Безопасный браузер касперский

Содержание

Ежедневно в начале работы при загрузке компьютера (для серверов ЛВС — при перезапуске) в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов PC.

Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема на выделенном автономном компьютере или, при условии начальной загрузки ОС в оперативную память компьютера с заведомо «чистой» (не зараженной вирусами) и защищенной от записи системной дискеты, — на любом другом компьютере. Возможно применение другого способа антивирусного контроля входящей информации, обеспечивающего аналогичный уровень эффективности контроля. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель). Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.

При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник отдела самостоятельно должен провести внеочередной антивирусный контроль своей РС. При необходимости привлечь специалистов отдела информационных технологий для определения ими факта наличия или отсутствия компьютерного вируса.

В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники отдела обязаны:

  • приостановить работу;
  • немедленно поставить в известность о факте обнаружения зараженных вирусом файлов сотрудников отдела информационных технологий и сотрудников отдела безопасности, владельца зараженных файлов, а также смежные отделы, использующие эти файлы в работе;
  • провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь специалистов отдела информационных технологий);
  • в случае обнаружения нового вируса, не поддающегося лечению применяемыми антивирусными средствами, направить зараженный вирусом файл на гибком магнитном диске в отдел информационных технологий для дальнейшей передачи его в организацию, с которой заключен договор на антивирусную поддержку;
  • по факту обнаружения зараженных вирусом файлов составить служебную записку в отдел безопасности, в которой необходимо указать предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса и выполненные антивирусные мероприятия.

Функкции не бутафорские и не маркетинговые.

С помощью Kaspersky Internet Security вы можете защитить от кражи свои персональные
данные:
 пароли, имена пользователя и другие регистрационные данные;
 номера счетов и банковских карт.
В состав Kaspersky Internet Security входят компоненты и инструменты, позволяющие
защитить ваши персональные данные от кражи злоумышленниками, использующими такие
методы как фишинг и перехват данных, вводимых с клавиатуры.
Для защиты от фишинга предназначен Анти-Фишинг, включенный в состав компонентов
Веб-Антивирус, Анти-Спам и IM-Антивирус. Включите эти компоненты, чтобы обеспечить
максимально эффективную защиту от фишинга.
Для защиты от перехвата данных, введенных с клавиатуры, предназначена Экранная
клавиатура и защита ввода данных с аппаратной клавиатуры.
Для удаления информации о действиях пользователя на компьютере предназначен мастер
устранения следов активности.
Для защиты данных при использовании сервисов интернет-банкинга и при оплате покупок в
интернет-магазинах предназначены функции Безопасных платежей.
Для защиты от пересылки персональных данных через интернет предназначен один из
инструментов Родительского контроля.
Для защиты конфиденциальных данных, которые вы вводите на веб-сайтах банков и
платежных систем (например, номера банковской карты, пароля для доступа к сервисам
интернет-банкинга), а также для предотвращения кражи платежных средств при проведении
платежей онлайн Kaspersky Internet Security предлагает открывать такие веб-сайты в
Защищенном браузере.
Защищенный браузер – это специальный режим работы браузера, который используется
для защиты ваших данных при работе на веб-сайтах банков или платежных систем.
Защищенный браузер запускается в изолированной среде, чтобы другие программы не
могли внедриться в процесс Защищенного браузера. Kaspersky Internet Security создает
специальные профили браузеров Mozilla Firefox и Google Chrome, чтобы установленные
сторонние расширения не могли повлиять на работу Защищенного браузера.
При работе в Защищенном браузере программа предоставляет защиту от следующих видов
угроз:
 Недоверенные модули. Проверка на наличие недоверенных модулей выполняется
при каждом переходе на веб-сайт банка или платежной системы.
 Руткиты. Проверка на наличие руткитов выполняется при запуске Защищенного
браузера.
 Известные уязвимости операционной системы. Проверка на наличие уязвимостей
операционной системы выполняется при запуске Защищенного браузера.
 Недействительные сертификаты веб-сайтов банков или платежных систем. Проверка
сертификатов выполняется при переходе на веб-сайт банка или платежной системы.
Проверка сертификатов выполняется по базе скомпрометированных сертификатов.

Решил написать коротенькую статью относительно мною любимого спесиалиста-ru г. Касперского и его изобретения века — антивируса — ни в какие рамки его невозможно засунуть! Или нужно засунуть…

Дело в том, что нынче поступает оч. много вопросов от новичков, касаемых работы этой замечательной программы: спрашивают, что это значило бы?? — после установки антивируса Касперского (к примеру, пробной версии) перестают открываться мною любимые сайты? — выдаёт ошибку-предупреждение, мол, сайт, который вы хотите посетить «опасный» попросту «ваше соединение не защищено» типа протоколом https? Особенно частенько касперский блокирует работу браузера Firefox: т.е невозможно посетить многие ранее посещаемые сайты.

В общем это — да, проблема! Особливо для непродвинутого пользователя ПК! Давайте решим эту задачу:

как отключить проверку защищённых соединений — Kaspersky Internet Security

Да, много горя приносит этот защитник неопытному пользователю)) а вместе с ним и владельцу сайта, на который не могут попасть посетители из-за его трогательной защиты.

1 — Когда-то… этот защитник Каспер совал виртуальный код в сгенерированную страничку сайта, — на мой взор, бессмысленный код (не знаю, как сейчас обстоят дела)…

2 — когда-то (опять же — не знаю, как сейчас…) помечал, и совершенно бездоказательно, некоторые сайты, предупреждая их посетителя о возможной опасности… и что, мол, лаборатория К* сайт не проверяла!

Напрашивается логичный вопрос: закаким чёртом тогда предупреждать о мнимой опасности (попросту пугать пользователя) раз не было проверки и опасностей не выявлено?

Считаю это неограниченным свинством г. Касперского и К° по отношению к обычному пользователю! и владельцу сайтов. Ну ладно владельцы блогов/сайтов — разберутся. А вот новички, т.е не подкованные в техническом вопросе — терпят бедствие! и всего-то из-за первичных настроек антивируса.

На мой взгляд — !! нельзя выставлять по умолчанию сомнительные настройки!! — а г. Каспер выставляет, наперекор логике))

Ну, ладно! чёрт с этой лабораторией!

Приступим непосредственно к нынешней теме, и узнаем как…

отключить проверку защищённого соединения

Ведь именно в настройках антивируса Касперского «по умолчанию» и скрывается закавыка нынешней темы! — запрещение посещать сайты: другими словами, — включена проверка сетевого защищённого соединения по запросу компонентов защиты Kaspersky Internet Security. Поэтому при просмотре сайтов в браузере Фаерфокс вылазит предупреждение «ваше соединение не защищено» по протоколу https !!

Вот эту проверку нам и нужно отключить.

…странное дело, как это так — у сайтов работающих по протоколу https может быть не защищённым соединение?? и почему железный Каспер сумневается??

Ладно, это иная тема — иной статьи, касаемой мутной водицы модного нынче ssl — думается, что эти взаимные сомнения в легитимности конкурирующих кампаний ещё долго будут продолжаться, ибо труднёхонько прийти к единому знаменателю — мировому стандарту.

Но как же эту проверку защищённого соединения отключить? Просто!

Переходим в «настройки» антивируса «шестерёнка» такая… Её можно отыскать либо в трее, кликнув по значку… либо в окне программы.

Как только откроется окошко настроек, нужно кликнуть по «Дополнительно» (скрин ниже).

Обратите внимание (следующая картинка): у вас будет по умолчанию активным пункт «Проверять защищённые соединения по запросу компонентов защиты!..

Нужно выбрать «Не проверять защищённые соединения» !!

Я не буду много сорить скриншотами, ибо и так понятно.

Как только станете менять «настройку», перед вами выпадет предупредительное окошко, в котором будет что-то типа «Точно отключить проверку защиты? — уровень защиты снизится ведь» — вы соглашаетесь!! Непременно нужно согласиться! ибо фигня всё это!

Знаний для прочтите текст в окошке предупреждения: забавно! игра слов маркетологов и не более… …и, не дай Бог, коли что с нами приключится, в любом случае виновными останемся мы! но не лаборатория. Так что…

…ну, например это: «будет отключен родительский контроль»!

Ну и что? спросим мы. Дети и так куда угодно влезут, ведь они чаще всего «шарят» больше родителей.

…или это: «будут отключены безопасные платежи»!

Что это за фитюлька?? …именно следуя по пути современности, владельцы сайтов и переходят на протокол https, в котором и без К* обеспечено защищённое шифрованное соединение — т.е безопасно совершать какие-то покупки: вводить свои данные: эл/п и пр. и пр. …

Однако парадокс! как гения друг)) именно сайты с шифрованным соединением (т.е защищённые https) и блокирует Каспер!

В общем все эти закавыки понятны, однако — все те глубинные знания обычному пользователю ни к чему: о них сегодня говорить не будем. А посему, закругляясь…

Прошу простить за лирику..!

Вот и всё!

После изменения настроек, снова можете посещать любимые сайты.

Ничего страшного не произойдёт…

Я не пользуюсь Касперским из этических соображений (нервам спокойнее), поэтому буду признателен, если кто-то из читателей поделится информацией относительно того, как обстоят дела в оплаченном варианте антивируса. ??

И конечно же, читайте статьи сайта и подписывайтесь:
Делюсь горьким опытом — кое-какими знаниями, для вашего сладкого благополучия))

Существует много версий антивирусов от Лаборатории Касперского, каждая из которых имеет свои преимущества и недостатки. Один из последних вариантов – Kaspersky Internet Security 2015, который сочетает в себе множество функций, настройка которых требует времени и определенных навыков. Как установить и провести базовую настройку антивируса Касперского мы расскажем в этой статье.

Загрузка и установка

Первым делом нужно скачать установочный дистрибутив себе на компьютер. Где и как это сделать – каждый решает сам. Демо-версию можно загрузить с официального сайта, работать она будет 30 дней, после чего потребует активации. Когда дистрибутив будет на вашем компьютере, его нужно будет запустить.

После запуска вы увидите следующее окно:

При нажатии кнопки «Установка” вам откроется следующая вкладка с лицензионным соглашением, которое, как обычно, нужно будет просто принять. Далее ещё одно соглашение, после которого начинается непосредственно установка программы на компьютер. Она длится порядка 15 минут.

Программа будет достаточно долго запускаться, анализируя операционную систему и состояние компьютера в целом.

После этого Kaspersky Internet Security затребует ввести ключ лицензии. Если у вас он есть – вводите и активируйте программу, если же нет – выбирайте пробную версию.

Это последний шаг, после которого на вашем компьютере будет установленная программа KIS 2015. Вы попадете в главное меню и обнаружите, что базы антивируса сильно устарели. Связано это с тем, что в установочном дистрибутиве содержится минимальный набор информации с расчетом на использование интернета для регулярного обновления антивирусных баз. Что вам и нужно будет сделать: нажимаем на обновление и ждем.

Сканирование компьютера

Перед сканированием нужно выполнить несколько настроек, чтобы оно проходило без эксцессов. Для этого заходим в пункт меню «Настройки”.

Там нам нужна вкладка «Проверка”. Здесь выставляется действие при обнаружении угрозы. Если вы хотите удалять все зараженные файлы – выставляйте «Удалить”, но гораздо эффективнее выбирать пункт «Лечить, неизлечимое – удалять”. Так вы избежите потери большинства файлов и будете надежно защищены от угрозы. Кстати, действие по отношению угроз вы можете принимать самостоятельно: выбирайте пункт «Информировать” и все решения придется выбирать вручную.

Ниже можно определить действие, которое будет выполняться при подключении съемных носителей. Быстрая проверка подразумевает оценку загрузочного сектора, полная – проверку всех файлов. Варианта всего 4: не проверять, быстрая и полная проверка, а также полная проверка носителей небольшого объема.

После этого можно таки приступить к сканированию. Возвращаемся в главное меню и выбираем пункт «Проверка”.

Здесь откроется выбор вариантов проверки. Полная проверка подразумевает проверку всех директорий компьютера и подключенных носителей. Быстрая проверка выполняет анализ важных директорий компьютера и общих объектов, где чаще всего и заседают вирусы и вредоносные приложения. Выборочная проверка позволяет проанализировать определенную директорию, где, по вашему мнению, может находиться вирус. Проверка съемных носителей дает пользователю выбор носителя, который сканировать, а менеджер задач отображает все запущенные проверки.

Выбирайте подходящий вариант и жмите «Запустить”. Теперь нужно немного подождать и все результаты вы увидите.

Второстепенные настройки антивируса

Чтобы сделать работу программы еще эффективнее, нужно покопаться в дополнительных настройках и установить определенные параметры Касперского, которые нужны именно вам. Для этого опять переходим во вкладку «Настройку” и по порядку изменяем каждый из пунктов.

Здесь есть три флажка, которые можно убрать или установить. Автоматическое выполнение действий даст свободу антивирусу, который будет решать, что делать с файлами самостоятельно. Если же вы поставите флажок «Не удалять возможно зараженные объекты”, то все обнаруженные вирусы и недоброжелательные программы будут попадать в карантин. С пунктом «Автозапуск” все предельно понятно: вы определяете, будет ли Касперский автоматически запускаться при старте Windows. Установка пароля нужна для устранения стороннего вмешательства в настройки антивируса.

В пункте настроек «Защита” вы можете определить уровни защиты различных функций Касперского и настроить их по своему усмотрению:

  • Для файлового антивируса возможен выбор трех уровней угрозы, в зависимости от среды, в которой вы работаете, и определение автоматического действия при обнаружении угрозы.
  • Контроль программ позволяет ограничить влияние сторонних программ на действие компьютера: вы можете исключить приложения без подписи, определить правила для программ и автоматически помещать новые программы в определенный список.
  • Защита от сетевых атак позволяет заблокировать компьютер агрессора на определенный период времени.
  • IM-антивирус анализирует трафик программ-пейджеров на наличие вредоносных ссылок.
  • Настройки почтового и веб-антивируса идентичны параметрам файлового антивируса.
  • Работу веб-камеры можно ограничить для всех (или некоторых программ) или выставить выдачу уведомлений при использовании её программой из разрешенного списка.
  • Настройки сетевого экрана позволяют организовать безопасный доступ к локальной сети и интернету. Вы можете включить уведомления об уязвимостях, которые подстерегают каждого, кто подключается к сети Wi-Fi. Есть возможность отключить/включить работу FTP, изменить время отключения сетевого экрана и установить блокировку сетевых соединений, когда интерфейс программы KIS-2015 не включен.
  • Мониторинг активности может исключить риск для компьютера со стороны вредоносных программ. Здесь нужно включить защиту от эксплойтов, чтобы пресекать все попытки выполнения несанкционированных действий. Причем доступна настройка автоматического решения при обнаружении угрозы: действие можно либо разрешить, либо запретить. Контроль активности программ позволяет автоматически удалять вредоносную программу при обнаружении или завершать её работу в данной сессии. Если же влияние вируса пресечь не удалось, возможно автоматическое выполнение отката и возврат к предыдущему состоянию компьютера. И один из самых важных моментов этого пункта – защита от блокировщиков экрана, программ, полностью парализующих работу компьютера.
  • Функция анти-спама отвечает за блокировку входящих сообщений, содержащим спам.
  • «Анти-баннер” работает по принципу блокировщика рекламы, устраняя баннера на веб-страницах и в приложениях с рекламой. Для проверки можно использовать список баннеров Лаборатории Касперского, который регулярно обновляется, а также добавлять баннера в запрещенный список вручную.
  • Сервис безопасных платежей нужен для избежания возможности потери персональных данных, по которым злоумышленники смогут похитить ваши денежные средства. При посещении веб-сайта банка или платежной системы возможен выбор действия: запуска или не запуска Защищенного браузера, данные из которого невозможно перехватить. Если переход осуществляется по запросу из окна безопасных платежей, то можно выбрать браузер по умолчанию для совершения таких действий.

Вкладка «Производительность” отвечает за настройку функционала компьютера и равномерного распределения его ресурсов, которых часто не хватает и вся система начинает сильно лагать. Из доступных функций – блокировка запланированных задач при работе аккумулятора, которая положительно сказывается на производительности компьютера, наличие игрового профиля, в котором уведомления не выскакивают и не мешают нормальной работе в полноэкранном режиме.

Kaspersky Internet Security может уступать ресурсы операционной системе при запуске компьютера, оставляя включенными только самые важные компоненты, а также более важным программам в ситуации, когда на процессор и жесткий диск оказывается слишком высокая нагрузка. В то же время, возможно выполнение задач при простое компьютера, что позволяет оптимизировать использование ресурсов. Поиск руткитов выполняется в real-time режиме и на работу системы практически не влияет.

О вкладке «Проверка” и всех её возможностях было рассказано выше. Стоит лишь отметить, что есть возможность выставления проверки по расписанию, что нужно для регулярного анализа системы и поддержания её защищенности на надлежащем уровне.

Пункт «Дополнительно” открывает доступ к дополнительным настройкам. Их перечень тоже достаточно широк:

  • в параметрах обновления можно включить или отключить автоматическую загрузку и установку обновлений;
  • безопасный ввод данных блокирует работу перехватчиков, защищая конфиденциальность информации, которую вы вводите с клавиатуры;
  • в параметрах угроз и исключений возможно включение анализа программ, которые потенциально опасны для компьютера (например, нужны для удаленного управления), а также настройка технологии активного заражения;
  • при включении самозащиты блокируются все попытки изменения и удаления файлов антивируса для обеспечения стабильной работы;
  • в параметрах сети возможна блокировка некоторых портов и настройка анализа защищенных соединений, а также организация доступа к прокси серверу;
  • пункт «Уведомления” позволяет выбрать типы сообщений, которые будет отображать антивирус для пользователя;
  • параметры отчетов и карантина ограничивают срок хранения данных и максимальный их объем;
  • параметры подключения к веб-сервисам нужны для настройки взаимодействия пользователя и Лаборатории Касперского;
  • пункт «Внешний вид” имеет всего два подпункта: можно отключить анимацию значка и настроить плавный переход между окнами программы.

Например, за 2011 год 15% взрослого населения России совершили покупки онлайн, а во 2 квартале 2012 года 13% всех покупок в Москве совершалось через Интернет. Согласно данным исследования компании HarrisInteractive, проведенного для «Лаборатории Касперского», 47% пользователей в мире совершает покупки через Интернет и 44% работает с онлайн-банкингом. Это особенно видно в канун больших праздников, таких как 8 марта и новый год, когда количество онлайн-покупок резко возрастает. В результате для пользователей значимость защиты при совершении онлайн-покупок становится все выше.

Реагируя «на опережение», «Лаборатория Касперского» реализовала в новой версии Kaspersky Internet Security 2013 технологию «Безопасные платежи» (SafeMoney), которая обеспечивает защиту платежей через сеть Интернет. Данная технология пришла на смену двум технологиям из предыдущих версий Kaspersky Internet Security – «Безопасной среды» («Песочницы») и «Безопасного браузера». И, если раньше пользователям приходилось самостоятельно запускать работу браузера в безопасном режиме, то теперь Kaspersky Internet Security 2013 разгружает пользователя, делая это автоматически.

В данной статье мы рассмотрим реализацию технологии защиты онлайн-платежей Kaspersky Internet Security 2013 и приведем практический пример ее работы.

Технология защиты

Одной из главных целей злоумышленников является кража, перехват и модификация данных пользователей – логинов и паролей к платежным системам (PayPal, WebMoney, Яндекс.деньги и т.д.), сервисам интернет-банкингов, а также номеров кредитных карточек. Получение этих данных злоумышленниками автоматически означает и получение ими денег пользователей.

Существует несколько основных проблем в безопасности операционных систем и прикладных приложений, которые могут приводить к потере финансов пользователей (таблица 1).

Таблица 1. Проблемы в безопасности и методы кражи финансов пользователей

Проблема в безопасности

Методы кражи

Отсутствие защиты соединения между клиентом и онлайн-сервисом.

Атаки, направленные на перехват данных. Например, сниффинг , подмена DNS/Proxy-серверов , Man-in-the-Middle , подмена сертификатов и т.д.

Отсутствие надежной идентификации оригинальных веб-сайтов (имитация настоящих сайтов).

Социальный инжиниринг, в частности фишинг . Пользователь перенаправляется на поддельный сайт и там его различными способами склоняют ввести свои учетные данные от оригинального сайта.

Наличие уязвимостей в операционной системе и прикладных приложениях.

Сбор данных на компьютере пользователя при помощи регистрации нажатий клавиш, снятия снимков экрана, кражи данных при помощи троянов и т.д.

Модификация данных, отправляемых в банк при помощи Man-in-the-browser

Подмена данных, передаваемых между браузером и веб-сервером. В этом случае пользователь может использовать различные средства защиты (токены, смарт-карты и т.д.) и хотя он видит в браузере правильные с его точки зрения данные, однако деньги перенаправляются не по его адресу, а по адресу указанному злоумышленниками

Многие антивирусы защищают пользователя только от части указанных проблем. Те же продукты, которые могут решать указанные проблемы по отдельности, не могут использовать их одновременно для решения проблем связанных с защитой онлайн-платежей.

Ставку именно на комплексное, многоуровневое решение сделала «Лаборатория Касперского» в своей новой технологии «Безопасные платежи». В работе данной технологии одновременно используются компоненты для поиска уязвимостей, проверки подлинности сайтов, блокировки подозрительных программных окон и защита вводимых с клавиатуры данных.

Решение о работе технологии «Безопасные платежи» вообще и при работе с конкретным сайтом в частности.

Включать ли работу технологии «Безопасные платежи» всегда или использовать ее только при работе с определенным сайтом – определяет сам пользователь. Если технология «Безопасные платежи» включена, то при доступе к платежным системам и интернет-банкингу веб-браузер запускается в безопасном режиме. В этом случае выполняется следующий набор действий:

  1. При переходе на сайт его адрес проверяется по базам доверенных адресов платежных и банковских систем, созданном и обновляемом в «Лаборатории Касперского». В результате пользователь может быть уверен в том, что он находится именно на оригинальном сайте банка или платежной системы, а не клоном, созданном злоумышленниками. Это также позволяет исключить внедрение постороннего процесса, а также атак типа «Man-in-the-Middle» и «Man — in — the — browser » в процессе доступа к сайту.
  2. Осуществляется проверка сертификатов подлинности сервера, что позволяет защитить пользователей от переходов на фальшивые сайты. Подтверждение сертификата является гарантией, что используемый онлайн-сервис проверен, владеющая им компания существует и осуществляется защищенное от перехвата данных соединение с сервером.
  3. Проводится анализ уязвимостей в операционной системе, которые могут привести к краже финансов, и предлагается пользователю закрыть эти уязвимости в автоматическом режиме.

Технология «Безопасные платежи» может использоваться для любых сайтов, работающих с платежными системами через защищённый протокол HTTPS. Kaspersky Internet Security 2013 содержит автоматически пополняемую базу веб-адресов, которые должны защищаться. При этом, если нужный сайт отсутствует в базе, то пользователь может добавить его вручную.

Важно отметить, что в безопасном режиме браузера работает не только технология «Безопасные платежи», но и другие компоненты Kaspersky Internet Security 2013 — система контроля программ (HIPS), технология «Автоматическая защита от эксплойтов» (Automatic Exploit Prevention), модуль анти-фишинга, защита от перехвата данных с клавиатуры и т.д. В результате совместного использования различных компонентов для решения одной задачи пользователь получает не набор разных компонентов безопасности, а интегральный эффект, возникающий при их взаимодействии (рисунок 1).

Рисунок 1. Графическое представление логики совместной работы нескольких компонентов безопасности

Еще одним инструментом для защиты данным пользователей является виртуальная клавиатура, которая позволяет защититься от программ, осуществляющих регистрацию нажатий клавиш на клавиатуре (keylogger), и снятие снимков экрана (screenshot). В Kaspersky Internet Security 2013 на основе технологий, реализованных в виртуальной клавиатуре, был реализован специальный драйвер, который позволяет защищать данные от перехвата при использовании обычной аппаратной клавиатуры. То есть набор данных с клавиатуры теперь защищен так же, как и при использовании виртуальной клавиатуры.

Рисунок 2. Виртуальная клавиатура в Kaspersky Internet Security 2013

Настройка работы с технологией «Безопасные платежи»

В любой момент пользователь может провести настройку работы компонента «Безопасные платежи» – добавить или удалить адреса, по переходу на которые браузер будет работать в защищенном режиме. Делать это не обязательно, так как Kaspersky Internet Security 2013 содержит большую базу адресов веб-сайтов, при переходе на которые браузер автоматически будет запускаться в безопасном режиме. Однако, если нужно добавить сайт вручную или наоборот, удалить сайт из списка, то нужно воспользоваться указанными настройками.

Настройку работы технологии «Безопасные платежи» можно осуществить двумя способами. Во-первых, из главного окна.

Рисунок 3. Главное окно Kaspersky Internet Security 2013

Для этого в нем нужно нажать кнопку «Настройки». В открывшемся окне нужно выбрать закладку «Безопасные платежи».

Рисунок 4. Настройки технологии «Безопасные платежи»

В настройках мы можем включить работу рассматриваемой технологии, включить/отключить оповещение при нахождении уязвимостей в операционной системе и редактировать список сайтов и сервисов, при доступе к которым браузер должен переходить в безопасный режим. При работе со списком нужно указать, как должен вести себя браузер при посещении защищенных сайтов – автоматические переходить в защищённый режим, спрашивать об этом пользователя или не переходить в него вовсе. Например, если мы для сайта «https://money.yandex.ru » указали, чтобы он всегда открывался в защищенном режиме, то при первом его посещении вопрос о типе запуска нам задаваться не будет.

Рисунок 5. Редактирование списка сайтов, защищаемых технологий «Безопасные платежи»

После того, как список сайтов отредактирован, можно переходить к осуществлению онлайн-платежей.

Второй вариант редактирования списка защищаемых сайтов – перейти в окно «Безопасные платежи» из главного окна или по нажатию на ярлык в виде пластиковой карты на рабочем столе.

Рисунок 6. Работа со списком защищаемых сайтов

Пример проведения онлайн-платежа при работе технологии «Безопасные платежи»

Рассмотрим работу технологии «Безопасные платежи» на примере покупке товара в интернет-магазине Ozon.ru при помощи платежной системы «Яндекс.Деньги».

Вначале мы переходим на сайт интернет-магазина Ozon.ru. Так как изначально мы не настраивали способ работы браузера с этим сайтом, то нам будет предложено запустить браузер в безопасном режиме работы и сохранить результат нашего выбора. Соглашаемся с предложенным режимом и движемся дальше.

Рисунок 7. Предложение запустить браузер в защищённом режиме

Если в системе не были установлены критически важные обновления, то Kaspersky Internet Security 2013 предложит это исправить.

Рисунок 8. Обнаружения критической уязвимости

В случае, если мы попытались перейти на сайт с поддельным сертификатом, то Kaspersky Internet Security 2013 заблокирует его открытие и предупредит нас об опасности.

Рисунок 9. Обнаружен веб-сайт с поддельным сертификатом

После этого мы можем заняться онлайн-покупками, добавляя и удаляя товары из виртуальной «корзины». После того как все нужные нам вещи выбраны, мы можем перейти к процессу оформления покупки.

Рисунок 10. Выбор товара для покупки

Потом выбираем платежную систему, при помощи которой будем оплачивать покупку.

Рисунок 11. Выбор платежной системы

После этого мы переходим в наш интернет-кошелек. Браузер будет запущен в защищенном режиме, что можно понять по зеленым краям браузера.

Рисунок 12. Внешний вид браузера при работе в безопасном режиме

Следует отметить, что в течение работы безопасного режима ввод всех данных защищен от перехвата специальным драйвером для стандартной клавиатуры, что не позволит вредоносным программам перехватить вводимые пользователем данные.

Собственно большой набор используемых технологий и особенности их работы будут интересны только специалистам, а для пользователей весь процесс заключается в добавлении сайтов в список в окне «Безопасные платежи» и подтверждении запуска браузера в защищенном режиме при первой работе с сайтом.

По результатам тестирования систем защиты онлайн-платежей от внешних атак чешской лабораторией Matousec , технология «Безопасные платежи» смогла отразить все 15 используемых в тесте атак.

Выводы

В заключении следует отметить, что, исходя из рассмотренного практического примера, работа с технологией «Безопасные платежи» предельно проста и не должна вызвать у большинства пользователей каких-либо проблем. Также положительной оценки заслуживает подход, ориентированный на пользователя, а не на решения определенного класса технических задач («песочница», анти-фишинг и т.д.).

Программное окно для управления компонентом «Безопасные платежи» сделано таким образом, что половину его пространства занимает статическая картинка, не содержащая функционального наполнения. Автор статьи считает такое решение достаточно спорным, однако это относится к области дизайна, и оценивается каждым пользователем индивидуально.

При попытке открыть Защищенный браузер возможны следующие ошибки:

  • Не установлены важные обновления . Это ошибка возникает, если программа Kaspersky Fraud Prevention for Endpoints обнаружила уязвимости операционной системы, связанные с отсутствием важных обновлений. Для устранения этой ошибки требуется установить рекомендуемые обновления операционной системы.
  • Не найден ни один из поддерживаемых браузеров . При возникновении этой ошибки необходимо проверить, соответствует ли компьютер аппаратным и программным требованиям. Если браузер, установленный на компьютере, несовместим с Kaspersky Fraud Prevention for Endpoints, требуется установить один из поддерживаемых браузеров .
  • Не удалось создать процесс Защищенного браузера. При возникновении этой ошибки требуется перезагрузить компьютер и открыть Защищенный браузер еще раз.
  • Сертификат защищенного соединения не соответствует оригиналу . При возникновении этой ошибки рекомендуется отказаться от использования веб-сайта. Возможно, произошло перенаправление на фишинговый веб-сайт. Также эта ошибка может возникнуть, если срок действия сертификата веб-сайта истек. При возникновении проблемы с сертификатом защищенного соединения рекомендуется обратиться в Службу технической поддержки .
  • Расширение Kaspersky Protection не установлено или выключено . При возникновении этой ошибки требуется убедиться, что программа Kaspersky Fraud Prevention for Endpoints запущена, и расширение Kaspersky Protection в браузере по умолчанию установлено и включено.
  • Не обеспечивается защита от создания снимков экрана . При возникновении этой ошибки требуется убедиться, что защита от создания снимков экрана включена. Для устранения этой ошибки требуется включить защиту от создания снимков экрана . Если ошибка повторяется, рекомендуется обратиться в Службу технической поддержки.
  • При запуске Защищенного браузера обнаружен руткит . При возникновении этой ошибки рекомендуется прекратить работу с Защищенным браузером. При обнаружении руткита рекомендуется обратиться в Службу технической поддержки.
  • В процессе работы Защищенного браузера обнаружен недоверенный модуль . Эта ошибка возникает при обнаружении недоверенного модуля в памяти защищенного процесса. При возникновении этой ошибки рекомендуется прекратить работу с Защищенным браузером и обратиться в Службу технической поддержки.
  • Обнаружено заражение системы . При возникновении этой ошибки рекомендуется обратиться в Службу технической поддержки.

Антивирусная защита компании: NIST рекомендует


Вадим Грибунин,
кандидат технических наук, эксперт

Не покупкой единой…

Защитой от вирусов1 озабочены в любой компании, независимо от ее размера. И объясняется это не только привычным для любого человека названием этой угрозы, но и наглядным проявлением воздействия вирусов. В самом деле, вы можете никогда не узнать о краже (копировании) важных данных, но их порча будет чувствительным ударом.

В большинстве организаций задача антивирусной защиты решается приобретением того или иного продукта. В наиболее «продвинутых» фирмах знакомы с рекомендациями Microsoft и закупают предназначенные для защиты различных уровней сети антивирусы у разных производителей. Правда, при этом зачастую приобретают «головную боль» одновременной поддержки разноплановых решений.

Во многих сферах деятельности, в том числе и в информационной безопасности, действует закон «80/20». Не является исключением и антивирусная защита: вклад организационных мер в ее эффективность существенно превосходит, на наш взгляд, вклад технических мер. В предлагаемой статье описан подход к организации антивирусной защиты компании, рекомендуемый Национальным институтом стандартов и технологий (NIST) США.

Вирусы: но пасаран

Необходимо выделить две больших проблемы с точки зрения борьбы с вирусами: предотвращение связанных с ними инцидентов и реагирование на эти инциденты, если уж они все-таки произошли. Рассмотрим вначале задачу, связанную с предотвращением проявления вирусов. Как указано в документе NIST, эта задача распадается на четыре подзадачи^ политика безопасности, обучение пользователей, уменьшение уязвимостей ПО, снижение угроз (применение антивирусных средств).

В политике безопасности организации должны быть выделены вопросы антивирусной защиты. Можно создать и отдельную политику по этой проблеме, но надо помнить, что связанные с вирусами вопросы все равно будут «размазаны» по другим политикам (например, управление доступом). Отражаемые в политиках моменты являются основой для всех превентивных мер борьбы с вирусами.

Большое значение имеет обучение пользователей, повышение их осведомленности о вирусных угрозах. Ведь большинство случаев заражения происходит из-за ошибочных действий людей. Особое внимание надо уделить повышению квалификации ИТ-персонала.

Зачастую вирусы используют уязвимости операционных систем, служб и приложений. Поэтому необходимо постоянное отслеживание, анализ и ликвидация уязвимостей, что понижает связанные с вирусами риски. Многие уважаемые фирмы, работающие в области ИБ, предлагают подписаться на их рассылки, и этой возможностью пренебрегать не стоит. И обязательно следует устанавливать предлагаемые вендорами программных продуктов обновления.

Наконец, мы дошли и до чисто технических мер борьбы с вирусами. Конечно же, применение антивирусного/антишпионского ПО, межсетевых экранов, IDS/IPS и т.д. является обязательным.

Вирусы все же прорвались — минимизируем ущерб

Но что же делать, если заражение все же произошло? Отчаиваться не стоит, ведь к этому можно быть готовым. NIST выделяет четыре основные фазы: подготовка к реагированию, обнаружение и анализ, сдерживание, уничтожение и восстановление, послеинцидентная деятельность.

Рассмотренные ранее процедуры предотвращения заражения вирусами выполняются как раз на фазе подготовки к реагированию. Помимо этого здесь же разрабатывается план реагирования на инциденты, ведется подготовка группы реагирования и всех сотрудников, вовлеченных в процесс ликвидации последствий вторжения, распределяются роли и обязанности. Рекомендуется проводить регулярные упражнения и тренировки по борьбе с вирусами, а в состав групп реагирования включать в том числе программистов и специалистов по компьютерным преступлениям. Помимо антивирусов эта группа должна иметь в своем арсенале много других средств, способствующих расследованию инцидента, например снифферы, анализаторы протоколов и т.д.

Если, несмотря на все предпринятые меры, вирусное заражение все же произошло, то важное значение имеет своевременное обнаружение данного факта и его локализация. Необходимо в возможно кратчайшие сроки выяснить тип заражения, его серьезность, масштабы. Отметим, что NIST рассматривает на этой фазе не только обнаружение реально произошедшего заражения, но и выявление предпосылок к заражению. Например, сигнал межсетевого экрана о заблокированной атаке служит таким предупреждением: ведь следующее направление удара может прийтись на незащищенный участок.

Под сдерживанием вирусов понимаются две вещи: предотвращение дальнейшего распространения заразы и дальнейшего краха информационной системы. Необходимо четко понимать разницу между этими понятиями и то, что остановка вирусной эпидемии вовсе не означает спасение зараженного компьютера. Понятно, что сдерживать вирусы при локальном заражении несложно: машина просто-напросто может быть выключена. Хотя если данный компьютер играет важную роль и его нельзя выключить без потерь, то необходимо заранее оценить соответствующие риски. Как раз при создании политики реагирования и принимаются решения по наименьшему из зол: может быть, лучше заразить другие компьютеры, чем выключить важный сервер. Если же заражение принимает глобальный характер, то для успешной борьбы с ним тем более необходимо заранее продумать (и изложить в соответствующей политике) порядок локализации проблемы.

Сдерживание вирусного заражения достигается за счет обязательного участия в этом процессе всех пользователей, а также применения антивирусных средств, запрета определенных сервисов и разрыва сетевых соединений.

Процесс уничтожения вирусов не должен ограничиваться удалением заразы при помощи соответствующих средств. Нельзя забывать и о закрытии уязвимости, которую использовал вирус, и об установке нужных патчей. Зачастую наблюдается следующая картина: не успели удалить вирус, как он опять появился. И патчи вроде бы все установлены. Это сигнал к тому, что в системе, возможно, установлен руткит, работающий с правами администратора. В этом случае NIST рекомендует переустанавливать систему.

Наконец, процесс восстановления после инцидента включает в себя две составляющие: собственно восстановление программ и данных и ликвидацию временно принятых мер.

Происшедший инцидент дает пищу для размышлений, результаты которых воплощаются в пересмотренных инструкции и политиках. Таким образом, круг замкнулся, и мы снова находимся на фазе подготовки к инциденту.

Учиться, учиться и еще раз учиться

Итак, мы рассмотрели вкратце организационные меры по борьбе с вирусами, рекомендуемые NIST. Если вас заинтересовала данная тема, то вы можете ознакомиться с полным, стостраничным текстом этого документа по адресу: http://csrc.nist.gov/publica-tions/nistpubs/800-83/SP800-83.pdf. В нем вы найдете также рассмотрение нескольких практических случаев заражения вирусами и ликвидации его последствий. Ну а если вы решили понадеяться на известное русское «авось» — что ж, ждите, пока вирусы не скажут: «Тогда мы идем к вам!»

Методы и средства защиты от компьютерных вирусов

Александр Фролов, Григорий Фролов

alexandre@frolov.pp.ru; http://www.frolov.pp.ru, http://www.datarecovery.ru

В предыдущей статье, посвященной антивирусной защите, мы рассмотрели основные типы вирусов и способы их распространения. Теперь, основываясь на этих знаниях, мы займемся защитой от вирусов, троянских и других вредоносных программ. Мы расскажем о программно-технических и административно-технологических решениях и мероприятиях, необходимых для снижения риска вирусного заражения и уменьшения вреда, если такое заражение уже произошло.

Программно-технические методы обнаружения вирусов

Основным средством борьбы с вирусами были и остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы), не имея представления о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов, а также способов их распространения, нельзя организовать надежную защиту компьютера. Как результат, компьютер может быть заражен, даже если на нем установлены антивирусы.

Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:

· сканирование;

· эвристический анализ;

· использование антивирусных мониторов;

· обнаружение изменений;

· использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Конечно, если это возможно.

Сканирование

Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает Ваш компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Эвристический анализ

Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует, например, рассмотренный ниже метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы.

Практически все современные антивирусные программы реализуют собственные методы эвристического анализа. На рис. 1 мы показали одну из таких программ — сканер McAffee VirusScan, запущенный вручную для антивирусной проверки диска.

Рис. 1. Сканер McAffee VirusScan проверяет диск

Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети.

Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность — удалить зараженный файл и затем восстановить его из резервной копии (если, конечно, она у Вас есть).

Антивирусные мониторы

Существует еще целый класс антивирусных программ, которые постоянно находятся в памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами. Такие программы носят название антивирусных мониторов или сторожей.

Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты и компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

В комплект одного из наиболее совершенных сканеров Doctor Web (рис.2), разработанных Игорем Даниловым (http://www.drweb.ru) входит сторож Spider Guard, выполняющий функции антивирусного монитора.

Рис. 2. Сканер Doctor Web

Обнаружение изменений

Когда вирус заражает компьютер, он изменяет содержимое жесткого диска, например, дописывает свой код в файл программы или документа, добавляет вызов программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник. Таких изменений, однако, не делают «бестелесные» вирусы, обитающие не на диске, а в памяти процессов ОС.

Антивирусные программы, называемые ревизорами диска, не выполняют поиск вирусов по сигнатурам. Они запоминают предварительно характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверяют их (отсюда происходит название программы-ревизоры). Ревизор может найти изменения, сделанные известным или неизвестным вирусом.

Вместе с ADinf применяется лечащий модуль ADinf Cure Module (ADinfExt), который использует собранную ранее информацию о файлах для восстановления их после поражения неизвестными вирусами. Ревизор AVP Inspector также имеет в своем составе лечащий модуль, способный удалять вирусы.

Защита, встроенная в BIOS компьютера

В системные платы компьютеров тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа попытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение.

Однако эта защита не очень надежна. Существуют вирусы (например, Tchechen.1912 и 1914), которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

Особенности защиты корпоративной интрасети

Корпоративня интрасеть может насчитывать сотни и тысячи компьютеров, играющих роль рабочих станций и серверов. Эта сеть обычно подключена к Интернету и в ней имеются почтовые серверы, серверы систем автоматизации документооборота, такие как Microsoft Exchange и Lotus Notes, а также нестандартные информационные системы.

Для надежной защиты корпоративной интрасети необходимо установить антивируы на все рабочие станции и серверы. При этом на файл-серверах, серверах электронной почты и серверах систем документооборота следует использовать специальное серверное антивирусное программное обеспечение. Что же касается рабочих станций, их можно защитить обычными антивирусными сканерами и мониторами.

Разработаны специальные антивирусные прокси-серверы и брандмауэры, сканирующие проходящий через них трафик и удаляющие из него вредоносные программные компоненты. Эти антивирусы часто применяются для защиты почтовых серверов и серверов систем документооборота.

Защита файловых серверов

Защита файловых серверов должна осуществляться с использованием антивирусных мониторов, способных автоматически проверять все файлы сервера, к которым идет обращение по сети. Антивирусы, предназначенные для защиты файловых серверов, выпускают все антивирусные компании, поэтому у Вас есть богатый выбор.

Защита почтовых серверов

Антивирусные мониторы неэффективны для обнаружения вирусов в почтовых сообщениях. Для этого необходимы специальные антивирусы, способные фильтровать трафик SMTP, POP3 и IMAP, исключая попадание зараженных сообщений на рабочие станции пользователей.

Для защиты почтовых серверов можно приобрести антивирусы, специально предназначенные для проверки почтового трафика, или подключить к почтовому серверу обычные антивирусы, допускающие работу в режиме командной строки.

Демон антивируса Doctor Web можно интегрировать со всеми наиболее известными почтовыми серверами и системами, такими как Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail и Zmailer. Аналогичные средства предоставляются и Лабораторией Касперского в составе пакета Kaspersky Corporate Suite.

Почтовый сервер MERAK Mail Server допускает подключение внешних антивирусов различных типов, имеющих интерфейс командной строки. Некоторые почтовые серверы (например, EServ) поставляются со встроенным антивирусом.

Можно также дополнительно проверять трафик POP3 и на рабочих станциях пользователей. Это позволяет сделать, например, антивирусный прокси-сервер SpIDer Mail для протокола POP3, который можно приобрести вместе с антивирусом Doctor Web.

Защита серверов систем документооборота

Серверы систем документооборота, такие как Microsoft Exchange и Lotus Notes, хранят документы в базах данных собственного формата. Поэтому использование обычных файловых сканеров для антивирусной проверки документов не даст никаких результатов.

Существует ряд антивирусных программ, специально предназначенных для антивирусной защиты подобных систем. Это Trend Micro ScanMail для Lotus Notes, McAfee GroupScan и McAfee GroupShield, Norton Antivirus для Lotus Notes, антивирус Касперского Business Optimal для MS Exchange Server и некоторые другие.

Эти программы сканируют почту и файлы вложений, удаляя в реальном времени все вредоносные программы, обнаруживают макрокомандные вирусы и троянские программы в формах и макросах, в файлах сценариев и в объектах OLE. Проверка выполняется в режиме реального времени, а также по требованию.

Защита нестандартных информационных систем

Для антивирусной защиты нестандартных информационных систем, хранящих данные в собственных форматах, необходимо либо встраивать антивирусное ядру в систему, либо подключать внешний сканер, работающий в режиме командной строки.

Например, ядро антивируса Doctor Web было использовано ФГУП «НПО машиностроения» для защиты системы документооборота, созданной на базе собственной технологии Sapiens (http://www.npomit.ru). Вся информация, сохраняемая этой системой в базе данных, проверяется антивирусным ядром Doctor Web.

Как разработчики информационных систем для ответственного применения, «НПО машиностроения» снабдило антивирусной защитой такие свои разработки, как Sapiens Регистрация и Контроль Исполнения Документов, Sapiens Мониторинг Вычислительных Ресурсов, Sapiens Электронный Архив Конструкторской Документации.

Сетевой центр управления антивирусами

Если интрасеть насчитывает сотни и тысячи компьютеров, то необходимо централизованное удаленное управление антивирусными программами и контроль их работы. Выполнение в «ручном» режиме таких операций, как отслеживание обновлений антивирусной базы данных и загрузочных модулей антивирусных программ, контроль эффективности обнаружения вирусов на рабочих станциях и серверах и т.п., малоэффективно, если в сети имеется большое количество пользователей или если сеть состоит из территориально удаленных друг от друга сегментов.

Если же не обеспечить своевременное и эффективное выполнение перечисленных выше операций, технология антивирусной защиты корпоративной сети обязательно будет нарушена, что рано или поздно приведет к вирусному заражению. Например, пользователи могут неправильно настроить автоматическое обновление антивирусной базы данных или просто выключать свои компьютеры в то время, когда такое обновление выполняется. В результате автоматическое обновление не будет выполнено и возникнет потенциальная угроза заражения новыми вирусами.

В современных антивирусных системах реализованы следующие функции удаленного управления и контроля:

· установка и обновление антивирусных программ, а также антивирусных баз данных;

· централизованная дистанционная установка и настройка антивирусов;

· автоматическое обнаружение новых рабочих станций, подключенных к корпоративной сети, с последующей автоматической установкой на эти станции антивирусных программ;

· планирование заданий для немедленного или отложенного запуска (таких как обновление программ, антивирусной базы данных, сканирование файлов и т.п.) на любых компьютерах сети;

· отображение в реальном времени процесса работы антивирусов на рабочих станциях и серверах сети.

Сетевые центры управления позволяют управлять антивирусной защитой всей сети с одной рабочей станции системного администратора. При этом для ускорения процесса установки антивирусов в удаленных сетях, подключенных к основной сети медленными каналами связи, в этих сетях создаются собственные локальные дистрибутивные каталоги.

При использовании клиент-серверной архитектуры основой сетевого центра управления является антивирусный сервер, установленный на одном из серверов корпоративной сети. С ним взаимодействуют, с одной стороны, программы-агенты, установленные вместе с антивирусами на рабочих станциях сети, а с другой стороны — управляющая консоль администратора антивирусной защиты (рис. 3).

Рис. 3. Взаимодействие консоли администратора, агентов и антивирусного сервера

Антивирусный сервер выполняет управляющие и координирующие действия. Он хранит общий журнал событий, имеющих отношение к антивирусной защите и возникающих на всех компьютерах сети, список и расписание выполнения заданий. Антивирусный сервер отвечает за прием от агентов и передачу администратору антивирусной защиты сообщений о возникновении тех или иных событий в сети, выполняет периодическую проверку конфигурации сети с целью обнаружения новых рабочих станций или рабочих станций с изменившейся конфигурацией антивирусных средств и т.д.

Помимо агентов, на каждой рабочей станции и сервере корпоративной сети устанавливается антивирус, выполняющий сканирование файлов и проверку файлов при их открытии (функции сканера и антивирусного монитора). Результаты работы антивируса передаются через агентов антивирусному серверу, которых их анализирует и протоколирует в журнале событий.

Управляющая консоль может представлять собой стандартное приложение Microsoft Windows с оконным интерфейсом или аплет (snap-in) управляющей консоли Control Panel операционной системы Microsoft Windows. Первый подход реализован, например, а управляющей системе антивирусов Sophos, а второй — в управляющей системе Norton AntiVirus.

Пользовательский интерфейс управляющей консоли позволяет просматривать древовидную структуру корпоративной сети, получая при необходимости доступ к отдельным компьютерам тех или иных групп пользователей или доменов.

Многоуровневые системы с Web-интерфейсом

Архитектура многоуровневых систем с Web-интерфейсом предполагает использование Web-сервера в качестве ядра системы. Задачей этого ядра является, с одной стороны, организация диалогового интерактивного взаимодействия с пользователем, а с другой — с программными модулями той или иной системы.

Преимущества такого подхода заключаются в унификации способов управления различными системами сети, а также в отсутствии необходимости устанавливать на рабочую станцию администратора какие-либо управляющие программы или консоли. Администрирование может выполняться с любого компьютера сети, а если сеть подключена к Интернету, то из любого места земного шара, где есть Интернет и компьютер с браузером.

Для защиты управляющей информации при ее передаче по Интернету или корпоративной интрасети применяются протоколы SSH или другие аналогичные средства (например, собственные защищенные модификации протокола HTTP).

На рис. 4-5 мы показали структурную схему системы антивирусной защиты с Web-интерфейсом Trend Virus Control System. Эта система позволяет полностью управлять и контролировать работу корпоративной системы антивирусной защиты с одной рабочей станции через браузер, даже если отдельные фрагменты сети находятся в разных странах или на разных континентах.

Рис. 4. Антивирусная система с Web-интерфейсом

Эта схема аналогична схеме, показанной на рис. 4-1, однако администратор антивирусной защиты управляет ее работой через браузер, а не через консольное приложение.

На рабочих станциях устанавливается антивирус (PC-cillin, Server Protect, InterScan VirusWall, ScanMail и т.д.). Этот антивирус управляется антивирусным сервером через агента.

На компьютере, играющем роль антивирусного сервера, устанавливается Web-сервер Microsoft IIS. Специальное Web-приложение, работающее на этом сервере, управляет антивирусным сервером. Оно также предоставляет администратору пользовательский интерфейс для управления системой антивирусной защиты.

С целью обеспечения максимальной независимости от компьютерных платформ сервер Trend VCS Server и клиентское приложение написаны на языке программирования Java и других языках, применяющихся для разработки приложений Интернета.

Что же касается извещений о возникновении событий в корпоративной системе антивирусной защиты, то они передаются программами-агентами серверу Trend VCS Server и рассылаются по электронной почте, по пэйджинговым сетям, через системы SMS и т.п.

Административно-технологические методы защиты

Для того чтобы антивирусные программы эффективно выполняли свои функции, необходимо строго соблюдать рекомендации по их применению, описанные в документации. Особое внимание следует обратить на необходимость регулярного обновления вирусных баз данных и программных компонент антивирусов. Современные антивирусы умеют загружать файлы обновлений через Интернет или по локальной сети. Однако для этого их необходимо настроить соответствующим образом.

Однако даже без применения антивирусных программ можно постараться предотвратить проникновение вирусов в компьютер и уменьшить вред, который они нанесут в случае заражения. Вот что следует для этого сделать в первую очередь:

· блокируйте возможные каналы проникновения вирусов: не подключайте компьютер к Интернету и локальной сети компании, если в этом нет необходимости, отключите устройства внешней памяти, такие как дисководы для дискет и устройства CD-ROM;

· настройте параметры BIOS таким образом, чтобы загрузка ОС выполнялась только с жесткого диска, но не с дискет;

· запретите программное изменение содержимого энергонезависимой памяти BIOS;

· изготовьте системную загрузочную дискету, записав на нее антивирусы и другие системные утилиты для работы с диском, а также диск аварийного восстановления Microsoft Windows;

· проверяйте все программы и файлы документов, записываемые на компьютер, а также дискеты с помощью антивирусных программ новейших версий;

· устанавливайте программное обеспечение только с лицензионных компакт-дисков;

· установите на всех дискетах защиту от записи и снимайте ее только в случае необходимости;

· ограничьте обмен программами и дискетами;

· регулярно выполняйте резервное копирование данных;

· устанавливайте минимально необходимые права доступа к каталогам файлового сервера, защищайте от записи каталоги дистрибутивов и программных файлов;

· составьте инструкцию для пользователей по антивирусной защите, описав в ней правила использования антивирусов, правила работы с файлами и электронной почтой, а также опишите действия, которые следует предпринять при обнаружении вирусов.

Проблема домашних компьютеров

Часто сотрудники компаний работают не только в офисе, но и дома, обмениваясь файлами между домашним компьютером и офисной рабочей станцией. Системный администратор компании не в состоянии защитить от вирусов все домашние компьютеры сотрудников. Вирусы могут попасть на домашний компьютер из Интернета, а также в результате обмена игровыми программами. Зачастую это происходит, если к домашнему компьютеру имеют доступ другие члены семьи и дети.

Все файлы, которые сотрудники приносят из дома на работу, следует рассматривать как потенциально опасные. В ответственных случаях такой обмен следует полностью запретить, либо сильно ограничить. Потенциально опасные «домашние» файлы необходимо проверять перед открытием антивирусными программами.

Установка персональных брандмауэров

Корпоративная сеть, подключенная к Интернету, должна быть защищена от атак хакеров при помощи брандмауэра. Однако помимо этого можно дополнительно защитить рабочие станции и серверы сети, установив на них персональные брандмауэры, такие как AtGuard (рис. 5).

Рис. 5. Настройка персонального брандмауэра AtGuard

Помимо фильтрации нежелательного трафика, некоторые персональные брандмауэры способны защитить компьютер от троянских аплетов Java и элементов управления ActiveX. Такие компоненты могут быть встроены в почтовые сообщения формата HTML и в страницы троянских Web-сайтов.

Персональные брандмауэры, находящиеся в так называемом режиме обучения, могут оказать помощь в обнаружении трафика от троянских программ, логических бомб и других нежелательных вредоносных компонентов. Когда такой компонент попытается установить связь с компьютером хакера, брандмауэр отобразит на экране предупреждающее сообщение.

Следует заметить, что в настройках браузера Вы также можете отключить возможность использования активных компонентов, таких как аплеты Java и элементов управления ActiveX. Однако персональные брандмауэры более универсальны, и позволяют блокировать использование таких компонентов любыми программами, например, почтовыми клиентами