CC BY
71
Ю.С. Вознесенский
РЕАЛИЗАЦИЯ ЦЕНТРАЛИЗОВАННОЙ СИСТЕМЫ БЕЗОПАСНОСТИ КОМПЬЮТЕРОВ, ОБЪЕДИНЕННЫХ В ЛВС
^безопасность работы системы обеспечивается централизованной антивирусной системой и групповыми политиками
доступа.
Централизованная антивирусная система
Антивирусная программа (антивирус) — изначально программа для обнаружения и лечения программ, заражённых компьютерным вирусом, а также для предотвращения заражения файла вирусом (например, с помощью вакцинации). Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. И напротив — программы, создававшиеся как файрволы, также обретают функции, роднящие их с антивирусами (например Outpost Firewall), что со временем может привести к ещё более очевидному распространению смысла термина на средства защиты вообще. Можно также вспомнить сходство назначений ADinf (позиционировавшийся как антивирус) и tripwire (IDS). Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов. К сожалению, конкуренция между антивирусными компаниями привела к тому, что развитие идёт в сторону увеличения количества обнаруживаемых вирусов (прежде всего для рекламы), а не в сторону улучшения их детектирования (идеал — 100 %-е детектирование) и алгоритмов лечения заражённых файлов. Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.
Методы обнаружения вирусов
Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач: Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах
Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Метод соответствия определению вирусов в словаре Основная статья: Обнаружение, основанное на сигнатурах Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий:
Удалить инфицированный файл.
Заблокировать доступ к инфицированному файлу.
Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
Попытаться восстановить файл, удалив сам вирус из тела файла.
В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке
Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олиго-морфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Метод обнаружения странного поведения программ Основная статья: Обнаружение аномалий
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (ехе-файл), программа-антивирус может пометить
этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.
Другие названия: Проактивная защита, Поведенческий блокиратор, Host Intrusion Prevention System (HIPS). В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe'n'Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.
Метод обнаружения при помощи эмуляции
Основная статья: Обнаружение, основанное на эмуляции
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Другие методы обнаружения вирусов
Эвристическое сканирование — метод работы антивирусной программы, основанный на сигнатурах и эвристике, призван улуч-
шить способность сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100 %, но в подозрительной программе налицо более общие признаки вируса. Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.
Пример технологии эвристического сканирования — Bloodhound — применяется компанией Symantec в продукте Norton Antivirus. Эвристика призвана сделать сигнатуры более гибкими, полное совпадение не обязательно. В качестве одной из многочисленных возможных «подсказок» могут рассматриваться даже такие простые признаки, как наличие в подозрительном файле слова virus
Классификация антивирусов
Касперский, Евгений Валентинович использовал следующую классификацию антивирусов в зависимости от их принципа дейт-свия (определяющего функциональность):
Сканеры (устаревший вариант "полифаги") Определяют наличие вируса по БД, хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется акутальностью вирусной базы и наличием эвристического анализатора (см. Эвристическое сканирование).
Ревизоры Запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений. (Класс близкий к IDS).
Сторожа (мониторы) Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.
Вакцины Изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных условиях, когда количество возможных вирусов измеряется десятками тысяч, этот подход неприменим.
Антивирус защищает систему от вирусов, но простая установка антивирусных программ на клиентские машины и сервер не отвечает идеологии построения сетевой безопасности и защиты от лавинообразных вирусных атак, поэтому на серверной машине был установлен сервер антивируса, который следит за состоянием клиентских машин, принимает решения при обнаружении вирусов и вредоносных программ. В качестве антивируса был использован
Symantec Endpoint Security 11-й версии. Это - централизованная система обеспечения безопасности, состоящая из серверной и клиентской части. Серверная часть обеспечивает разовое запланированное скачивание обновлений и их рассылку клиентским антивирусам, также она обеспечивает контроль над их состоянием и общим состояние системы. Клиентская часть антивируса обеспечивает безопасность локальной машины, на которую она установлена, также после установки клиента антивируса машина становится частью централизованной системы обеспечения безопасности и подчиняется установленным на сервере настройкам политики. В Symantec Endpoint Security присутствует превентивная система защиты от вирусов. Она обеспечивает «умное» распознавание вирусов и атак, которое призвано распознавать неизвестные вредоносные программы и причинение вреда системе.
I|l Symantec Endpoint Protection
Status
Scan for threats Change settings View quarantine View logs
Your computer is protected.
No problems detected.
Protection Technologies The follo wing Symantec protection technologies are installed on your computer:
r-ъ ^ Antivirus and Antispywaie Protection UB Protects against viruses, trojan horses, and spyuvare Definitions: 12 ноября 2007 г. rl7 On [ Options ]
) Proactive Threat Protection
Provides zero-day protection against unknown threats Definitions: 9 ноября 2007 г. r24
Рис. 1. Интерфейс Symantec Endpoint Protection, клиент Установка антивируса (Серверная часть)
1) Устанавливаем консоль управления
2) Принимаем условия лицензионного соглашения
(Л Symantec Endpoint Protection Manager
License Agreement
Please read the following license agreement carefully.
SYMANTEC SOFTWARE LICENSE AGREEMENT
SYMANTEC CORPORATION AND/OR ITS AFFILIATES ^SYMANTEC'} IS WILLING TO LICENSE THE LICENSED SOFTWARE TO YOU AS THE INDIVIDUAL, THE COMPANY, OR THE LEGAL ENTITY THAT WILL BE UTILIZING THE LICENSED SOFTWARE (REFERENCED BELOW AS "YOU" OR "YOUR1) ONLY ON THE CONDITION THAT YOU ACCEPT ALL OF THE TERMS OF THIS LICENSE AGREEMENT ('LICENSE AGREEMENT). READ THE TERMS AND CONDITIONS OF THIS LICENSE AGREEMENT CAREFULLY BEFORE USING THE LICENSED SOFTWARE. THIS IS A LEGAL AND ENFORCEABLE CONTRACT BETWEEN YOU
AMR SYMAWTFn RY fl PEN JIM ft TWF I ICFMSFn snriwaRF PAfttfAftF
(* [I accept the terms in the license agreement!
C* I d□ not accept the terms in the license agreement
InstallShield---------------------------------------------
< Back
Next >
Cancel
З) Задаем каталог установки
I j'^ Symantec Endpoint Protection Manager
Destination Folder Click Next to install to this folder, or click Change to install to a different folder. ^ Symantec.
/ Install Symantec Endpoint Protection Manager to; \ J C:\Program Files\Symantec\Symantec Endpoint Protection Manager^ Change...
Tnrh =.IICKi=W
< Back | j Next > Cancel
4) Выбирается использование существующего сайта (если какие-либо приложения используют ГО-сервисы) или создание своего.
2ІІ
Select Web site
Select IIS Web site configuration options.
Symantec Endpoint Protection Manager uses Internet Information Services (IIS). For maximum security, Symantec Endpoint Protection Manager should utilize its own custom Web site., but doing so will disable other Web applications using this IIS server, If you are not running other Web applications from this IIS server, you should select the option below which creates a custom Web site.
f Use the default Web site
Other Web applications will continue to work, but is not as secure.
(* [Create a custom Web site!
Other Web applications will not work, but is more secure.
InstallShield--------------------------------------------------------------------------------------------------
< Back | Next > | Cancel
j'JP Symantec Endpoint Protection Manager
5) Устанавливаем консоль
6) Приступаем к настройке будущего сервера. Задаем тип используемого web-сайта для сервера, имя сервера, его порт, размещение данных, имя сайта, пароль шифрования данных, тип используемой базы данных, создаем администраторскую учетную запись.
7) Запускается процесс создания базы данных
The database is being created and initialized. This will take a few minutes.
Installing service...
8) Запускаем интерфейс по созданию готовых дистрибутивов клиентов. Процесс создания дистрибутива будет описан в статье, посвященной обеспечению обновлений системы.
9)
10)Приступаем к установке серверной части антивируса
11)Принимаем условия лицензионного соглашения
j'^ Symantec Endpoint Protection
License Agreement
Please read the following license agreement carefully.
SYMANTEC SOFTWARE LICENSE AGREEMENT
SYMANTEC CORPORATION AND/OR ITS AFFILIATES f SYMANTEC'} IS WILLING TO LICENSE THE LICENSED SOFTWARE TO YOU AS THE INDIVIDUAL, THE COMPANY, OR THE LEGAL ENTITY THAT WILL BE UTILIZING THE LICENSED SOFTWARE (REFERENCED BELOW AS “YOU" OR'YOURO ONLY ON THE CONDITION THAT YOU ACCEPT ALL OF THE TERMS OF THIS LICENSE AGREEMENT ('LICENSE AGREEMENT'). READ THE TERMS AND CONDITIONS OF THIS LICENSE AGREEMENT CAREFULLY BEFORE USING THE LICENSED SOFTWARE. THIS IS A LEGAL AND ENFORCEABLE CONTRACT BETWEEN YOU
AND SVMANTFn RV ClPFMIWrt THF I irFMSFD SDFTWARF PArk"flrtF
!l accept the terms in the license agreement!
C I do not accept the terms in the license agreement
InstallShield---------------------------------------------
zi
< Back
Next >
Cancel
12)Выбираем тип установки с выбором уста-навливаемых компонентов
13)Выбираем компоненты для установки
Symantec Endpoint Protection x]
Custom Setup Select the program features you want installed. ^ Symantec.
Click on an icon in the list below to change how a feature is installed.
____J ”• | Antivirus and Antispyware Protection
- ____J ^ | Antivirus Email Protection
■Q TI Outlook Scanner X ’’ Notes Scanner
El...^ | Proactive Threat Protection
Proactive Threat Scan Application and Device Control
El-
X ' | Network Threat Protection
X I Firewall and Intrusion Prevention
■Feature Description-------------
This feature installs required files for all Symantec Endpoint Protection features and subfeatures. You cannot deselect this feature.
This feature requires 429MB on your hard drive.
Install to:
C:\Program Files\5ymantec\5ymantec Endpoint Protection\ Change...
Help Space < Back Next > Cancel
14)Разрешаем автоматическую защиту и выбираем запуск обновления с интернет - сервера.
I j'^ Symantec Endpoint Protection
Protection Options Choose the protection options that best serve your needs. Symantec.
To make optimum use of Symantec Endpoint Protection, you should enable Auto-Protect.
Enable Auto-Protect
/e recc ave thi
Ы R Run LiveUpdate
We recommend that you run LiveUpdate at the end of the installation to ensure that you have the most current protection available.
Install5hield -
15)Устанавливаем антивирус
Ij'JJ Symantec Endpoint Protection 2<]
Ready to Install the Program The wizard is ready to begin installation. ^ Symantec.
Click Install to begin the installation.
If you want to review or change any of your installation settings, click Back. Click Cancel to exit the wizard.
Install5hield---------------------------------------------------------------------------------------------------------
<Back ІГ...............Install.......j| Cancel
16)3авершаем установку
Установка антивируса (Клиентская часть)
Производится после создания клиентского дистрибутива антивируса, который создается средствами серверной части антивируса.
Существует 2 способа установки:
1) через Active directory разослать сгенерированный файл и запустить установку
2) скопировать файл и запустить на каждой клиентской машине.
Установка производится в silent режиме и не требует контроля процесса установки. Установленный клиент будет автоматически настроен на сервер и готов к работе.
Групповые политики безопасности
Для обеспечения безопасности всей сети недостаточно обеспечить безопасности отдельно взятой клиентской машины, необходимо создать систему, которая следила бы за безопасностью всей системы в целом. Для этого и существуют групповые политики безопасности, подобно солдатам, которые «держат строй» при обороне, они обеспечивают целостное противостояние возможным угрозам. Реализуются групповые политики безопасности с помощью центральной антивирусной защиты и службы каталогов, которая назначает группы пользователей со своими уровнями доступа и правами, доступными файлами и программами. Это обеспечивает легкое управление правами и уровнем доступа пользователей.
Причисленная один раз к той или иной группе пользователей, клиентская машина наследует права и политику данной группы, которая в свою очередь назначается администратором. В качестве программной реализации службы каталогов выбрана Active Directory, это ПО отвечает всем требованиям системы и обладает широкими возможностями по настройке групповых политик, а также администрирование групп пользователей.
Рис. 2. Интерфейс Active Directory
Централизованная антивирусная система и групповые политики безопасности вкупе обеспечивают единую систему безопасности, защищающую систему как от лавинообразных вирусных атак, вредоносных программ, так и от ошибок или умышленных опасных действий пользователей,
— Коротко об авторе ----------------------------------------------
Вознесенский Ю.С. - студент, Московский государственный горный университет.
