Глава 9
Рис. 9.9.
Установка Службы WSUS в Windows Server 2016
Установка обновлений через групповые политики
Обновления можно устанавливать с помощью групповых политик. К такому спосо-
бу можно прибегнуть, например, при необходимости срочного развертывания «за-
платки».
Специально для автоматизации установки обновления выпускаются в MSI-фор-
мате. Загрузив файл обновления, его следует распаковать в папку на локальном
диске, запустив с ключом
-x
. Затем, используя программу редактирования группо-
вой политики, можно создать пакет установки, импортировав MSI-файл из этой
папки. Единственное неудобство такого решения — необходимость создания раз-
личных политик, учитывающих установленную версию операционной системы и
программ MS Office. Поскольку в малых и средних предприятиях обычно придер-
живаются однотипности устанавливаемого ПО, то подобные действия не должны
вызвать у администратора затруднений.
Безопасность
459
Защита от вредоносных программ
Часто с целью кражи или уничтожения информации совершаются попытки уста-
новки на компьютер какой-нибудь вредоносной программы. Этих программ на-
столько много, что для исключения таких ситуаций создан специальный класс про-
грамм — программ защиты хоста.
Программы защиты хоста позволяют заблокировать запуск вредоносных программ,
а также исключить установку троянов и руткитов (вредоносного кода, который мо-
жет использоваться для кражи данных). Обычно весь вредоносный код вместе
с троянами и руткитами называется
malware-программами
— от английского
malicious software.
На рис. 9.10 представлена программа Symantec Endpoint Protection, которая, поми-
мо функций антивирусной защиты, включает современный межсетевой экран и
средства обнаружения атак и вторжений. Программа способна обнаруживать кла-
виатурные шпионы, блокировать хосты, осуществляющие атаки, маскировать опе-
рационную систему (подменять типовые ответы на контрольные пакеты IP). В ней
содержатся опции, включавшиеся ранее только в специализированные програм-
мы, — например, защита от подмены MAC-адреса, интеллектуальный контроль
протоколов DHCP, DNS, обнаружение руткитов и т. д.
П
РИМЕЧАНИЕ
Руткит
(rootkit) — программа, использующая технологии маскировки своих файлов и
процессов. Эта технология широко применяется, и не только злоумышленниками. На-
пример, антивирусная программа Kaspersky Antivirus использует эту технологию для
сокрытия своего присутствия при чтении NTFS-данных.
Рис. 9.10.
Интерфейс программы Symantec Endpoint Protection
460
Глава 9
В корпоративной среде для централизованного управления защитой всех рабочих
станций можно использовать программу Symantec Endpoint Protection Manager
(рис. 9.11). Помимо централизованного управления программа поддерживает раз-
вертывание программы Symantec Endpoint Protection на рабочих станциях.
Рис. 9.11.
Интерфейс программы Symantec Endpoint Protection Manager
Использовать в корпоративной среде индивидуальные версии антивирусных про-
грамм нецелесообразно — они пригодны только для небольших предприятий. Кор-
поративные же решения, подобные Symantec Endpoint Protection Manager, позволя-
ют настроить единые правила защиты (например, профили для работы в локальной
сети и в публичной с автоматическим переключением при смене места нахождения
и т. п.), снизить объем загружаемых обновлений (обновления будут получены из
Интернета только один раз, а потом просто распространены по локальной сети),
централизованно настроить опции антивирусной защиты) и т. п.
Symantec Endpoint Protection Manager — не единственное корпоративное решение.
Аналогичные решения есть у Dr.Web (Dr.Web Enterprise Security Suite), у Лабора-
тории Касперского (Kaspersky Endpoint Security для бизнеса) и у других разработ-
чиков средств защиты информации.
При необходимости защиты конфиденциальной информации в процессе выбора
средства защиты обращайте внимание на наличие сертификата ФСТЭК. Как прави-
Безопасность
461
ло, разработчики предлагают как обычные, так и сертифицированные версии. По-
следние стоят дороже. Если вы уже приобрели лицензионную версию программы,
то, как правило, вам предоставляется возможность докупить сертифицированную
версию или пакет сертификации, — как, например, у Касперского (причем, нужно
отметить, что цена пакета сертификации более чем лояльная).
График обновления антивирусных баз
В последнее время вирусы в мире распространяются очень быстро — на второй-
третий день после начала распространения они захватывают большинство сущест-
вующих компьютерных систем. Как правило, обновления антивирусных баз появ-
ляются через несколько часов после обнаружения вирусов, поэтому имеет смысл
настроить автоматическое обновление антивирусных баз несколько раз в сутки, —
скажем, каждые 5 часов. Однако не каждая антивирусная программа позволяет на-
строить точный (и малый) интервал времени обновления баз данных — предлага-
ются варианты: раз в день, раз в неделю и т. д. Так что выбирайте минимальный
предлагаемый интервал обновления. Например, из приведенных вариантов — еже-
дневное обновление.
Внимательность пользователя
Во многом уровень безопасности системы зависит от сознательности и вниматель-
ности пользователей. Пользователям не следует переходить по сомнительным
ссылкам, в том числе в электронных письмах, нельзя также открывать любые вло-
женные в письма файлы. Таким путем можно предотвратить один из самых часто
используемых способов распространения компьютерных вирусов — по электрон-
ной почте.
Среди сотрудников предприятия надо распространить инструкции по предотвра-
щению инфицирования вирусами. Вот один из вариантов такой инструкции — вы
можете дополнить ее в зависимости от специфики вашего предприятия:
запрещается как-либо вмешиваться в работу антивирусных программ;
П
ОЯСНЕНИЕ
Как правило, такого вмешательства можно избежать, если соответствующим образом
настроить систему и саму антивирусную программу. Тем не менее, интерфейс про-
граммы может предоставлять выбор различного режима работы программы, в том
числе и отключение антивирусной защиты. Ни в коем случае нельзя разрешать поль-
зователям изменять режимы работы антивируса.
запрещается переходить по ссылкам в социальных сетях: «ВКонтакте», «Одно-
классники» и пр., какими бы текстами они ни заманивали. Сами социальные
сети не содержат вирусов, однако они могут содержать ссылки, ведущие на
страницы с вирусами;
нельзя открывать файлы, отправленные вам в качестве вложений. Если кто-либо
должен отправить вам файл вложением по электронной почте, пусть он вас ка-
ким-то образом предупредит (например, по телефону, через Skype, другие какие-
либо мессенджеры или по электронной почте — в предварительном письме);
462
Глава 9
нельзя переходить по ссылкам, содержащимся в электронном письме, особенно
от неизвестного адресата. Однако даже компьютер ваших коллег может быть
инфицированным, поэтому — никаких ссылок! Как и в случае с вложениями —
если вам должны отправить ссылку, пусть сначала предупредят об этом;
все съемные диски (CD/DVD, USB) перед использованием размещенной на них
информации нужно проверять антивирусом, даже SD-карты фотоаппаратов!
запрещается загружать и запускать так называемые Portable-версии программ.
П
ОЯСНЕНИЕ
Подразумевается, что сотрудники работают в системе с правами обычного пользова-
теля и устанавливать программы стандартным способом они не могут. Зато они могут
скачать Portable-версии программ, которые, как правило, распространяются на сайтах,
содержащих пиратское ПО. Часто бывает, что вместе с таким ПО распространяются и
вирусы, «зашитые» или в саму программу, или в генератор ключа для нее.
Выполнение этих простых правил поможет существенно снизить риск инфициро-
вания системы.
Обезвреживание вирусов
Если компьютер оказался поражен вирусом, то следует сначала обновить базу дан-
ных антивирусной программы, если она установлена. В большинстве случаев после
этого она сама сможет обезвредить вирус.
Некоторые вирусы блокируют запуск антивирусных программ (если вирус уже
внедрился в систему с устаревшей базой данных о вирусах). В этом случае нужно
постараться выяснить название вируса, загрузить утилиту, которая позволит устра-
нить внесенные им в систему изменения, после чего можно будет загрузить обнов-
ления антивирусной программы и выполнить полную проверку системы. Для выяв-
ления имени вируса следует воспользоваться сканированием системы — например,
с флешки или посредством онлайнового антивирусного сервиса. Практически все
крупные производители антивирусных продуктов создали подобные службы. На-
пример:
Symantec Security Check:
http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym
;
Trend Micro:
http://housecall.trendmicro.com/housecall/start_corp.asp
;
Panda:
http://www.pandasecurity.com/activescan/index/
,
и многие другие.
При работе в составе локальной компьютерной сети можно воспользоваться также
возможностью антивирусных программ осуществлять проверку сетевых ресурсов.
Если антивирусная программа на компьютере не установлена, то следует первона-
чально провести его проверку на вирусы, используя заведомо «чистое» программ-
ное обеспечение. Как правило, все антивирусные пакеты имеют версии программ
для сканирования и лечения системы, которые можно запустить в режиме команд-
ной строки. Эти версии можно бесплатно загрузить с соответствующего сайта изго-
Безопасность
463
товителя. При проверке необходимо быть уверенным, что в памяти компьютера
отсутствуют вирусы. Для этого система должна быть загружена, например, с заве-
домо «чистой» флешки или с компакт-диска. Вот примеры таких программ:
Dr.Web CureIt:
http://www.freedrweb.com/cureit
/ — поможет, если Windows еще
запускается и относительно нормально работает;
Dr.Web LiveDisk:
http://www.freedrweb.ru/livedisk
/ — загрузочный диск. Пре-
имущество этого способа в том, что вирус на жестком диске будет находиться
в незапущенном состоянии и не только не сможет вам помешать, но и не будет
дальше размножаться. Следует загрузить LiveDisk на неинфицированный ком-
пьютер, записать образ на «болванку» и загрузиться с него на инфицированной
системе;
AVZ:
http://www.z-oleg.com/secur/avz/download.php
— содержит различные
дополнительные средства, которые помогут «вычислить» вирус, если это не по-
лучается сделать с помощью антивирусной программы. Опытные администра-
торы быстро вникнут, как использовать эту программу, а начинающим пользо-
вателям лучше использовать CureIt;
AdwCleaner:
https://ru.malwarebytes.com/adwcleaner/
— средство очистки от
рекламного программного обеспечения. Порой такое ПО досаждает не меньше
вирусов.
После ликвидации вирусов нужно установить/переустановить (если она была по-
вреждена вирусом) антивирусную программу и обновить ее антивирусную базу
данных.
Защита от вторжений
Антивирусные программы проверяют файлы, сохраняемые на носителях, контро-
лируют почтовые отправления и т. п. Но они не могут предотвратить атак, бази-
рующихся на уязвимостях служб компьютера. В таких случаях опасный код содер-
жится в передаваемых по сети данных, а не хранится в файловой системе компью-
тера.
Программы защиты хоста включают и модули, контролирующие передаваемые по
сети данные. Если такой модуль обнаруживает сигнатуру, которая применяется для
атак с использованием ошибок операционной системы или прикладных программ,
то он блокирует соответствующую передачу данных.
Так же, как и антивирусные базы данных, состав этих сигнатур нуждается в посто-
янном обновлении с центрального сервера. Обычно обновление осуществляется
единой операцией.
Программы-шпионы: «троянские кони»
В Интернете широко распространена практика установки на компьютер пользова-
теля определенных программ без его ведома. Иногда их действия просто надоедли-
вы — например, перенаправление стартовой страницы обозревателя на определен-
ные ресурсы Сети в целях рекламы последних. Иногда такие программы собирают
464
Глава 9
с локального компьютера и отсылают в Сеть информацию — например, о предпоч-
тениях пользователя при посещениях сайтов. А иногда и передают злоумышленни-
ку данные, вводимые пользователем при работе с сайтами интернет-банкинга.
Достарыңызбен бөлісу: |