Захистити звичайний домашній комп'ютер нескладно - треба встановити антивірусну програму для ПК. налаштувати її на пошук і попередження можливих атак, на отримання оновлень антивірусних баз. Складніше зробити це в організації, де комп'ютерів багато, вони об'єднані в єдину мережу і при зараженні одного з них вірус миттєво пошириться і по іншим комп'ютерам
Захистити звичайний домашній комп'ютер нескладно - треба встановити антивірусну програму, налаштувати її на пошук і попередження можливих атак, на отримання оновлень антивірусних баз. Складніше зробити це в організації, де комп'ютерів багато, вони об'єднані в єдину мережу і при зараженні одного з них вірус миттєво пошириться і по іншим комп'ютерам.
Установка антивірусних програм індивідуально на кожне робоче місце в організації не підходить Складно відстежити, чи скрізь встановлено, чи вчасно оновлюються бази, чи працює антивірус або користувач його відключив. Значно впевненіше почуваються в тих компаніях, де захист від вірусів і інших шкідливих програм виконується централізовано з використанням спеціальних антивірусних рішень.
Характеристика рішення Dr.Web Enterprise Suite
Компанії, що розробляє таке ПО, випускають спеціалізовані комплекси для організації захисту локальних мереж підприємств. Є таке рішення і у компанії "Доктор Веб" - Dr.Web Enterprise Suite. Це комплексне рішення з вбудованою системою централізованого керування антивірусним захистом робочих станцій і файлових серверів Windows, а також поштових серверів Unix на підприємствах будь-якого масштабу. Це - клієнт-серверний додаток, в якому антивірусний сервер (в рамках мережі таких серверів може бути декілька) забезпечує централізоване адміністрування захисту робочих станцій і серверів, включаючи розгортання і оновлення вірусних баз, моніторинг стану мережі, збір статистики.
Особливістю рішення є можливість побудови ієрархічної структури захисту в розподілених мережах. Для цієї мети в рамках загальної мережі може бути розгорнуто кілька серверів Dr.Web Enterprise Suite. один з яких буде кореневим, інші - додатковими. Оновлення вірусних баз і програмного забезпечення буде проводитися через кореневий сервер, що помітно знизить трафік між захищається мережею і серверами оновлень BCO. Крім цього завдання, кореневий сервер буде збирати інформацію про контрольованих події з інших серверів, і формувати зведені звіти. Такі можливості масштабування дозволяють застосовувати рішення як для невеликих мереж, де досить мати один сервер, так і для великих мереж, де навантаження на один сервер буде перевищувати його можливості. Масштабування забезпечується можливістю використовувати групування з декількох взаємодіючих серверів Dr.Web Enterprise Suite і окремого SQL-сервера для зберігання даних і комплексною структурою взаємодії між ними.
Оскільки в цій статті ми говоримо про комплексний захист локальних мереж, то зупинимося лише коротко на тому, яку захист надає розглядається рішення, а потім знову повернемося до його центральної частини, розглянувши її призначення і можливості.
Склад компонентів захисту
Як вже говорилося вище, рішення Dr.Web Enterprise Suite побудовано за принципом клієнт-серверної технології. Як клієнтська частина використовується Антивірусний ES Агент. Цей агент встановлює на комп'ютері антивірусний пакет, а в подальшому виробляє регулярні оновлення встановленого антивірусного ПО, передає йому команди і налаштування з антивірусного Сервера, а також відсилає антивірусного Серверу інформацію про вірусні події та інші необхідні відомості про захищається комп'ютері.
До складу антивірусного пакета входять основні і додаткові компоненти. В якості основних - два антивірусних сканера. Один - Dr.Web Сканер для Windows - добре знайомий тим, хто використовує для користувача антивірусне рішення Dr.Web для Windows. Другий - Dr.Web Enterprise Сканер для Windows. Це одна з функцій Агента. Його призначення - запускати антивірусну перевірку за запитом: або запуском за розкладом, або безпосереднім завданням Сканувати з веб-інтерфейсу адміністратора. Власного інтерфейсу не має. Третій компонент - системний монітор Self-Protection, забезпечує захист файлів і каталогів ES від несанкціонованого або мимовільного видалення або модифікації користувачем, а також шкідливим ПЗ.
В якості додаткових компонент на захищаються комп'ютери можуть бути встановлені:
- Сторож SpIDer Guard (файловий монітор), який постійно знаходиться в пам'яті і перевіряє "на льоту" все відкриваються файли на змінних дисках і відкриваються на запис файли на жорстких дисках. Також відстежує дії запущених процесів, характерні для вірусів, і при їх виявленні блокує процеси з висновком відповідного повідомлення користувачу.
- Поштовий сторож SpIDer Mail, який перехоплює всі звернення поштових клієнтів вашого ПК до поштових серверів по протоколах POP3 / SMTP / IMAP4 / NNTP і перевіряє вхідну (або вихідну) пошту до її прийому (або відправки) поштовим клієнтом.
- HTTP-cторож SpIDer Gate перехоплює всі звернення до веб-сайтам по протоколу HTTP. Програма нейтралізує загрози в HTTP-трафіку, а також блокує доступ до підозрілих або некоректним ресурсів.
- Dr.Web Офісний Контроль управляє доступом до мережевих і зазначеним локальних ресурсів. Зокрема, компонент дозволяє контролювати доступ до веб-сайтів, дозволяючи або забороняючи користувачам відвідувати певні вузли мережі Інтернет.
Установка і настройка Dr.Web Enterprise Suite
Повернемося тепер до Сервера. Установка його проходить практично без втручання користувача. Тут є лише один елемент, що вимагає ухвалення рішення - яка база даних буде використовуватися. Для мережі, де кількість обслуговуваних комп'ютерів не перевищує сотні, можна використовувати внутрішню базу даних. В інших випадках такий інтерфейс взаємодії з зовнішніми СУБД.
В процесі установки Dr.Web Enterprise Suite встановлюється серверна частина, сканер мережі і дистрибутив агента. Антивірусний сервер забезпечує установку антивірусних пакетів на обраний комп'ютер або групу комп'ютерів; оновлення вмісту каталогу централізованої установки і каталогу оновлень, оновлення вірусних баз і файлів антивірусних пакетів, збір і протоколювання інформації про роботу антивірусних пакетів, переданої йому за допомогою ПО комплексу на захищаються комп'ютерах, оповіщає адміністратора антивірусної мережі про виникнення подій, пов'язаних з роботою програмного комплексу. Управління антивірусним Сервером здійснюється за допомогою веб-інтерфейсу адміністратора, який служить зовнішніми інтерфейсом для Сервера.
Сканер мережі виконує кілька спеціальних завдань: сканування (огляд) мережі з метою виявлення робочих станцій; визначення наявності Агента Dr.Web ES на станціях; установку антивірусного Агента на виявлені станції за вказівкою адміністратора. Є можливість установки на робочі станції Агентів з заздалегідь підготовленими настройками. Втім, установку Агента можна виробляти і за допомогою Active Directory, створивши інсталяційний файл з підготовленими настройками.
Кожен встановлений Агент пов'язаний з певним сервером (якщо їх в мережі кілька), від якого він отримує завдання, поновлення, і на який надсилаються звіти. Як видно з перерахованого, це саме ті завдання, за виконання яких відповідає Агент. Але не тільки ці. У тому випадку, якщо зв'язок локальної станції з сервером переривається, або це ноутбук, який відключається від локальної мережі, Агент використовує локальну копію налаштувань і антивірусний захист на робочої станції зберігає свою функціональність.
Хоча основне завдання Агента - виконання завдань Сервера, в ряді випадків можуть бути дані права на зміну його налаштувань з робочої станції. Використовуючи контекстне меню можна запускати завдання сканування, оновлення баз, зупинки або запуску окремих модулів антивірусного захисту. Агент може бути зупинений, але інформація про це негайно надходить на сервер.
Реалізація зв'язку компонентів
Перший розділ призначений для управління конфігурацією сервера, його сховища, розкладів і зв'язків з іншими серверами. З цього ж розділу виконується запуск Сканера мережі, як для пошуку робочих станцій, так і для установки Агентів. Список знайдених, але не підтверджених станцій (на яких ще не встановлена захист), також доступний в цьому розділі. Крім того, тут є доступ до журналу подій і протоколам виконання завдань.
Журнал аудиту дій адміністраторів дозволяє відстежувати всі дії по встановленню та налагодженню системи. Всі компоненти антивірусної мережі можуть вести файли звітів, подробиця яких можна налаштувати. Будь-яка дія над файлами, виробленими компонентами антивірусної мережі, відображаються в статистиці.
Другий розділ представляє у вигляді дерева структуру мережі, показуючи в ньому робочі станції і сервери. Для зручності управління, особливо в масштабах великої мережі, можна використовувати і створювати групи, які можуть мати кілька рівнів ієрархії, розподіляючи станції по ним (наприклад, це можуть бути групи, сформовані відповідно до структури організації - для кожного підрозділу можна створити власну групу) . Крім того, об'єднання станцій в групи дозволяє задавати однією командою настройки для всіх робочих станцій групи, а також ініціювати виконання певних завдань також на всіх станціях.
Спочатку в системі вже є кілька груп, які не можна видалити, але можна приховати, якщо їх не використовувати. Вони автоматично включають в себе робочі станції в залежності від операційної системи, статусу і протоколу підключення. На додаток до них можна створити власні, призначені для користувача групи. Кожна окрема станція може бути віднесена до декількох груп, але лише одна з них буде для неї первинної.
У розділі Антивірусна мережа виконується розподіл станцій по групах, управління групами і окремими станціями, деінсталяція або оновлення встановлених компонент. Звідси ж можна направити групі або окремій станції довільне повідомлення, запустити процес сканування (крім розкладу), відредагувати властивості.
При великій кількості контрольованих комп'ютерів може утворюватися істотний трафік між Агентами та серверів. Для його зниження був розроблений спеціальний протокол обміну, що передає інформацію в стислому вигляді. Крім цього, програмний комплекс дозволяє зашифрувати трафік між сервером і робочими станціями (антивірусними Агентами), між антивірусними Серверами (при многосерверной конфігурації мережі), а також між сервером і Мережними інсталяторами. Цей режим використовується, щоб уникнути можливого розголошення користувальницьких ключів, а також відомостей про обладнання та користувачів антивірусної мережі.
Для запобігання випадкових збоїв Dr.Web Enterprise Suite є можливість виконання резервного копіювання критично важливих даних і конфігурації сервера, а також опцію відновлення сервера з резервної копії.
Як бачимо, Dr.Web Enterprise Suite містить в собі функціональний набір компонентів, що надає адміністратору широкі можливості щодо забезпечення захисту корпоративної мережі від вірусних атак. При правильному плануванні структури антивірусної мережі, попередній підготовці налаштувань Агентів, як розгортання системи, так і її супровід не буде створювати будь-яких незручностей. Придбати Dr.Web Enterprise Suite можна у партнерів 1Софт.
Скріншоти Dr.Web Enterprise Suite
