Спецификой корпоративных антивирусных решений является значительный урон от потенциальных угроз информационной безопасности – ведь при вирусной атаке на пользовательский ПК пострадает только его владелец. Кроме того, дело в ответственности, которую несут не персональные пользователи, как в случае с продуктами для массового рынка, а IT-специалисты компаний. Именно от них, а не от каждого отдельного работника зависит надежность корпоративной защиты, которая здесь определяется в том числе быстротой реакции на возможные инциденты, а также способами их предотвращения. Для этого в решения для бизнеса включают широкие возможности по автоматизации самого процесса защиты, а также по минимизации человеческого фактора – например, отдельный пользователь не сможет отключить антивирус, проломив тем самым брешь в системе защиты, поскольку даже не будет знать, что тот работает. Кроме того, набор встроенных политик и стандартных настроек позволит избежать общего заражения в случае, к примеру, подключения инфицированной флешки или ноутбука к внутренней сети. Поскольку подобная функциональность была реализована еще в предыдущих корпоративных продуктах «Лаборатории Касперского», этот материал посвящен именно новым возможностям и дополнительной функциональности KOSS R2.
KOSS R2 представляет собой линейку из четырех корпоративных продуктов, которые отличаются набором компонентов, обеспечивающих безопасность сети. Наиболее многофункциональными являются комплексы Kaspersky Enterprise Space Security (KESS) и Kaspersky Total Space Security (KTSS), которые защищают практически все: не только рабочие станции, но файловые и почтовые серверы (а KTSS обеспечивает еще и безопасность интернет-шлюзов, а также безопасный доступ к информационным ресурсам компании). Эти продукты подходят для очень крупных компаний со сложной структурой внутренней сети. В свою очередь, базовые продукты Kaspersky Work Space Security (KWSS) и Kaspersky Business Space Security (KBSS) подойдут предприятиям малого и среднего бизнеса. Помимо защиты рабочих станций и смартфонов, входящих в возможности KWSS, KBSS обеспечивает также и защиту файловых серверов. Kaspersky Administration Kit 8.0, входящий в каждый из четырех корпоративных продуктов, обеспечивает централизованную установку, управление и обновление системы. Она также поддерживает масштабируемость всей системы, актуальную централизованную информацию о статусе антивирусной защиты сети (dashboards) и контроль использования сотрудниками внешних устройств. Специальная политика безопасности для мобильных пользователей, поддержка технологий контроля доступа к сети (Cisco® NAC и Microsoft® NAP), а также развитая система отчетов о состоянии системы защиты сети гарантирует безопасность пользователя, где бы тот ни находился: в офисе, у клиента или в командировке.
Между тем в KOSS R2 были обновлены следующие приложения: Антивирус Касперского 6.0 для Windows Workstations (KAV for WKS 6.0 R2), Антивирус Касперского 6.0 для Windows Servers (KAV for SRV 6.0 R2) и Антивирус Касперского 6.0 Second Opinion Solution (KAV SOS 6.0 R2). Новые приложения теперь полностью совместимы с операционными системами от Microsoft Windows 7 и Windows Server 2008 R2.
Программа Kaspersky Administration Kit (далее – Administration Kit 8.0) состоит из трех основных компонентов. Это сервер администрирования, который осуществляет функции централизованного хранения информации об установленных в сети предприятия программах «Лаборатории Касперского» и управления ими. Следующий компонент – это агент администрирования, осуществляющий взаимодействие между сервером администрирования и программами «Лаборатории Касперского», установленными на конкретном сетевом узле (рабочей станции или сервере). Данный компонент является единым для всех Windows-программ, входящих в состав продуктов Kaspersky Open Space Security. Для Novell- и Unix-программ «Лаборатории Касперского» существуют отдельные версии агента администрирования. И последним компонентом системы является консоль администрирования, предоставляющая пользовательский интерфейс к административным службам сервера и агента. Консоль администрирования выполнена в виде компонента расширения к Microsoft Management Console (MMC). Она позволяет подключаться к серверу администрирования как локально (с сервера), так и удаленно, включая доступ через VPN.
Новая версия Administration Kit 8.0 может использоваться как для первоначальной установки, так и для обновления всех ранее выпущенных версий программы. В восьмой версии появились или были улучшены более 40 функций, что позволяет реализовать гибкую модель управления антивирусной защитой в организациях, имеющих компьютерные сети самого разного размера – от нескольких ПК до распределенных сетей со сложной структурой управления. К примеру, была реализована модель так называемой «Защиты из коробки»: настройки по умолчанию и вшитые в инсталлятор дополнительные приложения (такие как Microsoft.NET Framework или MS SQL Express) позволяют развернуть полноценную антивирусную защиту всего за несколько минут. Поддержка иерархии серверов пригодится большим компаниям с разветвленной корпоративной сетью: она позволяет задать подчиненные серверы и центральный, с разным набором прав у администраторов. Еще стоит упомянуть функцию проверки обновлений антивирусных баз, позволяющую протестировать обновление на одной или нескольких заранее указанных машинах и в случае успеха распространить его на всю сеть.
Панель результатов в закладке «Статистика»
В случае первоначальной установки Administration Kit 8.0 при развертывании системы безопасности перед распространением антивирусных клиентов на компьютеры необходимо произвести поиск компьютеров в сети. Восьмая версия администратора позволяет искать компьютеры в Active Directory (отображаются в узле Unassigned computers/Active Directory), Microsoft Windows Network, IP-подсетях, а также импортировать данные о компьютерах вручную. Найденные в системе компьютеры позволяет вручную или автоматически сгруппировать по определенному критерию (например, географический признак, важность узлов и т. д.), а также определить специальные политики и задачи для созданных групп и указать для них специальные агенты обновления (update agents). Например, компьютеры компании находятся в нескольких городах (Москва, Санкт-Петербург, Милан). Имеет смысл создать соответствующие группы в Administration Kit 8.0 и распределить компьютеры по этим группам. Затем можно указать компьютеры, которые будут играть роль агентов обновления для этих групп. Также можно определить специальные политики безопасности для компьютеров в разных городах и инсталлировать серверы управления для оптимизации трафика. В некоторых случаях требуется создать структуру групп в системе. При наличии готовой структуры организационных единиц и компьютеров в Active Directory можно импортировать ее в Administration Kit 8.0 с помощью мастера импорта.
Следующий этап связан с распространением пакета с агентом администрирования и антивирусом на рабочие станции, которое следует производить поэтапно. Сначала нужно произвести тестовую установку на несколько компьютеров, чтобы определить необходимые настройки и проверить процесс установки. Только затем следует запустить установку клиентов на небольшое количество компьютеров, чтобы исключить проблемы совместимости клиента с бизнес-приложениями. После всех тестов можно приступать к массовому распространению клиентов на компьютеры сети. В случае широкого распределения компьютеров по подсетям следует осуществлять распространение пакета в различных подсетях в разное время во избежание возможных перегрузок WAN-каналов. В случае повышенной их загрузки в Administration Kit 8.0 можно снизить нагрузку за счет ограничения времени или скорости передачи данных (например, с 8.00 до 19.00 ограничение 100 Кбит/с, с 19.00 до 8.00 – без ограничений).
После завершения массового распространения антивируса можно создать процессы автоматической установки клиентов на новые компьютеры в сети. Для новых компьютеров, добавляемых в каждую группу, Administration Kit 8.0 позволяет задать автоматическую установку инсталляционных пакетов. Далее следует определить стандартный функционал (приложения, сервисы, порты и открытые папки и т. д.) для компьютеров каждой группы, политику для мобильных пользователей и задать параметры политики для экстренной ситуации (например, вирусная атака или отказ функционирования). И уже после этого все протестировать.
Теперь KAV for WKS 6.0 R2 кроме операционных систем Windows XP и Vista поддерживает новую ОС Microsoft Windows 7. А KAV for SRV 6.0 R2 помимо Windows 2000 Server/Server 2003 еще и Microsoft Windows Server 2008. Между тем современные угрозы чаще направлены на новые, широко распространенные платформы, поэтому от поддержки устаревших ОС, таких как NT Server 4.0 (у KAV for WKS 6.0 R2 – Windows 98/Me и NT 4.0), в новых версиях разработчики антивируса (как и в самой Microsoft) отказались. Их поддержку оказывают корпоративные продукты «Лаборатории Касперского» версии 6.0 MP3 и ниже.
Во всех антивирусных решениях нового релиза использовано обновленное антивирусное ядро и внедрен эвристический анализатор. Кроме того, добавлена возможность создавать файлы трассировки непосредственно из приложения, что облегчает работу администратора по расследованию инцидентов в системе антивирусной безопасности. Новое антивирусное ядро дает пользователям значительное увеличение скорости проверки объектов, снижение уровня потребления системных ресурсов и уменьшение влияния на работу других приложений. Новое ядро позволяет более эффективно бороться с вредоносными программами, использующими технологии сокрытия следов присутствия в системе (rootkit-технологии), а также дает возможность наряду с обновлением антивирусных баз обновлять и модули антивирусного ядра для внедрения новых методов защиты, детектирования и лечения вредоносных программ без необходимости переустанавливать само приложение.
Эвристический анализатор на базе модуля проактивной защиты PDM2 (Proactive Defense Module 2) предназначен для анализа поведения программ, исполняемых на компьютере пользователя, их классификации по уровню доверенности и блокирования активности вредоносных программ. Большинство зловредов выполняют действия, которые могут послужить индикаторами опасности (внедрение кода в исполняемые файлы, запись в некоторые области системного реестра, открытие портов на прослушивание, мониторинг клавиатурных событий и т. д.). В случае отсутствия образца вредоносной программы в антивирусных базах эвристический анализатор запускает ее в изолированной виртуальной среде (эмуляция). Модуль PDM2 классифицирует активность программ на безопасную, опасную и подозрительную. После обнаружения вредоносных программ их дальнейшие действия блокируются, ограничивая доступ опасного ПО к системным ресурсам и предотвращая его дальнейшее размножение и распространение.
Компоненты защиты
Защита KAV for SRV 6.0 R2 и KAV for WKS 6.0 строится на одних и тех же принципах, однако реализована для каждого узла сети по-разному. В целом она включает в себя файловый антивирус, обеспечивающий контроль над объектами файловой системы компьютера в режиме реального времени, задачи проверки на вирусы, посредством которых компьютер или отдельные файлы, папки, диски, области проверяются на присутствие вирусов. Кроме того, это и обновление баз, использующихся для поиска вредоносных программ, а также сервисные функции, обеспечивающие информационную поддержку в работе с программой и позволяющие расширить ее функциональность.
Для KAV for SRV 6.0 R2 защита реализована следующим образом. Файловый антивирус контролирует файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере и всех присоединенных дисках. В случае невозможности лечения файла он удаляется с сохранением его копии в резервном хранилище или помещается в карантин. Помимо защиты с помощью файлового антивируса, крайне важно периодически проводить проверку сервера на присутствие вирусов (проверка, полная проверка, быстрая проверка). Это необходимо делать для того, чтобы исключить возможность распространения вредоносных программ, которые не были обнаружены файловым антивирусом, например, из-за установленного низкого уровня защиты или по другим причинам. Сервис копирования обновлений позволяет сохранять обновления баз, а также модулей программы, полученных с серверов «Лаборатории Касперского», в локальном каталоге, а затем предоставлять доступ к ним другим компьютерам сети в целях экономии интернет-трафика. Антивирус Касперского включает в себя ряд сервисных функций. Они предусмотрены для поддержки программы в актуальном состоянии, расширения возможностей использования программы, для оказания помощи в работе. К ним относятся файлы данных (формирование отчетов, карантин, резервное хранилище), диск восстановления, лицензия, поддержка.
KAV for SRV 6.0 R2 может быть установлен на компьютер несколькими способами. Это локальная установка программы на отдельном компьютере, которая может быть проведена в интерактивном режиме с помощью мастера установки программы с участием самого пользователя, а также вообще без его участия с запуском из командной строки. Кроме того, предусмотрена и удаленная установка программы на компьютеры сети, выполняемая удаленно с рабочего места администратора. Перед началом установки KAV for SRV 6.0 R2 (в том числе и удаленной) рекомендуется закрыть все работающие программы.
Компоненты защиты
Все четыре компонента защиты, характерные для защиты KAV for SRV 6.0 R2, применяются и для антивирусной защиты рабочих станций с помощью KAV for WKS 6.0 R2. Его отличие заключается, главным образом, в увеличенном числе компонентов защиты. Помимо файлового антивируса (проверка всех открываемых, запускаемых и сохраняемых файлов на компьютере и всех присоединенных дисках), для рабочих станций введен почтовый антивирус (проверка всех входящих и исходящих почтовых сообщений на предмет вредоносных программ и фишинг-мошенничества), а также веб-антивирус (перехват и блокировка выполнения скрипта на веб-сайте, контроль http-трафика, анализ веб-страниц на предмет фишинг-мошенничества). Кроме того, это проактивная защита (обнаружение вредоносных программ по их поведению), анти-шпион (перехват и блокировка программ несанкционированного дозвона на платные сайты, баннеров, всплывающих окон), анти-хакер (контроль исходящих и входящих соединений, проверка портов и пакетов данных), анти-спам и контроль доступа к внешним устройствам. Из новых дополнительных возможностей KAV for WKS 6.0 R2 особо стоит отметить проверку IM-трафика (ICQ, MSN) на наличие вредоносного кода и ссылок на фишинговые сайты, поддержку перспективного протокола IPv6 уже сегодня, а также проверку защищенных SSL-соединений в Internet Explorer, Opera и Firefox и т. д.
Антивирус Касперского 6.0 для Windows Workstations можно установить теми же способами, что и KAV for SRV 6.0 R2. А именно: локальная (с участием или без участия пользователя) и удаленная установка.
Для защиты современной корпоративной сети требуются полноценные решения, обеспечивающие безопасность каждого сетевого узла – и серверов, и рабочих станций, – а также удобное централизованное управление системой защиты. Новые корпоративные продукты «Лаборатории Касперского», дополненные новыми функциональными возможностями, отвечают этим требованиям в полной мере. Какой бы из продуктов KOSS R2 ни выбрал пользователь (в данном случае – системный администратор), он получит надежное решение для антивирусной защиты и удобные инструменты для управления корпоративной сетью. Реальным доказательством этому служит большое количество корпоративных клиентов «Лаборатории Касперского» как в России, так и за рубежом. Только из последних поставок корпоративных продуктов, включавших до ста тысяч лицензий, можно отметить Федеральную налоговую службу России, Федеральную таможенную службу России, Пенсионный Фонд России и Пенсионный Фонд Украины, Белорусскую железную дорогу, а также крупные коммерческие компании – «ВолгаТелеком», «Аэрофлот-Дон», «Уралсиб-Юг Банк», «Московская страховая компания», «РусГидро», «ВымпелКом» и многие другие.
Рассказывает IT-директор компании «МИЦАР» Игорь Оськин: «Продукты «Лаборатории Касперского» используются в компании «Мицар» с 2002 года. Поводом к знакомству с ними послужил один неприятный вирус (модификация Nimda), с которым не получилось справиться стандартными средствами. Однако бесплатная утилита, загруженная с сайта «Лаборатории», избавилась от вредоноса без проблем. Вскоре было принято решение о построении единого пространства информационной безопасности, способного защитить корпоративную сеть компании. Проанализировав все варианты, мы остановили свой выбор на «Лаборатории Касперского», продукты которой полностью удовлетворяли нашим требованиям: централизованное управление, русскоязычный интерфейс, регулярное обновление, высокая скорость детекта. Сейчас можно с полной уверенностью сказать, что мы не ошиблись в выборе. Благодаря корпоративным продуктам «Лаборатории Касперского», у нас ни разу не было случаев массового заражения компьютеров в сети, все масштабные вирусные эпидемии последних лет обошли нас стороной».
Игорь Оськин продолжает: «Благодаря встроенному компоненту Administration Kit, наши IT-специалисты получили возможность централизованно управлять антивирусной защитой, в реальном времени отслеживая ситуацию как в сети центрального офиса, так и в удаленных филиалах. Обширная и гибко настраиваемая система отчетов своевременно информирует системного администратора о состоянии сетевой защиты и предупреждает о возможных проблемах. Отдельно надо отметить устойчивость продуктов – сложно припомнить случаи сбоев в их работе. Причем последние версии решений, входящие в корпоративную линейку Kaspersky Open Space Security R2, используют обновленное антивирусное ядро, благодаря чему повысились скорость и качество детекта. Это является наглядным свидетельством того, что разработчики стараются сделать продукт дружественным как для пользователя, так и для администратора. Хочется сказать спасибо «Лаборатории Касперского» за качественный и надежный продукт!»
Евгений Питолин, региональный представитель «Лаборатории Касперского»
Е-mail: evgeny.pitolin@ru.kaspersky.com
web: http://www.kaspersky.ru; http://www.viruslist.com