Здравствуйте, уважаемые коллеги!

 
Сегодня мы с вами продолжим разговор об основах обеспечения безопасности вашей локальной сети, начатый в предыдущей статье (ее можно посмотреть на www.mednikov.ru/blog), и рассмотрим такую всем известную, но очень спорную вещь как антивирусное программное обеспечение.

С популярностью все понятно. Раз есть вирусы, значит должно быть и средство для борьбы с ними. Свято место, как известно, пусто не бывает, и вот мы имеем то, что имеем – ИТ-компании уже много лет создают несколько сотен наименований всевозможного ПО, призванного обезопасить вас от вирусной угрозы. Каждый продукт имеет свои плюсы и многомиллионные армии поклонников, которые превозносят избранные ими продукты до небес и готовы чуть ли не до крови спорить со сторонниками конкурирующих антивирусов. Я называю это «религиозными войнами», поскольку страсти разворачиваются нешуточные – крестовые походы и войны католиков с протестантами отдыхают. Хорошо, что обходится без кровопролития, однако вопросы типа «какой антивирус эффективнее?» и «что же мне выбрать?» остаются неразрешенными.

Обидно, и я не устаю говорить об этом, но идеального антивирусного продукта не существует. Наряду со всеми преимуществами, антивирусы любого производителя обладают массой недостатков. Один слишком замедляет работу компьютера, другой требует фантастических знаний в области прикладной вирусологии для полноценной настройки, третий убивает совершенно безобидные файлы но может пропустить банальный троян или спам-бот, четвертый редко обновляется, а пятый стоит почти как Боинг-747 – все не без греха.

Есть и еще один момент – конкуренция между продуктами настолько высока, что купленная сегодня версия одного продукта через два месяца может серьезно отстать от конкурента, а через год на сцене, быть может, появится новый игрок, который «побьет» антивирусных грандов по всем статьям. Если мы будем гнаться за самым новым и самым эффективным продуктом, то сами осложним себе жизнь. Представьте, что такое – обновить антивирус на, скажем, 50 компьютерах, если производитель не позаботился написать нормальный деинсталлятор, коректно убирающий записи из реестра Windows. А если владельцы вашего предприятия поскупились на покупку антивируса, имеющего механизм централизованного управления, удаленного развертывания и удаления продукта – это вообще труба. Кстати, установка 50 копий антивируса, каждая из которого имеет индивидуальную лицензию, тоже не может вызывать у загруженного работой сисадмина оптимизма.

Итак, основной критерий, на который мы должны опираться при выборе антивирусного ПО, почти сформулирован. Наш продукт должен быть ориентирован на использование в корпоративной среде. Это значит, что он должен гарантировано иметь следующие функциональные особенности:

• Обеспечивать установку продукта на защищаемые машины и удаление его с них дистанционно и централизованно, при помощи инструмента администратора. Администратор не должен бегать от компьютера к компьютеру для развертывания продукта.
• Любые изменения в настройках антивируса должны применяться к защищаемым компьютерам дистанционно, при помощи центральной консоли оправления.
• Обеспечивать централизованный контроль за лицензиями. В идеале, должна быть единая лицензия на N защищаемых объектов, а мы при помощи нашей консоли управления должны следить, сколько свободных копий ПО осталось, и сколько нам нужно еще докупить. Обновление и расширение лицензии также должно происходить централизовано
• Желательно, чтобы инструмент администратора позволял находить в сети компьютеры, на которых антивирусная служба не установлена или не запущена. Это значительно облегчит контроль за защищенностью сети, особенно если в ней несколько десятков хостов
• Естественно, обновление всех установленных копий антивируса должно происходить автоматически, по заданному администратором расписанию или как только становится доступным очередное обновление. Разумнее заставить локальные копии антивируса скачивать получать обновления не через интернет, а брать его с сервера управления – так мы сэкономим трафик.
• Инструмент администратора должен предоставлять возможность просматривать логи антивируса с произвольной рабочей станции. При этом желательно, чтобы анализ логов на зависел от того, включена рабочая станция или нет.
• Антивирус должен уметь работать в «тихом» режиме, не извещая пользователя о том, что на его компьютере обнаружена угроза, однако немедленно сообщая об этом администратору по электронной почте или другими доступными способами.
• Администратор должен иметь возможность настроить поведение антивируса при появлении угрозы: извещать ответственного, помещать файл в карантин, удалять файл, пытаться «вылечить» его и др. Естественно, что карантин тоже желательно иметь централизованный. Полезно также иметь единое расписание, определяющее поведение антивируса на локальных машинах.
• «Лечение» и сканирование хостов (как отдельных, так и по группам) также должно быть доступно администратору с единой консоли управления.
• Если антивирус приобретается для большой сети, то инструмент администратора должен иметь возможность создавать несколько вариантов конфигурации и раздавать их различным машинам в соответствиями с решаемыми задачами.
• Анализ событий в системе должен напоминать чтение утренней газеты и просмотр биржевых сводок или результатов футбольных матчей. Если для того, чтобы оценить вирусную ситуацию в сети требуется больше 10-15 минут, грош цена вашему продукту – вы никогда не будете следить за тем, что происходит в сети, т.к. у вас просто не будет на это времени.

Итак, если у вас в сети больше, чем 3-4 компьютера, категорически рекомендую ставить корпоративную версию антивирусного ПО. Если ваша сеть медленно, но верно растет – тем более настаиваю на установке корпоративной версии. Запомните, ни один антивирус не может работать сам по себе в режиме «поставил и забыл»! Особенно, если ваши пользователи активнопользуются интернетом и электронной почтой. Чем больше хостов в сети, тем чаще нужно заглядывать в отчеты, которые собираются с защищаемых хостов централизованной консолью управления антивируса. Неудачно выбранный продукт превратит вас в своего раба – вы будете тратить часы на то, чтобы разобраться с результатами его работы, пока не плюнете и не займетесь чем-то еще, что требует внимания немедленно. С этого момента считайте, что в вашей сети нет антивируса – без контроля со стороны администартора он бесполезен.

Антивирус должен обязательно уметь работать с почтовыми базами наиболее распространенных почтовых клиентов и уметь проверять входящую и исходящую почту. Полезна возможность интегрировать антивирус с браузером (хотя бы с IE), но это не так критично.

Иной читатель возразит мне: «Ориентированность на корпоративного пользователя – это хорошо, но нам же нужно ловить вирусы! Эффективность поиска вирусов должна быть на первом мете!» Так вот, уважаемые коллеги, это не так! Я уже говорил, что абсолютно эффективных антивирусов нет, а теперь скажу еще одну вещь, которая покажется еретической: ВСЕ антивирусы одинаково эффективны. Точнее, все они одинаково НЕ ЭФФЕКТИВНЫ. И не надо так на меня смотреть :-)

Во-первых, любой антивирус потребляет ресурсы компьютера. Это факт. Чем сложнее алгоритмы и тщательнее анализ, тем больше ресурсов требуется. Параноидальный антивирус напоминает немецкий танк Maus времен Великой Отечественной: его броню крайне трудно прострелить, но он был настолько тяжел, что с трудом передвигался даже во время испытаний. Вам надо работать или «сидеть в бункере» в ожидании, что вот-вот придет страшный злобный вирус?

Во-вторых, все обновления антивирусов происходят пост-фактум, т.е. когда новый вирус уже выпущен и поразил тысячи компьютеров. Современные антивирусные комплексы, конечно, позволяют отсеивать даже незнакомые вирусы, блокируя подозрительные файлы, но поверьте, по-настоящему опасный вирус всегда найдет брешь, потому что его авторы с самого начала стараются сделать его незаметным для защитного ПО. В этом соревновании «брони» и «снаряда» у последнего есть некоторое преимущество.

В-третьих, антивирусы пишутся людьми, а людям свойственно ошибаться. Современное ПО пишут команды из сотен разработчиков – можете представить себе влияние человеческого фактора. Уже не раз случались прецеденты, когда обновления антивирусного ПО и даже операционной системы приводило к потере компьютерами работоспособности. Поэтому, никогда не доверяйте антивирусному ПО стопроцентно и не надейтесь, что установка «правильного» продукта навсегда избавит вашу сеть от вирусов. Такого не будет НИКОГДА.

Так что же делать? Как защищаться? Все просто. А точнее - рецепт прост, да ингредиенты мудреные.

Во-первых, купите корпоративную лицензию на ЛЮБОЙ зарекомендовавший себя антивирусный продукт. Вы слышали – НА ЛЮБОЙ! Смиритесь с тем, что у него есть недостатки по сравнению с продуктом X, и сконцентрируйтесь на том, чтобы он соответствовал требованиям, изложенным выше. Это ВАШ инструмент, и ВАМ с ним работать, поэтому сосредоточтесь на том, чтобы он был удобенв использовании и помните, что при нынешнем уровне конкуренции совсем плохих антивирусов у известных компаний не бывает. Лично я предпочитаю корпоративные продукты от ESET (NOD32) и SYMANTEC и недолюбливаю отечественного производителя (за общую топорность исполнения, хотя вирусы они ловят довольно неплохо). С прочими продуктами же я знаком поверхностно, но думаю, что и у них есть свои плюсы. Помните, главное – удобство использования продукта, а остальное вторично.

Теперь, когда продукт выбран, куплен и установлен, начнется настоящая работа по защите вашей сети.

Шаг первый и основополагающий: Лишите всех (слышите, ВСЕХ!) ваших пользователей административных прав на локальных компьютерах. НИ ОДИН пользователь, включая генерального директора, не должен работать на компьютере с правами администратора локального компьютера. Вирус, полученный через браузер, электронную почту, службу мгновенных сообщений и др. – это кусок программного кода. Этот программный код выполняется в системе с правами пользователя, который его запустил. Если вредоносный код запущен через «дырку» в браузере, то он будет исполняться от имени пользователя, запустившего браузер – т.е. с правами того, кто сидит за компьютером в данный момент. Если этот пользователь будет иметь неограниченные права (права локального администратора), вирус получит неограниченный доступ к системным файлам, реестру и другим ресурсам. Если же права пользователя в системе будут ограничены, то и у вредоносного кода будет меньше возможностей выполнить свои действия полностью. Особенно – связанные с регистрацией в реестре Windows и внедрением своего кода в системные файлы.

К сожалению, некоторое ПО (паример, Autocad, банк-клиенты и др.) требует для своей работы административных прав. Это, в первую очередь, связано с тем, как такие программы используют реестр и собственные файлы, расположенные в системных каталогах. В подавляющем большинстве случаев данную проблему можно решить, установив соответствующие разрешения на используемые ветки реестра и файлы. Тем самым мы достигаем того же эффекта, что и при работе с правами администратора. Как это сделать - тема отдельной статьи.

Шаг второй: Защитите ваше интернет-подключение брандмауэром. Разрешите получение и отправку почты только через доверенные серверы – это спасет от распространения заразы. Доступ к прочим почтовым серверам запретите. Запретите также подключение к каким-либо сетевым службам, кроме явно используемых вашими пользователями.

Шаг третий: Если почтовый сервер компании администрируется вами, установите на него спам-фильтр и антивирус. Это, кстати, иногда намного эффективнее, чем городить антивирусный «огород» на рабочих местах. Если почтовый сервер принадлежит провайдеру, но не фильтрует ни спам, ни вирусы - смените почтового провайдера.

Шаг четвертый: если в вашей сети используется Active Directory, запретите пользователям средствами групповых политик запуск файлов, содержащих слова setup, install, runme, crack и др. Это частично застрахует вас от не очень грамотных пользователей, любящих самостоятельно устанавливать всевозможное ПО (грамотный переименует файл и запустит).  Идеальный вариант – запретить запуск вообще всех приложений, кроме явно используемых пользователями (например, Word, Excel, 1C и др.), но это сделать гораздо сложнее, чем посоветовать.

Шаг пятый: теми же средствами AD заставьте систему регулярно очищать папки TEMP при входе в систему и при завершении работы. Тем самым вы избавитесь от вредоносного ПО, «живущего» среди временных файлов (работает против всяческого мусора, написанного вчерашними школьниками и китайцами).

Шаг шестой (спорный): смените браузер с Internet Explorer на Firefox. В последнем тоже есть уязвимости, и придется попотеть, чтобы найти шаблоны для централизованного управления его настройками через AD, однако результат того стОит.

Шаг седьмой: следите за загруженностью внутреннего интерфейса маршрутизатора, соединяющего вашу сеть с Интернетом. Беспричинный скачкообразный рост исходящего трафика почти 100% свидетельствует о работе спамбота на одном из хостов.

Все это вместе с установкой антивирусного ПО значительно повысит защищенность вашей сети. Простые меры, перечисленые выше значительно сокращают риск поражения компьютеров вредоносным ПО, а установленный корпоративный антивирус любого из ведущих производителей подстрахует вас.

На сегодня это все. В следующем выпуске рассылки мы с вами поговорим о том, как организовать свою работу таким образом, чтобы избавиться от беготни от пользователя к пользователю, как высвободить свое время под занятие долгосрочными проектами и самообразованием и наконец из «админа на побегушках» начать превращаться в уважаемого специалиста. В этом нам поможет «концепция ленивого админа», о которой и подет речь в следующей статье.
Оставайтесь с нами!

 
С уважением,
Павел Медников

 
P.S. Все предыдущие статьи и другие материалы на ИТ-тематику можно по-прежнему найти на моем сайте по адресу www.mednikov.ru