Защита серверов и рабочих станций

Диагностика

Диагностика состояния и результатов функционирования антивируса проявляется в двух плоскостях:

• Уведомления пользователю
• Ведение журналов

Уведомления бывают двух видов: локальные и сетевые. Локальные могут выражаться в виде информационных окон, всплывающих сообщений в системной панели, в виде изменения статуса антивируса (в той же системной панели или в окне интерфейса). В какой-то мере локальным уведомлением может считаться запись в журнал.

Сетевые уведомления предназначены для уведомления не пользователя, а администратора антивирусной безопасности, отвечающего за защиту сети в целом. Следовательно, сетевые уведомления могут быть реализованы только в сетевой (корпоративной) версии антивируса, в персональной версии сетевые уведомления не имеют смысла.

Наиболее распространенными способами доставки сетевых уведомлений являются электронная почта и служба оповещений Windows (имя службы - Оповещатель (Messenger)). Существуют и другие способы доставки, но они редко бывают реализованы непосредственно в антивирусе, поэтому о них речь пойдет позже при рассмотрении подсистемы диагностики в системе администрирования.

Стоит отметить, что наличие встроенных в корпоративный антивирус для рабочих станций возможностей уведомления по сети обычно характерно для тех производителей, у которых система администрирования не является бесплатной, а поставляется и лицензируется как отдельный продукт. У производителей, предлагающих систему администрирования бесплатно, сам по себе антивирус, как правило, сетевые уведомления отправлять не может.

Хотя журналы работы и можно рассматривать как один из вариантов уведомления, все же их функции несколько шире. Если уведомления - действия разовые, не оставляющие после себя никаких следов, то журналы остаются и могут быть проанализированы для выяснения причин заражения, сбоев, неполадок и других инцидентов.

Существуют различные подходы к ведению журналов:

• Журналы создаются отдельно для каждого выполнения любой задачи. Т. е. каждый запуск задачи проверки по требованию или обновления создает отдельный журнал, помимо этого ведется журнал событий, не связанных с выполнением задач
• Журналы ведутся для различных типов выполняемых действий - общий журнал обновлений, общий журнал постоянной защиты, общий журнал проверки по требованию и т.д. Вырожденным случаем является ситуация, когда все события проверки попадают в один журнал, события обновления - в другой, а прочие события просто в журналах не фиксируются

Преимущества есть у обоих подходов, в первом случае упрощается анализ отдельного журнала, но возникает проблема поиска нужного, во втором - сразу понятно, где искать, но сам поиск по журналу может составить проблему.

Кроме этого возможны различия в форматах хранения журналов и, как следствие, способах работы с ними. Если журналы сохраняются в обычном текстовом формате с понятными описаниями событий, их можно анализировать в любом текстовом редакторе. Но нередко журналы хранятся в служебных нечитаемых форматах и для работы с ними нужно использовать встроенные в антивирус средства.

Иногда в дополнение к событиям, в журналы записывается информация о настройках (задачи или антивируса) при которых это событие имело место. Что касается самих событий, то в них обязательно указывается дата и время, тип события, описание и перечисление важных для данного события параметров. Например, при обнаружении вируса должны указываться тип вируса и имя зараженного файла, а также предпринятое действие.

Надежность

Под надежностью понимается несколько аспектов работы антивируса. Во-первых, это способность противодействовать вредоносным программам, пытающимся отключить антивирусную защиту. Во-вторых, это инструменты для защиты от необдуманных или небезопасных действий пользователя. Наконец, в-третьих, это недопущение потери данных по вине антивирусного средства.

Защита от вредоносного кода

Последние годы вредоносные программы не только маскируются и стараются остаться незамеченными, но и активно противостоят антивирусным средствам путем выгрузки из памяти соответствующих модулей, удаления файлов с дисков компьютера, блокирования доступа к серверам обновления.

Среди технологий, призванных противостоять таким действиям вирусов, можно выделить несколько основных:

• Глубокая интеграция в операционную систему - выгрузка антивирусных компонентов, выполненных в виде драйверов, представляет собой весьма сложную, если вообще выполнимую задачу. Соответственно, если такой компонент способен автономно выполнять проверку и блокирование зараженных файлов, вредоносная программа не сможет заметно повлиять на степень защиты
• Использование технологии "сторожа" (watchdog) - помимо основных служб и процессов антивируса, запускается специальный сторожевой процесс, который следит, чтобы ключевые компоненты антивируса были запущены. Если этот процесс обнаруживает, что какие-то из ключевых компонентов выгружены из памяти он либо производит попытку повторно запустить их, либо сообщает о проблеме пользователю (администратору)
• Использование случайных имен для ключевых процессов - поскольку вредоносные программы опираются на фиксированные имена файлов (процессов), относящихся к антивирусным средствам, использование случайных имен усложнит задачу по выгрузке антивирусных средств. В качестве варианта реализации случайные имена могут даваться не антивирусным процессам, а сторожевому процессу

Защита от действий пользователя

Не только вредоносные программы, но и сами пользователи могут быть причиной частичного или полного отключения антивирусных средств. Имеет место распространенный предрассудок, что антивирусные средства являются основной причиной снижения производительности или появления сбоев в работе компьютера. Исходя из такого мнения, многие пользователи стремятся отключить антивирусную защиту либо отдельные ее функции каждый раз, когда они (пользователи) испытывают неудобства в работе.

С точки зрения администратора антивирусной безопасности подобные действия являются крайне нежелательными, поскольку компрометируют защиту сети в целом (речь не идет о действиях пользователей персональных антивирусов). Чтобы воспрепятствовать вмешательству пользователей в работу антивирусных средств, конечно, должны использоваться административные меры, но помимо них могут применяться и встроенные в антивирусные средства технологии ограничения действий пользователей.

К таковым могут относиться:

• Полный запрет или установка защиты паролем на выгрузку антивирусных средств
• Полный запрет или установка защиты паролем на деинсталляцию антивирусных средств
• Выборочная либо полная защита (паролем либо безусловная) от изменения параметров работы антивирусных средств

Дополнительные средства защиты связаны с применением системы управления и использованием политик, о чем и будет рассказано в соответствующей лекции.

Недопущение потери данных

Выполняя действия по предотвращению заражения и нейтрализации обнаруженных инфицированных объектов, антивирус неизбежно модифицирует файлы пользователя (при лечении или удалении зараженных файлов), что в редких случаях может привести к потере нужной информации. Чтобы этого не происходило, в ряде антивирусов применяется технология резервного копирования.

Второй важный аспект - обработка подозрительных объектов. Понятно, что лечение таких объектов невозможно в принципе, а удаление - опасно потерей данных, по причине ложного срабатывания. Разумным решением является изоляция таких объектов до выяснения обстоятельств.

Наконец, стоит учитывать такой момент как конфликты АПО с прочими программами, установленными на компьютере. Если сами модули антивируса обычно перед выпуском новой версии тщательно тестируются и в подавляющем большинстве случаев не допускают подобных конфликтов, то обновления антивирусных баз и ядра выпускаются слишком часто, чтобы их можно было должным образом протестировать. По этой причине изредка возникают проблемы совместимости, которые, впрочем, оперативно устраняются выпуском исправленных обновлений или же просто следующей версией, если обновления выходят часто.

Тем не менее, ожидая исправленной или новой версии обновлений, пользователю необходимо как-то работать, а значит должен быть механизм, позволяющий при необходимости использовать не текущую версию антивирусных баз, а последнюю корректную.