Защита серверов и рабочих станций

Требования к антивирусам для рабочих станций

На основании приведенных выше рассуждений и примеров можно сформулировать основные требования к антивирусам для рабочих станций. Понятно, что эти требования будут отличаться для рабочих станций различных классов.

Требования к антивирусам для рабочих станций Windows

Как и раньше требования будут делиться на несколько категорий:

1. Общие требования — надежность, производительность, удобство в использовании, дешевизна - нет смысла лишний раз повторяться
2. Основные требования — как следствие главной задачи:
   • Проверка всех файлов на локальных дисках, к которым идет обращение - на чтение, на запись, на запуск - с целью выявления и нейтрализации компьютерных вирусов
   • Проверка сменных и сетевых дисков
   • Проверка памяти
   • Проверка входящих и исходящих писем на предмет наличия вирусов, проверяться должны как сами сообщения, так и вложения к ним
   • Проверка скриптов и других активных элементов веб-страниц
   • Проверка макросов в документах Microsoft Office и файлах других приложений
   • Проверка составных файлов - архивов, самораспаковывающихся архивов, упакованных исполняемых файлов, почтовых баз данных, файлов почтовых форматов, OLE-контейнеров
   • Возможность выбора различных действий над зараженными файлами, штатно:
     • блокирование (при проверке в режиме реального времени)
     • запись в журнал (при проверке по требованию)
     • удаление
     • перемещение на карантин
     • лечение
     • запрос действия у пользователя
   • Лечение зараженных файлов
   • Лечение зараженных файлов в архивах
   • Желательно - обнаружение потенциально нежелательных программ (рекламных и шпионских модулей, хакерских утилит, и т. п.)
3. Требования к управлению
   • Наличие локального графического интерфейса
   • Возможность удаленного и централизованного управления (корпоративная версия)
   • Возможность планирования запуска задач проверки и обновления
   • Возможность запуска любых задач или выполнения любых действия по требованию (вручную)
   • Возможность ограничения действий непривилегированного пользователя применительно к антивирусному комплексу
4. Требования к обновлению
   • Поддержка различных источников обновления, штатно:
     • HTTP- или FTP-ресурс
     • Локальная или сетевая папка
     • Централизованная система обновления (в корпоративных версиях)
   • Возможность обновлять антивирусные базы, антивирусное ядро и модули приложения
   • Возможность выполнять обновления вручную по требованию или автоматически по расписанию
   • Возможность выполнять откат обновления антивирусных баз
5. Требования к диагностике
   • Уведомление локального пользователя о важных событиях - обнаружение вирусов, смена состояния антивируса и т. д.
   • Ведение журналов работы антивируса и/или отдельных задач
   • Уведомление администратора антивирусной безопасности (в корпоративной версии)

Требования к антивирусам для рабочих станций Linux/Unix

Категории требований будут теми же, но сами требования будут менее жесткими по описанным ранее причинам:

1. Общие требования - практически без изменений: надежность, производительность, дешевизна. Удобство использования в Unix-системах традиционно оценивается по несколько другим критериям, чем в Windows-системах, хотя такое положение дел и начинает постепенно меняться в сторону унификации требований
2. Основные требования - исходя из назначения:
   • Проверка по требованию произвольных файлов и каталогов на предмет наличия вирусов
   • Желательно, но не критично - проверка определенных каталогов в режиме реального времени при доступе к файлам. Если такой функционал действительно необходим, значит речь идет не столько о рабочей станции, сколько о сервере - в Unix-системах явного различия между ними нет
   • Обнаружение вирусов в составных объектах - архивах, самораспаковывающихся архивах, упакованных исполняемых модулях, постовых базах данных, файлах почтовых форматов, OLE-контейнерах - не ограничиваясь форматами, распространенными в Unix-среде
   • Возможность выбора действия при обнаружении зараженных файлов, штатно:
     • удалять
     • перемещать или переименовывать
     • лечить
     • записывать информацию в отчет
     • запросить действие у пользователя (при проверке по требованию)
   • Лечение инфицированных файлов
   • Желательно - возможность лечения в архивах
3. Требования к управлению
   • Локальное управление при помощи редактирования конфигурационных файлов
   • Желательно - удаленное управление через веб-интерфейс
   • Возможность планировать запуск задач и выполнение действий
   • Возможность выполнять задачи и действия вручную
4. Требования к диагностике
   • Ведение журналов работы
   • Уведомление администратора антивирусной безопасности

Защита серверов

В целом антивирусная защита серверов не так сильно отличается от защиты рабочих станций, как, например, от защиты шлюзов. Основные угрозы и технологии противодействия им остаются теми же - смещаются только акценты.

Сетевые сервера как и рабочие станции естественным образом делятся на классы, согласно используемым операционным системам:

• Сервера Windows
• Сервера Novell Netware
• Сервера Unix

Принцип деления обусловлен характерными для различных операционных систем вирусными угрозами и, как следствие, различными вариантами в определении основной задачи антивируса.

В случае продуктов для защиты серверов деление на персональные и сетевые продукты отсутствует - все продукты являются сетевыми (корпоративными). У многих производителей вообще нет деления корпоративных продуктов на предназначенные для рабочих станций и файловых серверов - имеется единый продукт.

Специфические угрозы и способы противодействия

Все относящиеся к серверам специфические угрозы связаны не столько с особенностями серверных операционных систем, сколько с применением уязвимого ПО, характерного для серверов.

Сервера Microsoft Windows

Для серверов Windows актуальны все те же угрозы, что и для рабочих станций под Windows NT/2000/XP. Отличия заключаются только в преимущественном способе эксплуатации серверов, что выражается в ряде дополнительных атак, нехарактерных для рабочих станций.

Так, за серверами Windows редко непосредственно работают пользователи, а значит, почтовые клиенты и офисные приложения на серверах, как правило, не используются. Как следствие, требования к защите почты на уровне почтового клиента и дополнительные средства обнаружения макровирусов в случае серверов Windows менее востребованы.

С другой стороны на серверах Windows значительно чаще, чем на рабочих станциях могут использоваться такие службы как Microsoft SQL Server и Microsoft IIS. Как и сами операционные системы производства Microsoft (и не только Microsoft), эти службы могут содержать уязвимости, чем в свое время неоднократно пользовались авторы вирусов.

Особенность обоих червей в том, что модуль проверки файловой системы (хоть по запросу, хоть при доступе) против них бессилен. Эти черви не сохраняют свои копии на диск и вообще никак не проявляют своего присутствия в системе, кроме повышенной сетевой активности. На сегодняшний день основной рекомендацией по защите является своевременная установка патчей на операционную систему и используемое ПО. Другой подход заключается в настройке брандмауэров таким образом, чтобы порты, используемые уязвимыми службами были недоступны извне - разумное требование в случае защиты от Slammer, но неприемлемое для защиты от CodeRed.

Актуальными для серверов Windows остаются и черви, атакующие уже непосредственно уязвимые службы операционной системы, такие как Lovesan, Sasser, Mytob и др. Защита от них должна обеспечиваться комплексными мерами - использованием брандмауэров, установкой заплат, применением проверки при доступе (упомянутые черви при успешной атаке сохраняют свои файлы на жестком диске).

Учитывая характер атак, можно сделать вывод, что основными средствами защиты серверов Windows являются: модуль проверки файлов при доступе, модуль проверки файлов по требованию, модуль проверки скриптов, а основными технологиями - сигнатурный и эвристический анализ (а также поведенческий - в модуле проверки скриптов).

Сервера Novell Netware

Специфических вирусов, способных заражать Novell Netware, нет. Существует, правда, несколько троянов, ворующих права доступа к серверам Novell, но они все равно рассчитаны на выполнение в среде ОС Windows.

Соответственно, антивирус для сервера Novell Netware фактически не предназначен для защиты этого сервера. В чем же тогда его функции? В предотвращении распространения вирусов. Сервера Novell Netware в большинстве своем используются именно как файловые сервера, пользователи Windows-компьютеров могут хранить на таких серверах свои файлы или же запускать программы, расположенные на томах Novell Netware. Чтобы предотвратить проникновение вирусов на общие ресурсы сервера Novell, либо запуск/чтение вирусов с таких ресурсов и нужен антивирус.

Соответственно, основные средства, применяемые в антивирусе для Novell Netware - проверка при доступе и проверка по требованию.

Из специфических технологий, применяемых в антивирусах для Novell Netware необходимо отметить блокирование станций и/или пользователей, записывающих на сервер вредоносные программы.

Сервера Unix

Про сервера Unix можно сказать все то же, что и про сервера Novell Netware. Антивирус для Unix-серверов решает не столько задачу защиты самих серверов от заражения, сколько задачу недопущения распространения вирусов через сервер. Для этого применяются все те же два основных средства:

• Проверка файлов по требованию
• Проверка файлов при доступе

Многие известные черви под Linux используют для распространения уязвимости не в самой операционной системе, а в системном и прикладном ПО - в ftp-сервере wu-ftpd, в веб-сервере Apache. Понятно, что такие приложения используются чаще на серверах, чем на рабочих станция, что является дополнительным аргументом в пользу усиленных мер по защите серверов.

В отличие от серверов Novell, где поддержка сетей Microsoft является встроенной функцией, сервера Unix по умолчанию не приспособлены для передачи файлов по протоколу SMB/CIFS. Для этой цели используется специальный программный пакет - Samba, позволяющий создавать совместимые с Microsoft-сетями общие ресурсы.

Если обмен файлами происходит только по протоколам SMB/CIFS, то очевидно, не имеет смысла контролировать все файловые операции, достаточно проверять только файлы, передающиеся с использованием Samba-сервера.