АНТИВИРУСНАЯ ЗАЩИТА В КОРПОРАТИВНОЙ СРЕДЕ

Комплексная антивирусная защита компьютерных сетей в настоящее время является самой актуальной задачей для большинства небольших компаний. Именно в них, чаще всего, наблюдается отсутствие четких требований со стороны системных администраторов к построению стабильной IT-инфраструктуры. Пользователи имеют большие полномочия на выполнение широкого спектра недокументированных действий. Эти действия, часто не связанные с работой,  являются  потенциально опасными для операционных систем. В последний раз, в результате таких действий, была заражена сеть из 23 рабочих станций на Microsoft Windows XP  очень неприятным червяком, распространяющимся через сетевые диски, usb носители и пр. Виновник всего этого - здоровенный детина с именем Гена – глуповато улыбнулся и объяснил, что ему нужен был граббер Audio CD в MP3. Сотрудники компании вынуждены были приостановить свою деятельность на весь рабочий день, пока системный администратор чистил сеть. Вопрос о том, зачем Гене на работе понадобился граббер, лежит вне компетенции системного администратора.  Можно ли избежать повторения такой ситуации?

Могу констатировать, что существуют два основных метода построения IT-инфраструктуры с учетом комплексной антивирусной защиты сети.

• Первый метод (кошмарный). Это - избыточные права пользователей вместе с привнесенными идеями, в стиле “хочу вот эту программку”. Такое чаще всего это бывает в маленьких компаниях, где руководитель идет на поводу у желаний сотрудников, и IT-инфраструктура строится на основании требований (чаще всего гипертрофированных) сотрудников.
• Второй метод. Этот метод, в противоположности, к первому – построен на основании требований системного администратора, а не пользователей. Конечно, это нередко создает спартанские условия для пользователей, но и создает нормальные условия для бесперебойной работы техники, значит и возможности заработка денег. Не скрою, что этот метод мне по душе. Я, как системный администратор, считаю, что лучше предотвратить проблемы, нежели бороться с их последствиями.

Расскажу, как бороться с вирусами в небольшой компании.

Я сразу же поставлю под сомнение расхожее мнение о том, что для защиты рабочих станций достаточно антивирусного монитора. Уверен, что Вы регулярно сталкиваетесь с бесконечными дискуссиями о том, какой антивирус для Microsoft Windows лучше. В большинстве случаев, выбор того или иного производителя антивирусной программы – вопрос второстепенный, особенно если идет речь о борьбе с вирусами, троянскими программами и сетевыми червями в корпоративной среде.

Для начала, я предлагаю провести границу между локальной сетью компании и внешним миром, являющимся потенциальным источником различной заразы.

Доступ в сеть Интернет я рекомендую осуществлять через шлюзовой сервер, построенный на базе операционной системы FreeBSD. Что это дает?

Шаги антивирусной защиты сети.

• Хорошо настроенный шлюзовой сервер FreeBSD позволит провести четкую линию между сетевыми червями, ищущими уязвимости в Windows машинах и  локальной сетью. Это избавит от проблем с защитой файрволом шлюзового сервера на платформе Windows, как делают некоторые мои коллеги.
• Доступ к ресурсам сети Интернет, я рекомендую делать через прокси-сервер Squid. Для большинства пользователей запретить доступ к целому ряду потенциальных носителей компьютерных вирусов – файлов с расширениями exe, com, pif  и пр. Невероятное количество вредоносного кода, который незнающие пользователи пытаются получить с сомнительных сайтов, будет остановлена. Отдельные программы (те, что не умеют работать через squid) выпускаются во внешний мир через NAT.
• В какой-то момент времени, этих мер безопасности мне показалось недостаточно. Я на шлюзовой сервер установил антивирус ClamAV, который работает совместно с прокси-сервером Squid. Он проверяет контент, поступающий из Интернет на наличие вредоносного кода. ClamAV – бесплатный антивирус (open source), но Вы вправе выбрать себе аналогичные коммерческие антивирусные продукты для прокси-серверов. Подобные антивирусы производятся такими гигантами антивирусной индустрии, как DR. Web, Avast, Kaspersky и пр.
• ClamAV, как и его коммерческие аналоги, имеет возможность интеграции с почтовыми серверами. Электронная почта – второй, с моей точки зрения источник вредоносного кода. Вместе с элементами защиты от спама и фильтрацией почтовых сообщений с опасными сложениями (exe, com, pif  и пр.), антивирусная проверка входящей почты уменьшит вероятность заражения компьютеров через электронную почту практически до нуля.
• Нет, наверно, человека, который бы не знал, как успешно на flash накопителях переносятся вирусы. Так же успешно они переносятся и через сетевые папки. Слабо себе представляю компанию без обмена файлами между сотрудниками. Как минимизировать вероятность передачи вредоносного кода в пределах компании?
  • Во-первых, следует запретить пользователям самостоятельно разрешать доступ к каталогам своих компьютеров. Необходимо создать выделенный файловый сервер с разграничением доступа к каталогам.
  • Во-вторых, антивирусная защита на файловом сервере может быть решена двумя методами:
• Регулярная (скажем, раз в сутки - ночью) проверка файлов антивирусным сканером, либо антивирус должен работать, как монитор. Как Вы понимаете, каждый механизм имеет свои сильные и свои слабые стороны. Какой из них предпочесть? Обычно мне подсказывает практика обслуживания конкретного сервера.

Вот уже прорисовывается набросок небольшого корпоративного FreeBSD сервера.

Отдельно остановимся на антивирусах рабочих станций. Для начала я бы хотел указал на необходимость ограничения прав пользователя на рабочих станциях. Это – самая эффективная мера для сдерживания любых вредоносных программ в комплексе с установкой антивирусного монитора.