2. Dr.Web ^® Enterprise Suite. Организация защиты от вирусов

Содержание раздела

В данной главе описывается общая стратегия организации антивирусной защиты.

2.1. Антивирусная сеть

Совокупность взаимодействующих компьютеров, на которые установлены компоненты программного комплекса Dr.Web ^® ES, называется антивирусной сетью. Компонент ПО, установленный на каком-либо компьютере, будем называть элементом антивирусной сети (при этом, если на одном компьютере установлено несколько различных компонентов, мы будем считать эти компоненты разными элементами).

Ниже описываются элементы антивирусной сети, выполняющие различные функции, а также алгоритм их взаимодействия.

2.1.1. Антивирусный сервер

Антивирусная сеть имеет в своем составе хотя бы один антивирусный сервер.

ПО антивирусного сервера разработано для ОС «серверного направления» (в настоящее время имеются версии для Windows NT/2000/XP/2003, Linux, FreeBSD и Solaris/i86).

Каталог установки антивирусного сервера имеет следующую структуру (использована нотация варианта сервера для Windows):

var — каталог содержит подкаталоги: repository - так называемый каталог обновлений, в который помещаются актуальные обновления вирусных баз, модулей антивирусных пакетов и компонентов программного комплекса. Каталог содержит подкаталоги для отдельных функциональных компонентов ПО, а внутри них – подкаталоги для отдельных ОС. Каталог должен быть доступен на запись пользователю, от имени которого запускается сервер (в Unix-подобных ОС это, как правило, пользователь drwcs, в Windows – LocalSystem).
templates — шаблоны отчетов.
bin — исполняемые модули антивирусного сервера.
console — каталог содержит файлы консоли антивирусной сети (подробнее см. п. 4).
doc — каталог содержит документацию программного комплекса.
etc — каталог содержит файлы дополнительных настроек программного комплекса.
installer — содержит программу, инициирующую процесс установки ПО программного комплекса на защищаемый компьютер.

Содержимое каталога централизованной установки и каталога обновлений загружается с сервера обновлений по протоколу HTTP автоматически, по установленному для сервера расписанию, а также может помещаться в эти каталоги администратором антивирусной сети вручную.

Антивирусный сервер выполняет следующие задачи:

запрос, получение и хранение детального отчета о конфигурации аппаратных и программных средств защищаемых компьютеров;
запрос номера версии антивирусного пакета, а также дат создания и номеров версий вирусных баз на каждом защищаемом компьютере;
установка антивирусных пакетов на выбранный компьютер или группу компьютеров;
обновление содержимого каталога централизованной установки и каталога обновлений;
обновление вирусных баз и исполняемых файлов антивирусных пакетов, а также исполняемых файлов программного комплекса на защищаемых компьютерах.

Антивирусный сервер обеспечивает сбор и протоколирование информации о работе антивирусных пакетов, передаваемой ему посредством ПО комплекса на защищаемых компьютерах (антивирусных агентов, подробнее см. ниже). Протоколирование производится в общем журнале событий, реализованном в виде базы данных. В сети небольшого размера для ведения общего журнала событий может использоваться внутренняя база данных. Для обслуживания больших сетей предусмотрена возможность использования внешних баз данных.

Сбору и протоколированию в общем журнале событий подлежит следующая информация:

информация о версии антивирусных пакетов на защищаемых компьютерах;
время и дата установки и обновления ПО антивирусной рабочей станции, с указанием версии ПО;
время и дата обновления вирусных баз с указанием их версий;
информация о версии ОС, установленной на защищаемых компьютерах, типе процессора, расположении системных каталогов ОС и т.п.;
информация об учетных записях, использованных защищаемым компьютером для доступа к каталогу централизованной установки и каталогу обновления;
конфигурация и режимы работы антивирусных пакетов (использование эвристических методов, список проверяемых типов файлов, действия при обнаружении компьютерных вирусов и т.п.);
информация о вирусных событиях, в том числе название обнаруженного компьютерного вируса, дата обнаружения, предпринятые действия, результат лечения и т.п.

Антивирусный сервер оповещает администратора антивирусной сети о возникновении событий, связанных с работой программного комплекса. Оповещение администратора антивирусной сети производится по электронной почте или с использованием стандартных широковещательных средств операционных систем Windows. Настройка событий, вызывающих направление сообщения, и прочих параметров оповещения, описана в п. 6.5.2.4.

Программный комплекс может также использоваться в режиме кластера серверов. При этом ПО антивирусного сервера устанавливается на несколько компьютеров; серверы настраиваются так, чтобы они совместно использовали общую внешнюю базу данных, а агенты присоединялись к одному (любому) из доступных серверов кластера. Использование кластера повышает надежность и производительность антивирусной сети, но значительно усложняет управление. В дальнейшем управление сетью описывается в односерверном режиме; настройки, связанные с возможностью кластеризации, лишь упоминаются без подробной расшифровки.

2.1.2. Антивирусный агент и антивирусный пакет

Антивирусная защита на компьютерах локальной сети осуществляется антивирусными пакетами Dr.Web^®, разработанными для соответствующих платформ ОС.

В составе программного комплекса Dr.Web ^® ES эти пакеты работают под управлением компонента комплекса (антивирусного агента), установленного на защищаемом компьютере и постоянно загруженного в память. Ввиду этого в архитектуре и работе пакетов имеются некоторые отличия. В частности, пользовательский ключ антивирусного пакета, определяющий возможные ограничения его функциональности, и конфигурация пакета передаются пакету антивирусным агентом, а не хранятся в доступном пакету файле. В свою очередь, эти данные передаются агенту с антивирусного сервера. Таким образом, при неработоспособности агента — немедленно, а при отсутствии связи с сервером — после перезапуска компьютера (если с момента получения агентом пользовательского ключа прошло более суток) антивирусный пакет не будет работать.

Антивирусный агент выполняет следующие функции:

выполнение заданий, сформированных антивирусным сервером (таких как установка и обновление антивирусного пакета, запуск сканирования и т.п.), при необходимости вызываются на выполнение файлы антивирусного пакета через специальный интерфейс;
передача результатов выполнения заданий антивирусному серверу;
передача антивирусному серверу сообщений о возникновении заранее оговоренных событий, возникающих при работе антивирусного пакета.

Каждый антивирусный агент подключен к антивирусному серверу и входит в состав одной или нескольких зарегистрированных на этом сервере групп (подробнее см. п. 6.3). Передача информации между агентом и указанным сервером осуществляется по протоколу, используемому в локальной сети (IP, IPX или NetBIOS). Количество одновременно работающих агентов зависит от ограничений протокола и составляет не более 256 в случае применения протокола NetBIOS. При использовании протоколов IP и IPX это количество практически не ограничено.

В дальнейшем защищаемый компьютер с установленным агентом, в соответствии с его функциями в антивирусной сети, будет именоваться рабочей станцией антивирусной сети. Необходимо помнить, что по своим функциям в локальной сети такой компьютер может быть как рабочей станцией, так и сервером локальной сети.

2.1.3. Антивирусная консоль. Управление антивирусными серверами

Для управления антивирусной сетью в целом (включая изменение ее состава и структуры), а также всеми ее компонентами служит антивирусная консоль.

Фактически антивирусная консоль представляет собой внешний интерфейс антивирусного сервера; редактирование настроек рабочих станций антивирусной сети, а также запуск заданий на них осуществляется при посредстве сервера, к которому подключены эти рабочие станции.

Антивирусная консоль представляет собой платформо-независимое приложение и может быть установлена на компьютере с любой ОС, поддерживающей виртуальную машину Java. Связь между консолью и сервером обеспечивается по протоколу TCP/IP, причем консоль может находиться вне защищаемой локальной сети.

2.1.4. Схема взаимодействия файлов антивирусной сети

На рис. 1 представлена общая схема фрагмента локальной сети, на части которой сформирована защищающая ее антивирусная сеть.

Рисунок 1. Физическая структура антивирусной сети

Опишем подробнее взаимодействие между элементами антивирусной сети.

При запуске антивирусного сервера выполняется следующая последовательность действий:

загрузка файлов антивирусного сервера из каталога bin;
загрузка планировщика заданий сервера;
загрузка каталога централизованной установки и каталога обновления, инициализация системы сигнального информирования;
проверка целостности БД сервера;
выполнение заданий Планировщика заданий сервера;
ожидание информации от антивирусных агентов и команд от консолей.

Весь поток команд, данных и статистической информации в антивирусной сети в обязательном порядке проходит через антивирусный сервер. Антивирусная консоль также обменивается информацией только с сервером; изменения в конфигурации рабочей станции и передача команд антивирусному агенту осуществляется сервером на основе команд консоли.

Таким образом, логическая структура фрагмента антивирусной сети имеет вид, представленный на рис. 2.

Рисунок 2. Логическая структура антивирусной сети

От сервера к рабочим станциям и обратно (сплошная тонкая линия на рис. 2) передаются, с использованием одного из поддерживаемых сетевых протоколов (TCP, IPX или NetBIOS):

запросы агента на получение централизованного расписания, и централизованное расписание данной рабочей станции;
настройки агента и антивирусного пакета;
запросы на очередные задания, подлежащие выполнению (сканирование, обновление вирусных баз и т.п.);
файлы антивирусных пакетов — при получении агентом задания на их установку;
обновления ПО и вирусных баз — при выполнении задания на обновление;
сообщения агента о конфигурации рабочей станции;
статистика работы агента и антивирусных пакетов для включения в централизованный журнал;
сообщения о вирусных событиях и других подлежащих фиксации событиях.

Объем трафика между рабочими станциями и сервером, в зависимости от настроек рабочих станций и их количества, может быть весьма значительным, поэтому программный комплекс Dr.Web ^® ES предусматривает возможность компрессии трафика. Описание использования этого факультативного режима см. ниже, п. 6.5.2.2.

Трафик между сервером и рабочей станцией может быть зашифрован. Это позволяет избежать разглашения сведений, передаваемых по описываемому каналу, а также подмены ПО, загружаемого на рабочие станции. По умолчанию эта возможность включена. Описание использования этого режима см. ниже, п. 6.5.2.2.

От веб-сервера обновлений к антивирусному серверу (сплошная толстая серая линия на рис. 2) передаются, с использованием протокола HTTP, файлы, необходимые для репликации централизованных каталогов установки и обновления, и служебная информация о ходе этого процесса. Целостность передаваемой информации (файлов ПО Dr.Web ^® ES и антивирусных пакетов) обеспечивается использованием механизма контрольных сумм: поврежденный при пересылке или подмененный файл не будет принят сервером.

Между сервером и антивирусной консолью (пунктирная линия на рис. 2) передаются, с использованием протокола TCP/IP, сведения о конфигурации сервера (включая информацию о топологии сети) и настройки рабочих станций. Эта информация визуализируется на антивирусной консоли, и в случае изменения пользователем (администратором антивирусной сети) каких-либо настроек информация о внесенных изменениях передается на сервер.

Установление соединения консоли с выбранным сервером производится только после аутентификации администратора антивирусной сети посредством ввода его регистрационного имени и пароля на данном сервере.

2.2. Создание антивирусной сети

В данной главе описывается общая последовательность действий по созданию антивирусной сети. Необходимые для этого программные средства и их интерфейс описываются в дальнейших разделах.

Для того чтобы создать в локальной сети организации антивирусную сеть:

1. Составьте план организации антивирусной сети с учетом топологии локальной сети и степени доступности компьютеров по сети.

2. Установите ПО антивирусного сервера на выбранный компьютер или компьютеры.

3. Установите ПО антивирусного агента на рабочие станции.

4. Установите антивирусные консоли на рабочие места администраторов антивирусной сети.

5. Подключите рабочие станции к серверам с учетом запланированной структуры.

6. Настройте рабочие станции.

На этапе планирования структуры антивирусной сети, прежде всего, необходимо выбрать компьютер, который будет выполнять функции антивирусного сервера. Критерий выбора — сервер должен быть доступен по сети всем подключенным к нему рабочим станциям в течение всего времени их работы.

Установка ПО Dr.Web ^® ES на выбранный сервер подробно описана в п. 3. При этом на сервере создается каталог console, содержащий дистрибутив ПО антивирусной консоли, и каталог installer, содержащий программу — начальный загрузчик ПО рабочей станции. Желательно открыть для доступа по сети на чтение эти каталоги.

На каждом компьютере, на который предполагается установить ПО рабочей станции, необходимо запустить на выполнение программу установки ПО из каталога installer.

На компьютере, используемом в качестве рабочего места администратора антивирусной сети, запустите антивирусную консоль (скрипты запуска для разных ОС и исполняемые файлы находятся в каталоге сonsole).

Администратору антивирусной сети следует подключиться с помощью антивирусной консоли на сервер и выполнить операцию присоединения рабочих станций.

После подключения рабочих станций необходимо настроить их, т.е. задать конфигурацию антивирусных пакетов и параметры антивирусного агента. Для облегчения этих действий можно воспользоваться механизмом групп (см. п. 6.3), позволяющим задать единые настройки сразу значительному количеству рабочих станций. В программном комплексе предусмотрено значительное количество предустановленных групп, в том числе группы по ОС рабочей станции с различным уровнем детализации.

Для установки сервера, консоли и программы начальной установки рабочей станции требуется однократный доступ (физический или с использованием средств удаленного управления и запуска программ) к соответствующим компьютерам. Все дальнейшие действия выполняются с рабочего места администратора антивирусной сети (в том числе, возможно, извне локальной сети) и не требуют доступа к серверам или рабочим станциям.

2.3. Администраторы антивирусной сети. Права администраторов

Учетные записи администраторов антивирусной сети делятся на две группы:

учетные записи с полными правам;
учетные записи "только для чтения".

Администраторы из первой группы могут просматривать и редактировать конфигурацию антивирусной сети и настройки ее отдельных элементов, а также создавать новые административные учетные записи.

Администраторы с правами "только для чтения" могут только просматривать настройки сети в целом и отдельных ее элементов, но не менять их. Они также могут просматривать список имеющихся административных учетных записей.

После установки системы в ней имеется одна учетная запись с полными правами.

Создание, удаление и редактирование учетных записей администраторов подробно описано в п. 7.

2.4. Регистрация программы. Ключевые файлы

Права пользователя на использование антивируса регулируются при помощи пары ключевых файлов (ключевой файл для сервера и ключевой файл для рабочей станции).

Ключевой файл имеет формат, защищенный от редактирования при помощи механизма электронной подписи. Редактирование файла делает его недействительным. Поэтому не следует открывать ключевой файл в текстовых редакторах во избежание его случайной порчи.

Коммерческие пользователи, приобретающие Dr.Web у законных поставщиков продукта, получают лицензионные ключевые файлы. Параметры этих ключевых файлов, регулирующие права пользователя, установлены в соответствии с пользовательским договором. В файлы также заносится информация о пользователе и продавце антивируса.

Для целей ознакомления с антивирусом также поставляются демонстрационные ключевые файлы. Такие ключевые файлы обеспечивают полную функциональность основных антивирусных компонентов, но имеют ограниченный срок действия и не предполагают оказание поддержки пользователю.

Ключевые файлы поставляются пользователю в виде zip-архива, содержащего ключевой файл для сервера enterprise.key и ключевой файл для рабочей станции agent.key

Ключевые файлы могут быть получены пользователем одним из следующих способов:

переданы или пересланы по электронной почте (обычно после регистрации на веб-сайте, см. ниже);
включены в состав дистрибутива продукта при его комплектации;
переданы на отдельном носителе в виде файла.

Лицензионные ключевые файлы высылаются пользователям по электронной почте, как правило, после регистрации на специальном веб-сайте (адрес сайта регистрации http://buy.drweb.com/register/, если иной адрес не указан в регистрационной карточке, прилагаемой к продукту). Зайдите на указанный сайт, заполните форму со сведениями о покупателе и введите в указанное поле регистрационный серийный номер (находится на регистрационной карточке). Архив с ключевыми файлами будет выслан по указанному вами адресу. Вы также сможете загрузить его непосредственно с указанного сайта.

Демонстрационные ключевые файлы могут быть высланы по запросу, размещенному на веб-странице http://download.drweb.com/demo/. Запрос будет рассмотрен в индивидуальном порядке, в случае положительного решения архив с ключевыми файлами будет выслан по указанному вами адресу.

Использование полученных ключевых файлов в процессе установки программы описывается в п. 3.

Использование ключевых файлов для уже установленного программного комплекса описывается в п. 6.7.
Предыдущий Оглавление Следующий

2. Dr.Web ® Enterprise Suite. Организация защиты от вирусов