Корпоративный антивирус. Как его выбрать?

 ОЛЕГ ЗАЙЦЕВ, главный технологический эксперт группы анализа сложных угроз «Лаборатории Касперского»

Корпоративный антивирус
Как его выбрать?

Выбор корпоративного антивируса является достаточно сложной задачей для ИТ-специалистов, так как необходимо оценить трудозатраты на его установку, а также на его последующее сопровождение и поддержание в работоспособном состоянии

Другая характерная проблема, связанная с выбором, – это оценка масштабируемости решения и его ресурсных требований для того, чтобы впоследствии не столкнуться с проблемами. В  статье мы рассмотрим характерные моменты, связанные с развертыванием и конфигурированием корпоративного антивируса на примере обновленной линейки Kaspersky Open Space Security.

Проектирование архитектуры системы

Данный шаг может быть актуален даже для небольших сетей, и перед разработкой архитектуры необходимо как минимум знать ответы на следующие вопросы.

• Имеются ли в сети предприятия удаленные филиалы со своими собственными сегментами сети, связанными с основной сетью через каналы с невысокой пропускной способностью (например, через VPN или выделенные каналы)? Если таковые имеются, следует продумать возможность размещения в каждой из таких подсетей собственного сервера управления  (Kaspersky Administration Kit 8.0 позволяет реализовать централизованное управление с единого сервера или использовать несколько серверов, объединенных в древовидную структуру). Если нельзя использовать несколько серверов, то можно назначить выбранные администратором ПК в качестве агентов обновлений.
• Какие операционные системы используются на рабочих станциях? Это очень важный вопрос, так как антивирусное решение для защиты рабочих станций должно поддерживать используемые операционные системы – в частности, именно поэтому в линейке продуктов «Лаборатории Касперского» имеются решения для защиты Windows, Linux и Mac.
• Как организованы выход в Интернет и электронная почта, имеется ли возможность установить антивирусную защиту на почтовом сервере и интернет-шлюзе? Если да, то тогда сеть получает дополнительный уровень защиты, но понадобится приобретение соответствующих компонентов.
• Применяются ли пользователями сети мобильные ПК (ноутбуки, нетбуки)? В большинстве современных сетей они являются неотъемлемой частью, и, как следствие, такой ПК может использоваться за пределами защищенной корпоративной вычислительной сети предприятия, а значит, для его защиты необходимы специальные политики и настройки.
• Нужна ли защита смартфонов? Этот вопрос является отдельной задачей, требующей использования специального продукта.
• Какие типы сервер-приложений применяются в компании, необходима ли их антивирусная защита? В идеале да, но ответ не всегда однозначный – например, антивирусная защита сервера может быть не столь актуальна, если файл-сервер доступен пользователям только на чтение или, например, используется только в качестве хранилища каких-то баз данных.
• Имеется ли надежная связь (со скоростью более 2-3 Мбит или меньше) со всеми узлами сети? Если такой нет, то следует продумать, каким образом решить проблему обновления баз и удаленной установки программного обеспечения.

Ответы на данные вопросы позволят определиться с тем, какой конкретно продукт и какие из его компонентов понадобится приобрести (список компонентов, включая обновленные приложения Kaspersky Security 8.0 для Microsoft Exchange Servers, Kaspersky Endpoint Security 8.0 для Mac, Антивирус Касперского 8.0 для Microsoft ISA Server и Forefront TMG Standard Edition, – можно найти на сайте «Лаборатории Касперского»), а также сколько потребуется серверов администрирования и какова их мощность. Для небольших компаний с сетями на 10-20 ПК можно обойтись без выделенного сервера администрирования, использовав в качестве него одну из рабочих станций сети (например, ПК администратора).

Кроме того, нередко требуется не приобретение, а обновление оборудования. В качестве интернет-шлюза нередко используется маломощный ПК (например, с установленными FreeBSD + Squid), производительности которого хватает для работы прокси-сервера, но не хватит для антивирусной проверки трафика «на лету».

Развертывание антивирусной защиты

Развертывание антивирусной защиты является разовой операцией, однако если в сети имеется достаточно большое количество ПК и (или) они территориально распределены, то необходима максимальная автоматизация процесса установки антивирусной защиты на ПК пользователей. В Kaspersky Administration Kit для упрощения развертывания предусмотрено так называемое хранилище инсталляционных пакетов. Это инструмент для хранения всех инсталляционных пакетов, снабженный функционалом для создания новых инсталляционных пакетов и конфигурирования существующих. Для каждого инсталляционного пакета предусмотрены следующие функции.

• Создание автономного инсталляционного пакета. В этом случае создается установочный пакет, который можно устанавливать вручную. Важно отметить, что при создании пакета администратор может задать ряд настроек (для антивируса – указать лицензионный ключ, для агента администрирования – задать параметры и т.п.), что избавляет от лишних действий в процессе установки. В ходе работы автономный пакет установки взаимодействует с пользователем, например, агент администрирования на завершающей стадии тестирует успешность связи с сервером управления.
• Для инсталляционных пакетов с антивирусом предусмотрена функция обновления баз в инсталляционном пакете. Это позволяет поддерживать базы в инсталляции в актуальном состоянии и минимизировать в итоге трафик и затраты времени на установку продукта. Другая полезная функция инсталляционного пакета с антивирусом состоит в поддержке автоматической деинсталляции несовместимых продуктов.
• Для каждого инсталляционного пакета предусмотрен ряд функций удаленной установки. Удаленная установка происходит скрытно и не мешает пользователю, за исключением выдаваемых в случае необходимости запросов на перезагрузку. Для удаленной установки имеются следующие возможности.
  • Установка на произвольный ПК, выполняемая при условии, что известны параметры учетной записи администратора (при создании задачи удаленной установки можно задать несколько учетных записей, из-под которых будет производиться попытка установки). Данная возможность полезна для небольших сетей без доменов.
  • Установка с помощью агента администрирования. В данном случае удаленный доступ с правами администратора не требуется, но требуется наличие установленного и настроенного агента.
  • Установка с помощью групповой политики Active Directory или сценария входа пользователя домена. Данный функционал удобен при развертывании защиты в рамках домена.

После выбора подходящих методик установки администратору остается только создать одну или несколько задач удаленной установки, запустить их и контролировать процесс.

Конфигурирование защиты

Cводится в Kaspersky Administration Kit к двум операциям – разработке политик и  созданию задач.

Разработка политики защиты сводится к двум моментам.

• Собственно разработка политики, т.е., по сути, создание профиля настроек антивируса и всех компонентов, применяемой далее к защищаемым ПК. Для удобства администрирования политики в Kaspersky Administration Kit можно создавать на уровне каждой группы. При этом происходит наследование политик от вышестоящих групп, что позволяет создать некие глобальные политики с основными настройками, которые, по мнению администратора, должны быть общими для всех, и затем производить тонкую настройку менее значительных параметров для каждой из групп.
• Определение того, допускается ли модификация той или иной настройки в политиках нижележащих групп или в GUI антивируса на ПК пользователя. Такая настройка доступна для всех параметров политики.

Важно отметить, что центр администрирования позволяет создать несколько политик одного уровня, при этом какая-то политика будет активной, остальные – неактивными, их активация будет производиться по условию (например, в случае обнаружения эпидемии) или вручную. Особо следует выделить так называемые мобильные политики. Это тип политики, которая автоматически активируется в случае, если компьютер находится за пределами КВС. Мобильная политика очень удобна для ноутбуков – пока он находится в рамках КВС, действует обычная политика, и, к примеру, в ней указано, что обновления должны идти с сервера администрирования, а некоторые компоненты типа почтового антивируса и веб-антивируса могут быть отключены ввиду ненадобности. Когда ноутбук используется за пределами КВС, то в действие вступает мобильная политика, предписывающая обновляться с серверов ЛК и активирующая защиту по максимуму.

Вторая составляющая, необходимая при конфигурировании защиты, – это разработка задач. С помощью задач выполняются все периодические операции – обновление баз, установка лицензионных ключей, антивирусная проверка и лечение дисков. Задачи могут запускаться вручную, по заданному расписанию или событию. Грамотная разработка системы задач является ложной операцией, так как требуется учесть множество фактором (например, сканирование дисков рабочих станций можно производить в обеденный перерыв или нерабочее время). Однако в случае ее выполнения сопровождение сервера администрирования практически не требуется – все задачи будут выполняться автоматически, что очень важно с точки зрения минимизации затрат на обслуживание сервера.

***

Мы кратко рассмотрели основные моменты, которые могут быть полезны администратору при выборе корпоративного антивируса. Стоит отметить, что при грамотной настройке можно автоматизировать все рутинные операции, связанные с антивирусной защитой КВС.

Комментарии могут оставлять только зарегистрированные пользователи