Устанавливаем Symantec Antivirus 9.0 в корпоративной сети

Роман Марков

Устанавливаем Symantec Antivirus 9.0 в корпоративной сети

Symantec Antivirus CE 9.0 – продукт корпоративного уровня, который позволяет развернуть и сконфигурировать весь комплекс удаленно и автоматически в Windows-сетях любого масштаба. Его несомненными преимуществами являются полная автоматизация процесса установки и настройки, возможность мгновенного отражения изменений конфигурации на всех необходимых клиентах, а также грамотная защита от несанкционированного вмешательства в работу антивирусного монитора.

Если вы используете в сети компьютеры с NT-системами, то для установки и конфигурирования антивирусной защиты на всех компьютерах вам не придется отходить от своего компьютера – гибкие возможности удаленной установки и настройки помогают сделать это быстро и непринужденно. При корректном выполнении всех инструкций процесс займет не более часа, даже если количество компьютеров измеряется сотнями. Среди возможностей клиентской части имеются стандартные для антивирусов функции сканера, мониторинга в режиме реального времени, а также дополнительные возможности: онлайн-сканирование POP3/IMAP/SMTP трафика, работа с Exchange- и Lotus Domino-клиентами. Консоль администрирования выполнена в виде стандартной mmc. Недостатком продукта является отсутствие механизмов защиты от Ad-software, проявляющего в последнее время все большую активность. Продукт обладает множеством настроек, а его установка и первоначальное конфигурирование не совсем тривиальный процесс, поэтому читателю будет полезно ознакомиться с подробным описанием процесса настройки.

Установка

Сначала устанавливаем сервер антивируса (их может быть несколько – для получения отказоустойчивости). Далее описывается установка с фирменного дистрибутивного диска, включающего помощник установки компонентов. Если не сработал автозапуск, открываем файл Setup.exe, находящийся в корне дистрибутивного диска. В открывшемся меню выбираем «Install Symantec Antivirus -> Deploy Antivirus Server». Указываем вариант установки – новая или обновление предыдущей версии, а также устанавливаемые компоненты:

• Server Program;
• Alert Management System.

Разумеется, что Server Program выбираем при первоначальной установке в любом случае, а вот Alert Management Console – только по желанию. Данный компонент позволяет рассылать уведомления об обнаружении вируса – по почте, в виде PopUp-сообщений и пр. При установке компоненты «Alert Management Console» в меню пуск появится одноименный ярлык. Настройка рассылки таких оповещений интуитивно понятна и не нуждается в дополнительном описании. Общее количество случаев нейтрализации опасных и подозрительных файлов даже в средних сетях очень велико, так как очень многие веб-ресурсы содержат такие объекты. Поэтому я удалил функцию Pop-Up оповещения уже через неделю после начала использования продукта. Мое сугубо субъективное мнение – данный компонент абсолютно не нужен.

В следующем окне выбираем, на какой компьютер в сети необходимо установить сервер антивируса. Если вы обладаете правами администратора на требуемый компьютер, то установку можно произвести по сети. То есть необязательно осуществлять локальный вход на целевой компьютер – установку можно произвести удаленно с любой NT-системы (используется RPC). Нажимаем «Next», при необходимости меняем путь установки (по умолчанию – Program Files\SAV).

Задаем имя группы антивируса. Если в сети используется несколько разных серверов SAV, с различными настройками, то имена их групп также должны отличаться. Если несколько серверов антивируса используется для получения отказоустойчивости, то имя их группы должно быть одним и тем же. При обнаружении в сети уже существующих серверов SAV, имена их групп появятся в списке, и для присоединения нового сервера к ним достаточно кликнуть по имени группы. При запросе пароля придумываем новый пароль администратора группы серверов антивируса, либо вводим пароль существующей группы, если мы присоединяем дополнительный сервер к уже существующей группе.

Далее выбираем тип запуска. Лучше, конечно, установить «Automatic Startup». Пропускаем информационные сообщения в следующих окнах и начинаем установку. В процессе инсталляции будут выведены сообщения об ошибках (если они будут), и при нормальном завершении статус изменится на Finished, а в поле «Action» появится сообщение о необходимости перезагрузить целевой компьютер. Как правило, на корректно настроенной системе ошибок не бывает (во всяком случае, я ни разу не сталкивался с этим). Если же ошибка все-таки появилась, то ее подробное описание можно найти здесь же, в дополнительном окне описания ошибки.

После перезагрузки устанавливаем консоль администрирования (Symantec System Center – далее SSC). Ее также можно инсталлировать на любой компьютер сети. Исключение составляют сервера в режиме сервера приложений (терминалов) – на них установить консоль администрирования не удастся – сначала необходимо удалить службу сервера терминалов, затем добавить консоль, и только после этого восстановить службы терминалов. На сайте технической поддержки Symantec данная несовместимость объясняется (по мнению специалистов компании) тем, что установка консоли администрирования на сервер приложений представляет потенциальную опасность из-за возможности получения удаленным пользователем контроля над приложением. Помимо этого возможны конфликты и отсутствие полноценного управления даже администратором системы из-за ограниченности работы в режиме удаленного рабочего стола с ID0. Я не могу претендовать на получение статуса эксперта в области взаимодействия SSC и ОС, поэтому позволю себе воздержаться от комментариев. Проще всего добавить консоль администрирования на компьютер администратора, так как это всего лишь средство для конфигурирования удаленного сервера. Для установки заново запускаем Setup.exe в корне дистрибутивного диска, выбираем «Install Administrator Tools -> Install Symantec System Center» (для работы SSC требуется Internet Explorer 5.5 и выше). Отмечаем необходимые компоненты. Если на предыдущем шаге мы отказались от Alert Management System, то и Alert Management System Console устанавливать не нужно. Оставляем все остальные компоненты – их назначение опишем позже. После завершения инсталляции необходимо снова перезагрузить компьютер.

На этом установка сервера завершена. Приступаем к конфигурированию сервера и созданию конфигурационных шаблонов для клиентов.

Настраиваем сервер

Запускаем SSC. Раскрываем в левой части консоли «Symantec System Center -> System Hierarchy». Должны появиться имена обнаруженных групп. Если их несколько – то в консоли отобразятся все найденные. Иначе кликаем правой клавишей мыши по значку «System Hierarchy», из контекстного меню выбираем «New -> Server Group» и вводим имя созданной нами группы, а также ее пароль.

Будьте внимательны при конфигурировании целевой группы. Кликаем по требуемой группе правой клавишей и выбираем «Unlock Server Group». Потребуется ввести пароль. Если не хочется вводить его в будущем – установите флажок «Save this Password». В открывшемся иерархическом списке прежде всего кликаем по значку нашего сервера и в появившемся контекстном меню выбираем «Make Server a Primary Server» и подтверждаем смену роли. Если серверов антивируса несколько, то один из них будет Primary, а остальные – резервными для отказоустойчивости.

Изменения конфигурации как самого сервера, так и клиентов производятся путем вызова соответствующих консолей настройки. Все они сгруппированы в контекстное меню, вызываемое правой клавишей мыши – «All Tasks». В дальнейшем описании словосочетание «кликните правой клавишей по объекту и выберите «All Tasks -> Symantec Antivirus» по умолчанию опускается – будут указываться только пункты в этом меню. Все настройки в открываемых консолях относятся к тому объекту, по которому вы кликнули при выборе требуемой опции, поэтому клик правой клавишей мыши для вызова меню необходимо производить именно на указанном объекте.

Настраиваем наш основной сервер антивируса.

Управляем обновлениями: Virus Definition Manager

Настраиваем порядок и расписание получения обновлений нашим сервером. Выбираем «Update the Primary Server of this Server Group only» и нажимаем «Configure». При такой настройке только Primary Server будет получать обновления из Интернета, а все остальные сервера получат их от него. Таким образом мы экономим внешний трафик. Для получения обновлений сервер антивируса должен иметь доступ к веб-ресурсам Symantec Corporation по портам HTTP (80) и FTP (20,21), либо необходимо настроить подключение через прокси-сервер, нажав кнопку «Source». Для автоматического обновления устанавливаем флажок «Schedule for automatic updates» и, нажав справа кнопку «Schedule», задаем расписание проверки обновлений. Устанавливаем «Daily -> At <требуемое время>» и в «Advanced» указываем время, через которое необходимо повторять неудачные попытки обновления (Handle missed events within), а также период случайного смещения расписания обновления («Randomization Options -> Perform Update within plus or minus»). Выходим в меню «Virus Definition Manager».

Задаем способ получения обновлений клиентами. Выбираем «Update virus definitions from parent server» и, нажав «Settings», задаем период проверки клиентами обновлений на сервере. Значение 60 минут является гарантией того, что клиенты будут проверять наличие обновлений ежечасно. Поскольку при такой настройке клиенты проверяют обновления только на указанном внутреннем сервере, никакого трафика на внешнем канале они не создадут. Если в сети все компьютеры локальные, то устанавливаем флажок «Do not allow client to manually launch LiveUpdate», чтобы принудительно запретить клиентам запускать проверку обновлений через Интернет.

После того, как порядок обновлений сервера и клиентов настроен, подтверждаем изменения. Однако если имеются пользователи с мобильными компьютерами, то лучше выделить их в отдельную группу и создать персональные настройки для этой группы (в частности, разрешающие ручное обновление, чтобы сотрудник, уехавший в командировку смог при необходимости вручную обновить свой антивирус). Даже если вы запретили клиенту запуск обновления через LiveUpdate, все равно имеется возможность добавить новые сигнатуры. Для этого необходимо скачать с сайта производителя универсальное обновление «Intelligent Updater» в виде exe-файла. После запуска программа сама найдет установленные компоненты и обновит их.

Обновим антивирусные базы прямо сейчас: Update Virus Defs now

Выбираем данный пункт для немедленной проверки и закачки главным сервером обновлений антивирусных баз через Интернет. Будет выведен запрос подтверждения, и после этого базы начнут обновляться. Это может занять некоторое время в зависимости от скорости вашего канала. Выделив нужный сервер, через некоторое время (первоначальное обновление имеет размер от 5 до 8 Мб) нажмите <F5>. Статус должен смениться на нормальный (синяя галочка). Если этого не произошло – проверьте в чем дело – вызовите свойства сервера и в закладке Symantec Antivirus проверьте дату обновления. Она должна быть близка к текущей дате (разница в несколько дней допускается, так как SAV указывает только дату глобального обновления, не принимая в расчет добавления одиночных записей). Если обновление очень уж старое (больше 10 дней) – значит ваш сервер по каким-либо причинам не смог обновить базы. Проверьте настройки доступа вашего сервера в Интернете, а также логи шлюза – была ли предпринята сервером попытка обновить базы. Для более подробного анализа можно просмотреть даты изменения файлов с базой вирусов – она должна показывать время последнего изменения, что позволит точнее проверить, когда произошло обновление.

Настраиваем параметры антивирусного монитора сервера: Server Auto-Protect options

Настроим работу сервера антивируса в режиме online-мониторинга. Устанавливаем флаг «Enable Auto-Protect», выбираем типы файлов. Если выбрать «All types», то снижается быстродействие, но повышается защищенность. Чтобы увеличить быстродействие, опытные администраторы, способные совершенно точно предсказать, в каких файлах могут содержаться вирусы, могут установить флаг «Selected» и, нажав кнопку «Extensions», добавить необходимые типы файлов.

Мастер позволяет автоматически добавить известные SAV типы «Programs» и «Documents», однако этого не всегда оказывается достаточно. Например, рекомендуется добавить вручную к приведенному списку файлы с расширением TMP, так как многие программы перед тем, как создать окончательный файл или добавить в базу информацию, сначала создают временный файл. Таким образом, имеется возможность сразу отловить вирусный файл. Очень полезна данная опция, например, для почтового клиента The Bat!, который при получении письма сначала помещает его содержимое во временный файл. Если антивирус почтового сервера не смог обезвредить вирус (например, его описание еще не появилось в сигнатурах), то локальный монитор сможет предотвратить заражение – такое письмо просто не будет получено с POP3-сервера. Имеется в виду, что на почтовом сервере и на локальных компьютерах установлены антивирусы разных производителей – и если описание вируса не успело появиться в сигнатурах на почтовом сервере, то есть надежда, что на локальных компьютерах оно уже есть.

Правее настраиваются действия, которые необходимо производить при обнаружении зараженного файла. Как правило, оптимальным является попытка вылечить объект, а если это не удалось – просто удалить файл. Если у вас большая сеть, то помещать в карантин тысячи, скорее всего, бесполезных файлов как минимум нерационально.

В меню «Advanced» задаются дополнительные параметры сервера. «StartUp options» устанавливает порядок запуска (мы выбрали «System Start», однако при необходимости можно изменить этот параметр). «Changes requiring Auto-Protect reload» – действие, которое необходимо совершать при изменении параметров, требующих перезагрузки сервера антивируса. Можно выбрать «Wait until system restart», однако лучше применять изменения сразу: «Stop and reload Auto-Protect», так как сервера могут не перезагружаться годами. В поле «Scan files when» указывается, когда именно необходимо сканировать требуемые файлы. Вариант «Accessed or modified» является наиболее оптимальным, так как подразумевает максимальную защиту – проверка будет осуществляться при любом обращении к файлу, а значит ни скопировать, ни запустить зараженный файл будет невозможно (при соответствующих настройках действий с зараженными объектами – см.выше).

В секции «Automatic enabler» задается время, через которое мониторинг будет автоматически включен, даже если его принудительно отключил администратор. Секция «Threat tracer» позволяет настраивать поиск и блокирование сетевой активности вирусов в случае обнаружения таковой (используется встроенный Client-Firewall). В секции «Additional advanced options» задается уровень эвристики (средний – оптимален), а также контроль за флоппи-дисководами. Так, при попытке завершения работы антивирусный монитор проверяет наличие дискеты в дисководе, и если она там есть – выдает соответствующее предупреждение, которое очень часто вводит в ступор пользователей (особенно бухгалтеров, которые часто оставляют ключевые дискеты клиент-банка). Эту проверку можно отключить, установив флаг «Do not check floppies upon system shutdown» под кнопкой «Floppies».

Вернемся в основное окно «Server Auto-Protect options». В секции «Options» можно разрешить или запретить выдачу сообщения при обнаружении вируса, а также отредактировать текст этого сообщения. Как правило, в больших сетях проще это сообщение вообще отключить, иначе очень быстро надоест отвечать на тревожные звонки пользователей, которые будут со страхом сообщать, что у них «обнаружен вирус!». Здесь же задаются типы и расположение файлов, которые проверять не нужно. При возможном сильном торможении исключите из проверки файлы, которые скорее всего не будут содержать вирусов, но постоянно используются. Например, файлы БД. В противном случае вы получите резкое замедление работы в этих базах. Поэтому например при использовании систем «1С:Предприятие» файловых версий не забудьте исключить из проверки файлы следующих типов: dbf, cdx, md, dd, ert, log, mlg. То же касается работы дизайнеров (файлы tiff, cdr, psd и другие), архитекторов, инженеров видеомонтажа и пр. В противном случае вам гарантированы жалобы на «торможение системы», так как постоянный мониторинг, например, нескольких гигабайтных AVI-файлов почти завесит систему.

Однако в последнее время обнаруживаются совершенно непредсказуемые уязвимости при обработке вроде бы «безвредных» файлов (например последние уязвимости, связанные с переполнением буфера в GDI с помощью безобидного JPG-файла). Поэтому говорить о том, что в каком-то конкретном формате файла вирусы жить не могут, мы не имеем права. Можно лишь надеяться, что не будет найдено новых ошибок в обработке этих «безопасных» форматов. Здесь необходимо руководствоваться отношением показателя надежности к получаемому быстродействию.

В опции «Drive types» снимите все галки, так как ни проверка сетевых дисков, ни сканирование CD не даст вам ничего, кроме значительного замедления работы системы. Акцентирую внимание, что отключение такой проверки абсолютно безопасно, если вы проверяете файлы при любом обращении к ним – при попытке скопировать или запустить такой файл он будет заблокирован. Таким образом оптимальное быстродействие достигается за счет фоновой проверки только тех файлов, к которым осуществляется обращение.

На этом конфигурирование антивирусного монитора сервера завершено и можно переходить к настройке клиентов. Конфигурация защиты клиентов аналогична серверной, за некоторыми исключениями и дополнительными возможностями, о которых будет особо сказано далее.

Настраиваем параметры антивирусного монитора клиентов: Client Auto-Protect Options

В этом окне настраивается антивирусный online-мониторинг на клиентах. Суть настроек аналогична вышеописанным для сервера, однако присутствуют и новые опции (см. рис. 1).

Рисунок 1. Параметры online-мониторинга клиентов

Например, для клиентов помимо стандартной можно настраивать различные виды защиты для систем документооборота и почты: Internet E-mail (перехват и сканирование трафика POP3/SMTP), Lotus Notes и Microsoft Exchange. При перехвате POP3-сессии клиент просто не получит письмо с зараженным файлом. Насколько это будет незаметно для пользователя – решать вам, включая или отключая оповещение о вирусе, удаляя письмо вообще или вырезая из него только инфицированные вложения.

Практически у каждой опции присутствует пиктограмма «замочка», который имеет два положения – «открыто» и «закрыто». Закрывая замочек около конкретной настройки, вы тем самым запрещаете пользователям изменять их. По умолчанию все замочки открыты, однако рекомендуется закрыть хотя бы критически важные – отключение защиты, изменение типов файлов, действие, производимое над обнаруженными вирусами и пр.

В идеале лучше всего запретить пользователю любые изменения. Таким образом управлять настройками будет только Администратор, что является обязательным для корпоративной системы защиты.

Итак, настраиваем защиту файловой системы аналогично серверной, запрещаем изменения настроек, при желании отключаем оповещение пользователя о найденном вирусе и переходим на следующую закладку – Internet E-mail. Разрешаем защиту и в отличие от файловой системы выбираем файлы всех типов – мало ли что пользователю пришлют по почте. Добавляем действия, производимые при обнаружении файла (лучше удалять), а также настраиваем оповещение пользователя об обнаруженном вирусе (здесь его можно и включить, чтобы не было вопросов в стиле «Где мой файл?»). Также имеется возможность изменять тему сообщения, в котором был обнаружен запрещенный объект, вставлять в текст письма предупреждение, отправлять предупредительные письма отправителю и получателю. Помните, что посылать предупреждение отправителю не приветствуется, так как очень часто при рассылке вирусов используется подстановка чужих адресов.

Помимо этого, нажав на кнопку «Advanced», настраиваем дополнительные параметры (см. рис. 2).

• «Scan files inside compressed files» – проверять файлы внутри архивов, а также архивы внутри на указанную глубину (по умолчанию – 3) . К сожалению, о том, какие типы архивов поддерживаются, ни в документации, ни на сайте производителя ничего не сказано.
• «Server port numbers» – порты, по которым происходит обмен почтой. Обычно они стандартны – 25 и 110, но при необходимости можно изменить.
• «Heuristic Detection» – включает эвристический анализатор активности вирусов типа «червь». Отслеживает слишком большую активность и самостоятельные действия приложений.
• «Progress notifications» – в процессе обмена почтой SAV перехватывает трафик по указанным портам и выступает посредником между почтовым сервером и клиентской почтовой программой. Флажки в этой области включают или выключают значок SAV-E-mail в трее, а также индикатор выполнения проверки при отправке писем. Если не хочется показывать пользователям лишнюю информацию о сканировании почты – отключите эти флажки.

Аналогично настраивается мониторинг клиентов Lotus Notes и Microsoft Exchange.

Рисунок 2. Параметры сканирования почтового трафика

На этом настройка защиты клиентов закончена. Не забывайте после каждого этапа переконфигурирования параметров защиты в окне «Client Auto-Protect Options» нажимать кнопку «Reset All…» – она принудительно применяет настройки для подключенных клиентов. Несмотря на то, что дословный перевод «Reset…» – сброс, нажатие данной клавиши инициирует именно принудительное применение настроек. То есть сброс в текущее состояние.

Устанавливаем защиту от несанкционированного изменения настроек клиентской части: Client Administrator only options

В данном окне настраиваются параметры отображения значка SAV в системном трее клиентских компьютеров, а также административный запрет на деинсталляцию антивируса. Таким образом при грамотной настройке даже локальный администратор рабочей станции не сможет ни остановить службу защиты, ни удалить продукт.

В закладке «General» также можно указать срок устаревания антивирусных сигнатур, по истечении которого будет выдаваться сообщение об их устаревании (полезно установить срок в 10 дней для того, чтобы контролировать постоянное обновление баз данных и в случае сбоя получить предупреждение). Можно также просмотреть статус клиентов в SSC – они отображаются в правой части консоли. В поле Status отображается текущее состояние клиента. При неудачном обновлении, обнаружении вирусов и пр. статус изменится. Именно поэтому служба AMS не является необходимой – все события можно просмотреть, используя SSC и контекстное меню, вызываемое кликом на интересующем клиенте. На закладке Security реализуется упомянутая возможность запрета пользователям остановки службы и деинсталляции продукта. При попытке удалить программу она запросит пароль. Пароль по умолчанию, устанавливаемый производителем – «symantec». Рекомендую сразу его сменить.

Переходим к установке клиентской части на компьютеры сети. На клиенты с NT-системами ее можно произвести при помощи встроенной функции удаленного развертывания (используется RPC). В случае невозможности удаленной инсталляции (например, на клиентах Windows 9X/ME) придется произвести ее дистрибутива, который помещается в сетевую папку VPHome (она автоматически становится доступна на сервере антивируса по сети). Путь к файлу установки в этом случае: \VPHOME\CLT-INST\WIN32\setup.exe.

Для удаленного развертывания в SSC заходим в меню Tools и выбираем NT Client install. Запустится мастер. Выбираем «Default location», в случае, если производим стандартную инсталляцию из серверного дистрибутива. В правой части окна Select Computers выделяем целевой сервер, которому будет принадлежать этот клиент. В левой части выбираем необходимые компьютеры, выделяя их и нажимая «Add>» (хоть все сразу). После нажатия кнопки «Finish» запустится процесс подготовки необходимых файлов. Акцентируем внимание на том, что показываемая вам полоска выполнения означает только копирование файлов на исходный компьютер. Процесс установки может занять еще несколько минут. После этого рекомендуется перезагрузить все клиентские компьютеры.

Если где-то не применились настройки, необходимо снова открыть в SSC «Client Auto-Protect Options» и нажать «Reset All…»

Мы рассмотрели простейшую инфраструктуру, в которой все компьютеры принадлежат одной группе – главному серверу антивируса. В SAV CE 9.0 имеется возможность создавать различные настройки для разных групп компьютеров. Для этого в папке Groups создаются различные подпапки, в которые перемещаются требуемые клиенты. После этого можно производить описанные настройки независимо над участниками каждой группы. Они применятся на всех ее участников.

Подводя итоги

Symantec Antivirus 9.0 Corporate Edition – один из самых популярных на сегодняшний день антивирусных продуктов корпоративного уровня. Несмотря на упомянутый в начале статьи недостаток, связанный с не самым лучшим уровнем обнаружения и удаления Ad-software, остальные его преимущества делают SAV 9.0 CE наиболее конкурентоспособным решением для централизованной защиты рабочих станций и серверов.

Комментарии могут оставлять только зарегистрированные пользователи