oldi

Старые песни о главном

Игорь Жеку, Николай Прокофьев, Павел Шумилин

Какие бывают вирусы

Вирусописатель — кто он?

Как бороться с вирусами

Антивирусная защита сети

Антивирусный комплекс от McAfee

Опыт внедрения

 

Популярные антивирусные программы

Какие бывают вирусы

За неполные четверть века существования компьютеров возникла многочисленная армия компьютерных вирусов. В антивирусной базе «Лаборатории Касперского» их уже насчитывается более 50 тыс., и количество их растет день ото дня. Но несмотря на такие внушительные цифры, принципиально новых вирусов немного — в основном это клоны. В этой статье мы попытаемся классифицировать основные типы вирусов и выяснить, какие они бывают.

По среде обитания вирусы делятся на файловые, загрузочные, макровирусы и сетевые:

  1. 1. Файловые вирусы — внедряют свой код в какой-либо исполняемый файл. При запуске такого файла активизируется находящийся в нем вирус, после чего управление передается зараженному файлу.
  2. 2. Загрузочные вирусы — записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий системный загрузчик винчестера. Вирусы активизируются и распространяются в момент загрузки операционной системы — еще до того, как пользователь успел запустить какую-либо антивирусную программу.
  3. 3. Макровирусы — используют возможности макроязыков, встроенных в различные системы обработки информации (в текстовые редакторы, электронные таблицы и т.п.). Особенно широко они распространены в таких приложениях, как Microsoft Word и Excel. Вирусы захватывают управление при открытии или закрытии зараженного файла, перехватывают некоторые файловые функции, а затем заражают файлы, к которым происходят последующие обращения. Такие вирусы не только способны функционировать на отдельных компьютерах, но и могут быстро распространяться по сети на все машины, где возможна работа соответствующих приложений.
  4. 4. Сетевые вирусы — используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Сейчас наиболее часто встречаются троянские кони (троянцы) и почтовые вирусы (черви), открывающие широкие возможности для хищения информации:
  • почтовые вирусы — могут относиться к любому типу и к тому же способны распространяться по электронной почте. Когда человек получает письмо с нейтральным текстом и приложением (например, предложение о сотрудничестве, мое резюме и др.), то при открытии приложения происходит внедрение вируса в систему и начинается рассылка по почте людям из адресной книги текущей почтовой программы от имени пользователя. Каждый раз при использовании почты вирус будет распространяться, следя за появлением новых адресатов;
  • троянцы — это наиболее опасный тип вирусов, так как основной его задачей является не порча информации, а скрытая ее пересылка автору вируса. Внедряясь в операционную систему (в основном контролируя сеть), троянцы внешне себя никак не проявляют, однако тайком от пользователя они отправляют по сети секретную информацию (номера счетов, пароли на доступ в Интернет и т.д.). Они могут годами «проживать» у беззаботного пользователя, перекачивая данные.
В начало В начало

Вирусописатель — кто он?

Довольно много известно о том, какие бывают вирусы и как с ними бороться, а вот о людях, их создающих, неизвестно почти ничего. С компьютерной техникой наш авторский коллектив работает достаточно давно, знаком со многими программистами, но, видимо, нам везло, поскольку среди них не было ни одного явного вирусописателя. Правда, последствия их деятельности нам наблюдать приходилось — от самых безобидных, вроде осыпания букв на экране монитора, до самых разрушительных, то есть потери информации и выхода из строя компьютеров.

Каковы мотивы, побуждающие кое-кого к деструктивным действиям? В этом необходимо разобраться. Вот какой любопытный документ попался автору этих строк на необъятных просторах Интернета — декларация одного из вирусописателей, скрывающего свое имя под псевдонимом «z0mbie». Приведем выдержки из него: «Несмотря на все заверения якобы “специалистов”, о том, что вирус — это вредная компьютерная программа, — не верьте им. Вирус — это механизм естественного отбора, реализованный в киберпространстве... Компьютерный вирус — это неизменный атрибут киберпространства. Так же как и болезни в реальном мире убивают слабейших, вирус помогает исчерпаться запасам внутренней энергии слабейших представителей киберпространства… Вирусописатели — это люди, попавшие в наиболее сильные потоки водоворота киберпространства, и лишь издали может показаться, что они сами пишут эти вирусы. Нет, в моменты написания вирусов ими руководит само киберпространство, в эти моменты они полностью ощущают себя его частью, получая взамен огромные запасы духовной энергии… Вирусы — это почти единственный тип программ, в которых реализуются ваши способности к аналитическому мышлению. Вирус — это истинно интеллектуальная задача для программиста, здесь нет кривых окошек и позорных кнопок типа cancel, здесь чистое системное программирование, которое по силам не каждому… Занявшись программированием, вы наилучшим образом узнаете, как устроено киберпространство. Программирование — единственный способ получить власть над компьютером, а значит — и над будущим».

Вот так. Теория эволюции плюс мания величия. Плюс бесспорное влияние сериала «Звездные войны»: так и хочется проверить свой компьютер на наличие Темных Джедаев. Но оставим психологию и дадим слово бойцам по другую сторону фронта. Вот мнение Евгения Касперского — одного из ведущих мировых специалистов в области защиты от вирусов. В интервью «Независимой газете» г-н Касперский кратко охарактеризовал создателей вирусов следующим образом: «90% вирусописателей — молодые люди. Их очень много. Они давят массой. Существует постоянный поток вирусов, в основном состоящий из ерунды, но иногда попадаются серьезные вещи. Ими движет обычное юношеское хулиганство, вызванное переходным возрастом (бывает, что он затягивается лет до тридцати). Часто они объединяются в некие организации, называют себя каким-нибудь громким именем и грозят подчинить себе весь мир. Проходит два-три года — они исчезают. Что случилось? Они повзрослели. Надо сказать, это наше счастье. Если бы профессионалы стали писать вирусы, проблем было бы гораздо больше».

А теперь обратимся к зарубежным авторитетам. Сара Гордон (Sarah Gordon) из Symantec специализируется на психологии создателей вирусов и вопросах кибертерроризма и считается одним из самых авторитетных специалистов в этой области. В интервью USA Today г-жа Гордон создала психологический портрет создателей вирусов и описала движущие ими мотивы. В общем виде портрет создателей вирусов выглядит так: это, как правило, представитель мужского пола в возрасте от 13 до 26 лет, достаточно умный, желающий самоутвердиться и стать членом какого-либо сообщества. Некоторыми движет месть, социально-политические мотивы, желание продемонстрировать слабость технологий либо просто провести эксперимент из чистого любопытства. Такие субъекты обычно создают вирусы для того, чтобы «находиться на передовых рубежах технологий», при этом не осознавая степени ущерба, который наносит их «творчество» другим людям, не понимая того, что стали источником многих проблем.

Сара Гордон не считает создателей вирусов хакерами, поскольку хакеры осознанно и целенаправленно стремятся захватить контроль над компьютерными системами, а создатели вирусов просто распространяют свои вредоносные программы, а то, что эти программы делают с компьютерами, происходит, по мнению г-жи Гордон, без непосредственного участия автора вируса. Создатели вирусов считают, что они делают нечто потрясающее и что это — «высший пилотаж» программирования, однако это не так. Вирусы — программы несложные, и для их написания не нужны глубокие знания. Годам к двадцати пяти большинство создателей вирусов начинают это понимать, охладевают к данному занятию и в конце концов бросают его.

Надо сказать, что теперь для создания вируса даже не обязательно знать азы программирования. Так, создатель вируса AnnaKournikova, голландский студент по прозвищу OnTheFly, испугавшись эффекта, произведенного его творением (почтовым червем — клон ILOVEYOU), пришел в полицию с повинной. Вот здесь-то и выяснилось, что тот не умел программировать даже на Бейсике, а пользовался специальной программой — генератором вирусов, который упрощает процесс изготовления вируса до предела. Вот так и рухнул миф о высоком профессионализме вирусописателей.

В начало В начало

Как бороться с вирусами

За недолгую историю существования вирусов антивирусная индустрия разработала целый ряд эффективных мер борьбы с «компьютерной заразой». Со временем некоторые из них устаревали и постепенно сходили со сцены, и на смену им приходили новые технологии, более современные и эффективные. Такая смена поколений характерна и для антивирусных программ. Постоянно происходит противостояние «вирус—антивирус». За появлением нового вируса, использующего новые механизмы распространения (слабости в защите ОС или какого-либо приложения), немедленно следуют адекватные действия — безопасность прежде всего. Наглядным примером может служить разработка технологии эвристического анализатора как механизма защиты от неизвестных вирусов. Сегодня можно выделить пять основных типов антивирусных программ: сканеры, мониторы, ревизоры изменений, иммунизаторы и поведенческие блокираторы.

  1. Сканеры — принцип их работы состоит в поиске в файлах, памяти, загрузочных секторах сигнатур вирусов, то есть уникального программного кода вируса. Описания известных вирусов содержатся в антивирусной базе данных, и если сканер встречает программный код, совпадающий с одним из этих описаний, то он выдает сообщение об обнаружении соответствующего вируса.
  2. Мониторы — эти резидентные программы являются разновидностью сканеров и осуществляют автоматическую проверку всех используемых файлов в реальном времени. Современные мониторы производят проверку в момент открытия и закрытия файла, исключая таким образом запуск ранее инфицированных файлов и заражение файла резидентным вирусом.
  3. Ревизоры изменений — принцип работы ревизоров основан на снятии оригинальных контрольных сумм с возможных объектов заражения (файлы, загрузочные секторы, системный реестр) и сохранении их в базе данных. Дело в том, что, несмотря на все способы маскировки, вирусы — обычные компьютерные программы. Они, конечно же, имеют возможность тайно создавать новые или внедряться в уже существующие объекты, но все равно оставляют следы своей деятельности в операционной системе. При следующем запуске ревизор сравнивает текущие контрольные суммы с контрольными суммами своей базы данных и сообщает пользователю об изменениях, выделяя вирусоподобные действия.
  4. Иммунизаторы — такие программы делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файла, и каждый раз при запуске файла производится проверка на его на изменение. Второй тип иммунизаторов защищает систему от поражения определенным вирусом. Файлы модифицируются таким образом, что вирус принимает их за уже зараженные. Сейчас этот тип антивирусных программ почти не используется из-за неспособности обнаружить заражение вирусами-невидимками.
  5. Поведенческие блокираторы — эти резидентные программы перехватывают различные события и в случае подозрительных действий (то есть действий, которые может производить вирус или другая вредоносная программа), запрещают это действие или запрашивают разрешение у пользователя. Блокираторы не совершают поиска уникального программного кода вируса (как это делают сканеры и мониторы) и не сравнивают файлы с их оригиналами (как ревизоры изменений), а отслеживают и нейтрализуют вредоносные программы по их характерным действиям. В перспективе именно такие программы имеют реальную возможность со 100-процентной гарантией противостоять атакам новых вирусов.

Естественно, полагаться только на какой-то один тип антивирусной программы не стоит. У каждого типа антивирусных программ есть как свои достоинства, так и свои недостатки и только комплексное использование нескольких типов антивирусных программ может привести к приемлемому результату.

В начало В начало

Антивирусная защита сети

Етой теме только за последний год в нашем журнале было посвящено около десятка статей. Хотя общие принципы организации защиты и основные рубежи ее развертывания остались без изменений, тем не менее предлагаем вам освежить свои знания.

Итак, основными бастионами построения антивирусной защиты являются:

  • корпоративные серверы электронной почты (как минимум, серверы входящей почты);
  • корпоративные proxy- и firewall-серверы;
  • файловые серверы сети;
  • рабочие станции пользователей.

При этом верным является утверждение о том, что необходимо применять антивирусные средства в комплексе, что, однако, практически невозможно реализовать в рамках одного физического сервера и рабочей станции. Причина этого ясна: резидентные части каждого из используемых программных пакетов склонны считать аналогичную составляющую конкурирующего продукта не чем иным, как вирусом, и будут вести борьбу на взаимоуничтожение. Поэтому в сетях принята схема организации антивирусного ПО под названием «бутерброд». Суть ее проста: любая информация, поступающая в сеть, должна проверяться минимум двумя обновленными антивирусными продуктами. Для этого на каждом узле сети ставится только один антивирусный пакет, причем их выбор определяется схемой документооборота в компании. Например, для того чтобы вся входящая почта проверялась двумя антивирусами, достаточно поставить программный пакет производителя А непосредственно на почтовый сервер, а рабочие станции защитить антивирусным комплексом от производителя Б. Естественно, что в этом случае и файловые серверы необходимо защитить также антивирусом А.

Вот вкратце общая стратегия. А как насчет тактики? Нужно сказать, что тактическая часть реализации антивирусной защиты до недавнего времени не радовала нас обилием доступных решений. Так уж сложилось, что большую часть российского рынка корпоративных антивирусных комплексов делят компании Symantec и «Лаборатория Касперского». О сильных и слабых сторонах продуктов этих производителей мы говорили на страницах журнала уже неоднократно, и повторяться не хотелось бы.

В начало В начало

Антивирусный комплекс от McAfee

Антивирусное ПО фирмы Network Associates (NAI) известно в России меньше, чем аналогичная продукция таких фирм, как Symantec, «Лаборатория Касперского» и «ДиалогНаука», хотя, по данным компании IDC (см. диаграмму), оно занимает ведущее место на мировом рынке антивирусного ПО. Возможно, одной из причин этого является недостаток информации о возможностях и достоинствах этого ПО. Надеемся, что рассказ одного из авторов этой статьи Игоря Жеку (компания «Обинко Технологии»), недавно развернувшего в сети своей компании антивирусный комплекс от компании McAfee, в некоторой степени восполнит существующий пробел.

ePolicy Orchestrator (ePO) — это программа управления антивирусным ПО фирмы Network Associates, в состав которой входят сервер, консоли управления и агенты.

Сервер включает в себя базу данных, в которой хранятся данные о событиях, произошедших в системе антивирусной защиты, генератор отчетов и репозитарий антивирусного ПО.

Консоль управления построена на основе Microsoft Management Console и обеспечивает пользовательский интерфейс, позволяющий установить антивирусное ПО, выполнить его настройку в соответствии с принятой политикой антивирусной защиты и осуществлять контроль за текущим состоянием этой защиты. Контроль за состоянием антивирусной защиты производится с помощью генератора отчетов.

Агент обеспечивает установку антивирусного ПО на клиентских машинах, сбор и передачу информации о состоянии антивирусной защиты серверу ePO, а также настройку антивирусного ПО в соответствии с заданными параметрами.

ePolicy Orсhestrator поддерживает управление следующими программами:

  • VirusScan версии 4.5/4.51 — для защиты рабочих станций, работающих под управлением Windows 95/98/Mе, Windows 2000 Professional и Windows XP;
  • NetShield for NT версии 4.5 — для защиты серверов, работающих под управлением Windows NT 4.0 Server, Windows 2000 Server и Windows 2000 Advanced Server;
  • NetShield for NetWare версии 4.6 — для защиты серверов, работающих под управлением NetWare 4.11/4.2/5.0/5.1/6.0 (агент, позволяющий ePolicy Orсhestrator взаимодействовать с этой программой, будет доступен в I квартале 2002 года);
  • GroupShield for Domino версии 5.0 — для защиты серверов, работающих под управлением Lotus Domino версий 4.6.x/5.0;
  • GroupShield for Exchange версии 5.0 — для защиты почтовых серверов, работающих под управлением Microsoft Exchange Server версий 5.5/2000 (в настоящее время взаимодействие между ePO и GroupShield for Exchange осуществляется только на уровне генератора отчетов, а версия GroupShield for Exchange, которая будет полностью управляема с помощью ePO, планируется к выпуску в I квартале этого года);
  • Norton Antivrus Corporate Edition 7.5/7.6 — набор антивирусных программ фирм Symantec, предназначенных для защиты компьютеров, работающих под управлением различных версий Windows.

Как видно из приведенного выше списка, ePO поддерживает управление не только антивирусным ПО фирмы NAI, но и частью антивирусного ПО своего главного конкурента на мировом рынке — компании Symantec. Однако следует оговориться, что возможности управления антивирусным ПО фирмы Symantec в текущей версии ePO существенно меньше, чем в Symantec System Center версии 4.6. Наличие возможности в ePO управлять антивирусным ПО фирмы Symantec скорее следует рассматривать как одно из средств, облегчающих процесс миграции с антивирусного ПО фирмы Symantec на антивирусное ПО фирмы NAI в организациях, имеющих большое количество компьютеров.

Вместе с тем нельзя не отметить того факта, что в настоящее время фирма Symantec не поставляет полноценного генератора отчетов для своего антивирусного ПО. Поэтому в ряде случаев будет целесообразным совместное использование Symantec System Center и ePolicy Orсhestrator. В этом случае ePO позволит получать подробные отчеты о состоянии антивирусной защиты, построенной на основе антивирусного ПО фирмы Symantec, и проводить их анализ, а Symantec System Center будет по-прежнему выполнять функции управления антивирусным ПО фирмы Symantec.

Важным достоинством ePO является возможность управлять с помощью одного сервера ePO антивирусным ПО, установленным в разных NT-доменах. Как уже говорилось выше, управление антивирусным ПО осуществляется с помощью агентов, при этом имеется возможность настройки Аccount, под которым будет работать агент в каждом NT-домене. Для каждого NT-домена в ePO создается свой дистрибутив агента, и при создании дистрибутива указывается имя домена и пароль администратора домена, для которого предназначается дистрибутив агента. Размер дистрибутива агента составляет примерно 500 Кбайт, что позволяет распространять его даже через e-mail. Кроме того, в ePO предусмотрены средства распространения агента с использованием push-технологии.

Полезным свойством при распространении агента с использованием push-технологии является возможность указать место, куда будет инсталлирован агент. Предоставляется выбор из трех вариантов: агент может быть инсталлирован в корень системного диска, в папку Program Files или в папку Program Files/Common Files. Наличие такой возможности помогает избежать вопросов пользователей о появлении на их компьютерах новой папки с именем EpoAgent. Уменьшению количества вопросов пользователей способствует также и то, что по умолчанию агент устанавливается в скрытом режиме и никак себя не проявляет.

После установки агента можно провести анализ текущего состояния антивирусной защиты и, если потребуется, внести изменения в нее. Агент показывает информацию о типе процессора и его мощности, о размере жестких дисков и количестве свободного места на них; то же самое относится к характеристикам оперативной памяти. Агент распознает факт установки антивирусного ПО на данном компьютере и его версию. К недостаткам данной версии агента следует отнести то, что он не распознает антивирусное ПО никаких других производителей, кроме фирм NAI и Symantec. По умолчанию каждые пять минут агент обращается к ePO-серверу с запросом о появлении на нем новых установок, которые должны быть выполнены им на клиенте. Также по умолчанию один раз в час агент связывается с ePO-сервером, чтобы передать информацию о текущем состоянии антивирусной защиты клиента. Это не порождает большого сетевого трафика, поскольку размер сообщений составляет несколько килобайт; к тому же частоту обращений к ePO-серверу можно настроить в зависимости от текущих требований клиента.

ePolicy Orchestrator рассчитан на работу с очень большим количеством клиентов: в документации к программе говорится о возможности обслуживания одним сервером ePO до 250 тыс. клиентов. В целях упрощения процесса администрирования в ePO предусмотрена возможность деления управляемых клиентов на сайты и группы, которые создаются внутри сайтов. Для каждого сайта может быть назначен свой администратор (Site Administrator), который будет полностью управлять антивирусным ПО, установленным на клиентах, входящих в его сайт. Чтобы управлять всеми сайтами одновременно, в ePO введена учетная запись глобального администратора (Global Administrator). Глобальный администратор может создавать учетные записи администраторов сайтов и назначать их. В ePO существуют также учетные записи Global Reviewer и Site Reviewer. Их права совпадают с правами глобального администратора и администратора сайта соответственно, за исключением права вносить какие-либо изменения в настройки антивирусного ПО. Однако Global Reviewer и Site Reviewer имеют право пользоваться генератором отчетов, что делает эти позиции очень удобными для выполнения функций аудита.

Генератор отчетов, входящий в состав ePO, обладает самым широким набором возможностей из всех представленных на рынке антивирусных программ на сегодняшний день. Поскольку он использует базу данных SQL и Crystal Reports, то с его помощью можно построить запросы и получить отчет, удовлетворяющий любым требованиям. Генератор отчетов содержит несколько десятков готовых шаблонов запросов и отчетов, чего вполне достаточно для большинства пользователей.

Для работы ePolicy Orchestrator требуется база данных SQL. Программа поставляется вместе с Microsoft Data Engine (MSDE), но использование MSDE накладывает ряд ограничений: размер базы данных не может превышать 2 Гбайт и может использоваться не более пяти консолей управления одновременно. При использовании Microsoft SQL Server версии 7.0 или 2000 никаких ограничений на размер базы и количество одновременно работающих консолей не существует.

Естественно, возникает вопрос о требованиях к аппаратной мощности компьютеров, на которых будет работать сервер ePO и агенты.

Для сервера ePO:

  • Процессор Intel Pentium II 233 MГц, если число компьютеров менее 250; процессор Intel Pentium II 500 MГц, если компьютеров более 250.
  • Минимальный размер свободного дискового пространства — 1 Гбайт.
  • Оперативная память — 128 Мбайт.
  • Сетевая карта с поддержкой TCP/IP-протокола.
  • VGA-дисплей с разрешением 1024Ѕ768 и поддерживающий 256 цветов.
  • Microsoft Windows NT Server 4.0 с Service Pack (SP) 5 (или более поздний) либо Microsoft Windows 2000 Server или Advanced Server с SP 1.
  • Microsoft Internet Explorer v 5.01 c SP 1 или более поздний.
  • Microsoft Data Engine (MSDE), или Microsoft SQL Server 7 с Microsoft SQL Server 7 SP 3, или Microsoft SQL Server 2000 — в зависимости от предполагаемого размера базы.

Для работы агента:

  • 5 Мбайт свободного дискового пространства.
  • 8 Мбайт оперативной памяти.
  • Microsoft Windows NT 3.51/NT 4/95/98/Ме/2000/XP/NT 4 Terminal server.

Вирусная угроза является наиболее, если можно так выразиться, осязаемой — при желании вы всегда сможете отловить его «живьем» и покопаться в его коде. Несколько сложнее добраться до его автора и убедить его переключить свою энергию в иное русло. Однако помимо слепой разрушительной силы, выпущенной на свободу безответственным членом общества, существует гораздо более страшная угроза — со стороны спокойных и несуетливых профессионалов, по какой-либо причине поставивших своей целью получить доступ к вашей информации. В этом случае никакой антивирус не поможет. Что же делать?

В начало В начало

Опыт внедрения

Процесс установки ePO версии 2.5 является простым и интуитивно понятным. В подтверждение этого могу сослаться на личный опыт, полученный в процессе его установки в московском представительстве компании The Document Company Xerox, где процесс инсталляции прошел гладко и не вызвал никаких серьезных затруднений.

ePO был установлен на сервер Compaq Proliant 3000 с процессором Pentium II 300 MГц, оперативной памятью 320 Мбайт, с операционной системой Windows NT 4.0 Server (SP6), также на сервере был установлен Microsoft SQL Server 7 (SP 3).

Процесс установки ePO версии 2.5 выполняется в два этапа. На первом этапе инсталлируется ePO версии 2.0, а затем он обновляется до версии 2.5. В процессе инсталляции задается ряд вопросов, самыми существенными из которых являются вопросы об учетной записи, под которой будет работать ePO, и об учетной записи, с помощью которой будет осуществляться доступ к базе данных, где хранятся данные для получения отчетов. Программа может работать под учетной записью администратора NT-домена или локального администратора. Для доступа к базе данных можно использовать учетную запись SQL Server или администратора NT-домена. В нашей ситуации в обоих случаях была выбрана учетная запись администратора NT-домена.

Далее в репозитарий ePO были помещены программы VirusScan 4.51 и NetShield 4.5, предназначенные для защиты рабочих станций и серверов. Затем была выполнена операция по установке агентов на рабочие станции и серверы. Операция по установке агентов была разбита на два этапа, чтобы избежать нежелательных последствий в случае возникновения проблем после установки агента. Сначала агент был установлен на компьютеры IT-подразделения, в рамках которого в течение 10 дней проводилось тестирование агента на совместимость с программным обеспечением, используемым в представительстве. Тестирование не выявило никаких проблем, и на втором этапе агент был установлен почти на все компьютеры представительства. В процессе установки агентов на этом этапе возникли небольшие сложности, связанные с тем, что на некоторые компьютеры установить агент не удалось. Поскольку ePO не выдает никакой дополнительной диагностической информации в случае неудачной попытки установить агент, то не сразу удалось выяснить, что это было обусловлено нехваткой свободного дискового пространства. После «чистки» дисков проблемы с установкой агентов были решены. Установка агентов выполнялась в push-режиме, так как большинство компьютеров в представительстве работали под управлением Windows NT 4.0, то такой метод установки представляется оптимальным. На компьютеры под управлением Windows 95/98 установить агентов в режиме push не удалось, так как для этого требуется, чтобы на таких компьютерах была включена функция Remote Administration и разделение ресурсов на уровне User Level. Для установки агента на такие компьютеры использовалась посылка дистрибутива агента через электронную почту.

Сразу после завершения процедуры установки агентов с помощью генератора отчетов было получено несколько отчетов и на их основе проведен анализ текущего состояния антивирусной защиты. Выяснилось, что на ряде компьютеров используется устаревшая версия VirusScan или устаревшая версия поискового механизма антивирусов.

С помощью ePO устаревшие версии VirusScan были деинсталлированы и была проведена установка VirusScan версии 4.51. ePO позволяет провести настройку параметров программы, перед тем как провести ее установку. Однако в данном случае использовались все настройки по умолчанию, кроме отвечающей за обновление антивирусных баз. По умолчанию предполагается, что обновление будет выполняться непосредственно с ftp-сервера фирмы NAI. В нашем случае, исходя из корпоративной политики безопасности, обновление было настроено на использование внутренних файловых серверов. Так как в представительстве используется несколько NT-доменов, то для каждого из них был выбран свой сервер, с которого клиенты получали обновления. Вариант с установкой внутреннего ftp-сервера и организацией анонимного доступа к обновлениям антивирусных баз на нем позволяет избежать необходимости помещения обновлений на разные серверы. Но он был отклонен исходя из требований корпоративной политики.

В целом задачу, заключающуюся в том, чтобы централизовать управление антивирусной защитой и помочь администраторам региональных офисов решать проблемы, связанные с нею, путем внедрения ePolicy Orchestrator версии 2.5 решить удалось.

КомпьютерПресс 3'2002