikkerhet handler om å minimere skader, samt å forutsi og forhindre slike påvirkninger.

For de fleste organisasjoner er det å beskytte nettverksressurser mot uautorisert tilgang i ferd med å bli et av de mest presserende problemene. Av spesiell bekymring er det faktum at Internett nå er mye brukt til å transportere og lagre ulike data og konfidensiell bedriftsinformasjon.

Oppgaven med å beskytte informasjon er spesielt relevant for eiere av nettbaserte informasjonsdatabaser, utgivere av elektroniske tidsskrifter mv.

I dag er det laget mange antivirusprogrammer for å bekjempe virus. Et antivirusprogram (antivirus) er i utgangspunktet et program for å oppdage og behandle programmer infisert med et datavirus, samt for å forhindre filinfeksjon med et virus (f.eks. , gjennom vaksinasjon). Mange moderne antivirus lar deg også oppdage og fjerne trojanere og andre skadelige programmer. Antivirusprogramvare består av dataprogrammer som prøver å oppdage, forhindre reproduksjon av og fjerne datavirus og andre skadelige programmer. operasjon. For øyeblikket er fil- og e-postservere hovedverktøyet for databehandling. Datalagring, utveksling og overføring er hovedoppgavene i slik forvaltning, men de er umulige uten enkel tilgang til informasjon, dataintegrasjon og systemstabilitet. En filserver er en av de mest sårbare nettverksressursene. Hvis en infeksjon eller feil oppstår, kan tilgangen til andre nettverksressurser være begrenset. Én infisert fil kan føre til infeksjon av store mengder data, tap av dataintegrasjon og systemfeil. Slike risikoer er årsaken til de høye kostnadene for produkter for administrasjon av servere og nettverksressurser. "Offentlige" filservere og elektroniske konferanser er en av hovedkildene til virusspredning. Nesten hver uke får vi melding om at en bruker har infisert datamaskinen sin med et virus som er hentet fra en BBS, ftp-server eller fra en eller annen elektronisk konferanse. I dette tilfellet blir ofte infiserte filer "postet" av forfatteren av viruset på flere BBS/ftp eller sendt til flere konferanser samtidig, og disse filene er forkledd som nye versjoner av noen programvare (noen ganger som nye versjoner av antivirus) ). Ved massedistribusjon av et virus via ftp/BBS-filservere kan tusenvis av datamaskiner påvirkes nesten samtidig, men i de fleste tilfeller "plantes" DOS- eller Windows-virus, hvis spredning under moderne forhold er mye lavere enn makrovirus. Av denne grunn ender slike hendelser nesten aldri i masseepidemier, som ikke kan sies om makrovirus. 2 Antivirusprogramvare for lokale nettverksservere Spørsmålene om effektiv antivirusbeskyttelse i dag er mer relevante enn noen gang både i bedriftssektoren og blant private brukere, men i motsetning til sistnevnte er problemene og utfordringene bedriftene står overfor mye mer alvorlige og krever løsninger på et annet nivå. Bedriftsimå installere antivirusverktøy, konfigurere dem og konfigurere oppdateringspolicyer, samt sørge for at antivirus alltid er aktivert på hundrevis eller til og med tusenvis av maskiner - og ofte må gjøre alt dette manuelt. Lokale nettverk er en av hovedkildene til virusspredning. Hvis du ikke tar de nødvendige beskyttelsestiltakene, infiserer den infiserte arbeidsstasjonen, når den går inn i nettverket, en eller flere tjenestefiler på serveren (i tilfellet Novell NetWare - LOGIN.COM). Dagen etter starter brukere infiserte filer når de logger på nettverket. I stedet for tjenestefilen LOGIN.COM kan det også være installert diverse programvare på serveren, standard maldokumenter eller Excel-tabeller som brukes i bedriften.

Faren for infeksjon av datanettverk er reell for enhver bedrift, men en viral epidemi kan virkelig utvikle seg i de lokale nettverkene til store økonomiske og industrielle komplekser med en geografisk utbredt infrastruktur. Datanettverkene deres ble vanligvis bygget i etapper, ved å bruke forskjellig maskinvare og programvare. Det er åpenbart at for slike virksomheter blir spørsmålet om antivirusbeskyttelse veldig komplekst, ikke bare teknisk, men også økonomisk.

Samtidig oppnås løsningen på dette problemet gjennom en kombinasjon av organisatoriske tiltak og programvare- og maskinvareløsninger. Denne tilnærmingen krever ikke store tekniske og umiddelbare økonomiske kostnader, og kan brukes til omfattende antivirusbeskyttelse av det lokale nettverket til enhver bedrift.

Følgende prinsipper kan brukes som grunnlag for å konstruere et slikt antivirusbeskyttelsessystem:

Prinsippet om å implementere en enhetlig teknisk policy når man rettferdiggjør valget av antivirusprodukter for ulike segmenter av det lokale nettverket;

Prinsippet om fullstendig dekning av hele organisasjonens lokale nettverk av antivirusbeskyttelsessystemet;

Prinsippet om kontinuerlig overvåking av bedriftens lokale nettverk for rettidig oppdagelse av datainfeksjoner;

Prinsippet om sentralisert styring av antivirusbeskyttelse;

Prinsippet om å implementere en enhetlig teknisk policy sørger for bruk i alle segmenter av det lokale nettverket kun av antivirusprogramvare anbefalt av bedriftens antivirusavdeling. Denne policyen er langsiktig, godkjent av ledelsen i virksomheten og er grunnlaget for målrettet og langsiktig planlegging av kostnader for anskaffelse av antivirusprogramvare og videre oppdatering av disse.

Prinsippet om fullstendig dekning av det lokale nettverket av antivirusbeskyttelsessystemet sørger for gradvis introduksjon av antivirusprogramvare i nettverket til fullstendig metning i kombinasjon med organisatoriske og sikkerhetstiltak for informasjonsbeskyttelse.

Prinsippet om kontinuerlig overvåking av antivirustilstanden til et lokalt nettverk innebærer en slik organisering av beskyttelsen som sikrer konstant evne til å overvåke tilstanden til nettverket for å identifisere virus.

Prinsippet om sentralisert styring av antivirusbeskyttelse innebærer å administrere systemet fra én myndighet ved bruk av maskinvare og programvare. Det er dette organet som organiserer sentralisert kontroll av nettverket, mottar kontrolldata eller rapporter fra brukere fra deres arbeidsplasser om påvisning av virus og sikrer implementeringen av beslutninger som tas for å administrere antivirusbeskyttelsen til den lokale nettverket til en stor organisasjon er et komplekst problem som ikke er begrenset til bare å installere antivirusprogramvare. Som regel er det nødvendig å opprette et eget delsystem. I tekniske termer, når du løser dette problemet, bør spesiell oppmerksomhet rettes mot å teste all nykjøpt antivirusprogramvare, samt å installere antiviruspakker på e-postservere. 3 Antivirusprogramvare for e-postservere

Hvis ved begynnelsen av utviklingen av datateknologi var hovedkanalen for spredning av virus utveksling av programfiler via disketter, tilhører håndflaten i dag e-post. E-post er et praktisk og uunnværlig middel for forretningskommunikasjon. Imidlertid spres de fleste virus og spam via e-post, og det kan være en kanal for å lekke konfidensiell data. Hver dag overføres millioner og millioner av meldinger gjennom kanalene, mange av disse meldingene er infisert med virus.

Dessverre kan vedleggsfiler som sendes sammen med e-postmeldinger også være ekstremt farlige for datamaskinens helse. Hva er farene med vedleggsfiler? Som en slik fil kan brukeren få tilsendt et virus eller trojansk program eller et dokument i Microsoft Office-format (*.doc, *.xls) infisert med et datavirus. Ved å kjøre det resulterende programmet eller åpne et dokument for visning, kan brukeren starte et virus eller installere et trojansk program på datamaskinen. På grunn av feil innstillinger for e-postprogrammet eller feil i det, kan vedleggsfiler åpnes automatisk når du ser på innholdet i mottatte meldinger. I dette tilfellet, hvis du ikke tar noen beskyttelsestiltak, vil det være et spørsmål om tid før virus eller andre ondsinnede programmer trenger inn i datamaskinen din. Andre forsøk på å trenge inn i datamaskinen din via e-post er også mulig. For eksempel kan de sende en melding i form av et HTML-dokument der en trojansk ActiveX-kontroll er innebygd. Ved å åpne en slik melding kan du laste ned dette elementet til datamaskinen din, hvoretter det umiddelbart vil begynne å gjøre jobben sin E-posttrojanere som lar deg "trekke" passord og annen informasjon fra datamaskinfilene dine og sende dem. på e-post til eieren. Dette kan være leverandørpålogginger og Internett-passord, et postbokspassord, ICQ- og IRC-passord osv. For å sende et brev til eieren via post, kontakter trojaneren nettstedets e-postserver ved å bruke SMTP-protokollen (for eksempel til smtp.mail. ru). Etter å ha samlet inn nødvendige data, vil trojaneren sjekke om disse dataene ble sendt. Hvis ikke, blir dataene sendt og lagret i registeret. Hvis de allerede er sendt, trekkes det forrige brevet ut av registeret og sammenlignes med det gjeldende. Hvis det har skjedd endringer i informasjonen (nye data har dukket opp), sendes brevet og de siste passorddataene registreres i registeret. Kort sagt, denne typen trojanere samler ganske enkelt informasjon, og offeret innser kanskje ikke engang at passordene hans allerede er kjent for noen. Arkivet til en slik trojaner inneholder vanligvis 4 filer: serverredigering (konfigurator), trojansk server, pakker. (lim)-filer, bruksanvisninger Som et resultat av arbeidet kan følgende data bestemmes: 1) IP-adressen til offerets datamaskin 2) detaljert informasjon om systemet (datamaskin og brukernavn, Windows-versjon, modem, etc.); 3) alle hurtigbufrede passord ;4) alle telefontilkoblingsinnstillinger inkludert telefonnumre, pålogginger og passord 6) antall sist besøkte nettsteder; I tillegg til rene administrative tiltak, må det brukes spesiell antivirusprogramvare (antivirus) for å bekjempe virus og annen skadelig programvare. Men slik beskyttelse er ofte ikke nok. Konvensjonelle antivirusprogrammer installert på datamaskinene til Internett-brukere er designet for å skanne filer og er ikke alltid i stand til å analysere strømmen av e-postdata. Hvis antiviruset ikke automatisk skanner alle åpnede filer, kan et virus eller trojansk program lett trenge inn i beskyttelsen på datamaskinens disk. I tillegg avhenger effektiviteten av antivirus veldig mye av overholdelse av reglene for bruk: det er nødvendig oppdater antivirusdatabasen med jevne mellomrom og bruk riktige antivirusskannerinnstillinger osv. Dessverre vet mange datamaskineiere ikke hvordan de skal bruke antivirusprogrammer på riktig måte eller oppdaterer ikke antivirusdatabasen, noe som uunngåelig fører til virusinfeksjon. Mange selskaper tilbyr spesielle antivirusprogrammer for å beskytte e-post. servere. Slike antivirus analyserer dataflyten som går gjennom e-postserveren, og forhindrer overføring av meldinger med infiserte vedleggsfiler. Det er en annen løsning - å koble til e-postservere med vanlige antiviruser designet for å skanne filer av SMTP- og POP3-e-postservere er mye mer effektivt enn antivirusbeskyttelse av brukerdatamaskiner. Som regel gjøres oppsett av antivirus på en server av en erfaren administrator som ikke vil gjøre feil under oppsettet og vil også aktivere automatisk databaseoppdatering via Internett. Brukere av sikre SMTP- og POP3-servere trenger ikke å bekymre seg for hovedkanalen for virusdistribusjon - de vil motta meldinger som allerede er fjernet for virus. Handlingene som utføres av e-postservere når de sender og mottar infiserte meldinger, avhenger av innstillingene til antivirus og selve e-postserveren. For eksempel, når en avsender prøver å sende en melding med en infisert fil, vil den sikre SMTP-postserveren nekte det, og e-postprogrammet vil vise en advarsel hvis noen sender en e-post til adressen din med et infisert filvedlegg når du bruker en sikker POP3-server i stedet, vil du kun motta en melding om påvisning av et virus. Til tross for den stadig økende populariteten til Microsoft Windows-plattformen, kjører i dag de fleste Internett-servere Linux, FreeBSD og lignende UNIX-lignende operativsystemer. Den største fordelen med Linux er den svært lave anskaffelseskostnaden. Hvem som helst kan laste ned en Linux-distribusjon over Internett og installere den på et hvilket som helst antall datamaskiner. Denne distribusjonen inneholder alt du trenger for å lage et nettsted, inkludert e-postservere. Andre fordeler med Linux og lignende operativsystemer inkluderer åpenhet, tilgjengelighet av kildekoder, tilstedeværelsen av et stort fellesskap av frivillige utviklere som er klare til å hjelpe i vanskelige situasjoner, enkel fjernkontroll. kontroll ved hjelp av en tekstkonsoll, etc. Bare noen få dusin virus ble opprettet for operativsystemet i denne serien, noe som indikerer dens høye sikkerhet.

4 Kaspersky Anti-Virus

Basert på begrunnelsen og eksemplene ovenfor kan vi formulere de grunnleggende kravene til antivirus for arbeidsstasjoner. Det er klart at disse kravene vil variere for arbeidsstasjoner av forskjellige klasser.

Antiviruskrav for Windows-arbeidsstasjoner

Som tidligere vil kravene deles inn i flere kategorier:

  1. Generelle Krav- pålitelighet, ytelse, brukervennlighet, lav pris - det er ingen vits i å gjenta det igjen
  2. Primære krav- som en konsekvens av hovedoppgaven:
    • Sjekke alle filer på lokale disker som blir åpnet - for lesing, skriving, kjøring - for å identifisere og nøytralisere datavirus
    • Sjekker flyttbare og nettverksstasjoner
    • Hukommelsestest
    • Kontroll av innkommende og utgående e-post for virus, både selve meldingene og vedleggene deres må kontrolleres
    • Sjekke skript og andre aktive elementer på nettsider
    • Sjekke makroer i Microsoft Office-dokumenter og andre applikasjonsfiler
    • Skanning av sammensatte filer - arkiver, selvutpakkende arkiver, pakkede kjørbare filer, postdatabaser, postformatfiler, OLE-beholdere
    • Evne til å velge ulike handlinger på infiserte filer, som standard:
      • blokkering (når du sjekker i sanntid)
      • logging (for on-demand skanning)
      • sletting
      • flytte til karantene
      • behandling
      • ber om en handling fra brukeren
    • Behandling av infiserte filer
    • Behandling av infiserte filer i arkiver
    • Ønskelig - oppdagelse av potensielt uønskede programmer (adware- og spyware-moduler, hacking-verktøy, etc.)
  3. Ledelseskrav
    • Tilgjengelighet av lokalt grafisk grensesnitt
    • Mulighet for ekstern og sentralisert administrasjon (bedriftsversjon)
    • Evne til å planlegge skanne og oppdatere oppgaver som skal kjøres
    • Evne til å starte enhver oppgave eller utføre enhver handling på forespørsel (manuelt)
    • Mulighet for å begrense handlingene til en uprivilegert bruker i forhold til antiviruskomplekset
  4. Oppdateringskrav
    • Støtte for ulike oppdateringskilder, standard:
      • HTTP- eller FTP-ressurs
      • Lokal eller nettverksmappe
      • Sentralisert oppdateringssystem (i bedriftsversjoner)
    • Evne til å oppdatere antivirusdatabaser, antivirusmotor og applikasjonsmoduler
    • Evne til å utføre oppdateringer manuelt på forespørsel eller automatisk etter en tidsplan
    • Evne til å tilbakestille antivirusdatabaseoppdateringer
  5. Diagnostiske krav
    • Varsle den lokale brukeren om viktige hendelser - virusdeteksjon, endring i antivirusstatus, etc.
    • Føre logger over antivirusdrift og/eller individuelle oppgaver
    • Advarsel fra administrator for antivirussikkerhet (i bedriftsversjonen)
Antiviruskrav for Linux/Unix arbeidsstasjoner
  1. Generelle Krav- praktisk talt uendret: pålitelighet, ytelse, lav kostnad. Brukervennlighet i Unix-systemer vurderes tradisjonelt etter litt andre kriterier enn i Windows-systemer, selv om denne tilstanden gradvis begynner å endre seg mot ensretting av krav
  2. Primære krav- basert på formål:
    • On-demand skanning av vilkårlige filer og kataloger for virus
    • Det er ønskelig, men ikke kritisk, å sjekke spesifikke kataloger i sanntid når du får tilgang til filer. Hvis slik funksjonalitet virkelig er nødvendig, snakker vi ikke så mye om en arbeidsstasjon, men om en server - i Unix-systemer er det ingen åpenbar forskjell mellom dem
    • Deteksjon av virus i sammensatte objekter - arkiver, selvutpakkende arkiver, pakkede kjørbare moduler, postdatabaser, postformatfiler, OLE-beholdere - ikke begrenset til formater som er vanlige i Unix-miljøet
    • Evne til å velge en handling når infiserte filer oppdages, som standard:
      • slette
      • flytte eller gi nytt navn
      • behandle
      • registrere informasjon i en rapport
      • be om en handling fra brukeren (for bekreftelse på forespørsel)
    • Behandling av infiserte filer
    • Helst - mulighet for behandling i arkivet
  3. Ledelseskrav
    • Lokal administrasjon ved å redigere konfigurasjonsfiler
    • Helst - fjernkontroll via webgrensesnitt
    • Evne til å planlegge oppgavelanseringer og handlinger
    • Evne til å utføre oppgaver og handlinger manuelt
  4. Diagnostiske krav
    • Føre arbeidslogger
    • Antivirussikkerhetsadministratorvarsel

Serverbeskyttelse

Som regel antivirusbeskyttelse servere er ikke så forskjellig fra å beskytte arbeidsstasjoner som for eksempel fra å beskytte gatewayer. De viktigste truslene og teknologiene for å motvirke dem forblir de samme - bare vekten skifter.

Nettverksservere, som arbeidsstasjoner, er naturlig delt inn i klasser i henhold til operativsystemene som brukes:

  • Windows-servere
  • Novell Netware-servere
  • Unix-servere

Delingsprinsippet skyldes virustruslene som er karakteristiske for forskjellige operativsystemer, og som et resultat forskjellige alternativer for å definere hovedoppgaven til antiviruset.

Når det gjelder serverbeskyttelsesprodukter er det ingen inndeling i personlige og nettverksprodukter - alle produkter er nettverk (bedrift). Mange produsenter deler ikke engang bedriftsprodukter inn i de som er beregnet på arbeidsstasjoner og filservere – det er ett enkelt produkt.

Spesifikke trusler og mottiltak

Alle serverspesifikke trusler er ikke så mye assosiert med egenskapene til serveroperativsystemer, men med bruken av sårbar programvare spesifikk for servere.

Microsoft Windows-servere

De samme truslene er relevante for Windows-servere som for arbeidsstasjoner som kjører Windows NT/2000/XP. Forskjellene ligger kun i den foretrukne metoden for å utnytte serverne, noe som resulterer i en rekke ekstra angrep som ikke er typiske for arbeidsstasjoner.

Dermed jobber brukere sjelden direkte på Windows-servere, noe som betyr at e-postklienter og kontorapplikasjoner på servere vanligvis ikke brukes. Som et resultat er krav til e-postbeskyttelse på e-postklientnivå og ytterligere makrovirusdeteksjonsverktøy mindre etterspurt når det gjelder Windows-servere.

Eksempel. Kaspersky Anti-Virus for Windows-filservere mangler, i motsetning til Kaspersky Anti-Virus for Windows-arbeidsstasjoner, en modul for atferdsanalyse av utførte makroer ved arbeid med Microsoft Office-dokumenter og en modul for å sjekke mottatt og sendt e-post. Dette betyr ikke at produktet mangler beskyttelse mot makrovirus og e-postormer - som allerede nevnt, til slutt skannes alle åpnede filer av sanntidsbeskyttelsesmodulen til filsystemet - det er bare det at spesifikasjonene til driftsservere ikke krever ekstra beskyttelsestiltak, slik tilfellet var med arbeiderstasjoner.

På den annen side kan tjenester som Microsoft SQL Server og Microsoft IIS brukes på Windows-servere mye oftere enn på arbeidsstasjoner. I likhet med operativsystemene selv produsert av Microsoft (og ikke bare Microsoft), kan disse tjenestene inneholde sårbarheter, som virusforfattere gjentatte ganger har utnyttet.

Eksempel. I 2003 dukket Net-Worm.Win32.Slammer-ormen opp og blåste bokstavelig talt over Internett, og utnyttet en sårbarhet i Microsoft SQL Server 2000. Slammer lagret ikke filene sine på disk, men ble kjørt direkte i adresseområdet til SQL Server applikasjon. Etter det, i en endeløs loop, angrep ormen tilfeldige IP-adresser på nettverket, og prøvde å utnytte den samme sårbarheten for å trenge inn. Som et resultat av ormens aktivitet ble servere og Internett-kommunikasjonskanaler så overbelastet at hele deler av nettverket var utilgjengelige. Sør-Korea ble spesielt rammet av epidemien. Det er verdt å merke seg at ormen ikke utførte andre handlinger enn reproduksjon.

Eksempel. Enda tidligere, i 2001, ble en sårbarhet i Microsoft IIS 5.0 brukt til å spre Net-Worm.Win32-ormen. CodeRed.a. Konsekvensene av epidemien var ikke like imponerende som i tilfellet med Slammer-ormen, men ved hjelp av datamaskiner infisert med CodeRed .a ble det utført et mislykket forsøk på et DDoS-angrep på nettsiden til det amerikanske hvite hus (www. .whitehouse.gov). CodeRed .a lagret heller ikke filer på diskene til de berørte serverne.

Det særegne med begge ormene er at kontrollmodulen for filsystemet (enten på forespørsel eller ved tilgang) er maktesløs mot dem. Disse ormene lagrer ikke kopier av seg selv på disk og viser generelt ikke sin tilstedeværelse i systemet på noen måte, bortsett fra økt nettverksaktivitet. I dag er hovedanbefalingen for beskyttelse rettidig installasjon av patcher på operativsystemet og programvaren som brukes. En annen tilnærming er å konfigurere brannmurer slik at portene som brukes av sårbare tjenester ikke er tilgjengelige fra utsiden – et rimelig krav for Slammer-beskyttelse, men uakseptabelt for CodeRed-beskyttelse.

Ormer som angriper direkte sårbare operativsystemtjenester, som Lovesan, Sasser, Mytob, etc., forblir også relevante for Windows-servere Beskyttelse mot dem må sikres ved omfattende tiltak – bruk av brannmurer, installasjon av patcher, og bruk av. skanning ved tilgang (de nevnte ormene i tilfelle et vellykket angrep lagrer filene deres på harddisken din).

Tatt i betraktning angrepenes natur kan vi konkludere med at hovedmetodene for å beskytte Windows-servere er: filskanningsmodulen ved tilgang, filskanningsmodulen på forespørsel, skriptkontrollmodulen og hovedteknologiene er signatur- og heuristisk analyse (samt atferdsanalyse i skriptkontrollmodulen) .

Novell Netware-servere

Det er ingen spesifikke virus som kan infisere Novell Netware. Det er imidlertid flere trojanere som stjeler tilgangsrettigheter til Novell-servere, men de er fortsatt designet for å kjøre i Windows OS-miljøet.

Derfor er antivirus for en Novell Netware-server faktisk ikke utformet for å beskytte denne serveren. Hva er dens funksjoner? For å hindre spredning av virus. Novell Netware-servere brukes for det meste som filservere-brukere av Windows-datamaskiner kan lagre filene sine på slike servere eller kjøre programmer som ligger på Novell Netware-volumer. For å hindre virus i å trenge inn i delte ressurser på en Novell-server, eller fra å starte/lese virus fra slike ressurser, er det nødvendig med et antivirus.

Følgelig er hovedverktøyene som brukes i antivirus for Novell Netware skanning ved tilgang og skanning på forespørsel.

Blant de spesifikke teknologiene som brukes i antivirus for Novell Netware, er det nødvendig å merke seg blokkering av stasjoner og/eller brukere som skriver skadelige programmer til serveren.

Unix-servere

Det samme kan sies om Unix-servere som om Novell Netware-servere. Antivirus for Unix-servere løser ikke så mye problemet med å beskytte selve serverne mot infeksjon, men heller problemet med å forhindre spredning av virus gjennom serveren. For å gjøre dette brukes de samme to hovedmidlene:

  • Filskanning på forespørsel
  • Skann filer ved tilgang

Eksempel. Kaspersky Anti-Virus for Unix/Linux filservere inkluderer en skanningsmodul for tilgang, mens Kaspersky Anti-Virus for Linux Workstations ikke har en slik modul. Dette skyldes de ulike funksjonene til Linux-arbeidsstasjoner og servere - i et nettverk bygget utelukkende (eller for det meste) på Linux-stasjoner, er det praktisk talt ingen risiko for virusinfeksjon, og derfor er det ikke noe presserende behov for en modul som kontrollerer alle filoperasjoner . Tvert imot, hvis en Linux-datamaskin brukes aktivt til å lagre og overføre filer (spesielt på et Windows-nettverk), så er det faktisk en server og krever midler for konstant filovervåking.

Mange kjente ormer for Linux bruker til å spre sårbarheter ikke i selve operativsystemet, men i system- og applikasjonsprogramvare - i wu-ftpd ftp-serveren, i Apache-nettserveren. Det er tydelig at slike applikasjoner brukes oftere på servere enn på arbeidsstasjoner, noe som er et tilleggsargument for forbedrede tiltak for å beskytte servere.

I motsetning til Novell-servere, der støtte for Microsoft-nettverk er en innebygd funksjon, støtter ikke Unix-servere SMB/CIFS-filoverføring som standard. For dette formålet brukes en spesiell programvarepakke - Samba, som lar deg lage delte ressurser som er kompatible med Microsoft-nettverk.

Hvis filutveksling kun skjer via SMB/CIFS-protokoller, er det åpenbart ingen vits i å overvåke alle filoperasjoner, det er nok å sjekke kun filer som er overført ved hjelp av Samba-serveren.

Eksempel. I Kaspersky Lab-produktlinjen er det en spesiell løsning - Kaspersky Anti-Virus for Samba Server, designet spesielt for å beskytte delte mapper opprettet på Unix-servere ved hjelp av Samba-programvare. Dette produktet inkluderer ikke en modul som kontrollerer filoperasjoner, i stedet brukes et filter som er innebygd i Samba og fanger opp alle overførte filer.



© Copyright 2024, emupauto.ru - Etterbehandling. Tilbehør. Reparere. Installasjon. Valg. Åpning.