Обзор и тестирование системы Kaspersky Total Space Security

Олег Зайцев

Введение

Условия тестирования и опытной эксплуатации

Установка ПО управления

Сервер администрирования

Консоль управления

Агент администрирования

Принцип работы

Настройка и управление

Разработка политик

Разработка задач

Генератор отчетов и выборок

Анализатор событий

Управление лицензиями

Хранилища

Удаленная установка приложений

Оценка качества работы системы

Заключение

Введение

Защита компьютеров локальной сети от вредоносных программ и сетевых атак является одной из приоритетных задач для любого системного администратора. Применять для этих целей стандартный персональный антивирус крайне неудобно, так как операцию по его установке и настройке администратору придется выполнять вручную на каждом компьютере. Выходом из положения является применение специализированной корпоративной версии антивируса, поддерживающей централизованное управление и удаленную установку.

В настоящей статье мы рассмотрим решение для централизованной защиты рабочих станций в корпоративной сети от всех видов современных интернет-угроз — Kaspersky Total Space Security, в частности систему управления Kaspersky Administration Kit, предназначенную для централизованной установки и управления системой антивирусной безопасности предприятия на базе «Антивируса Касперского». Предварительный (не коммерческий) релиз этой системы был предоставлен «Лабораторией Касперского» для ознакомительного тестирования в ЛВС ГВЦ ОАО «Смоленскэнерго». В рамках данного тестирования изучались возможности «Антивируса Касперского 6.0» для рабочих станций Windows, применяемого совместно со средствами централизованного управления. 

Условия тестирования и опытной эксплуатации

Тестирование комплекса производилось в реальных условиях ЛВС ОАО «Смоленскэнерго». Для участия в тестах было отобрано 20 компьютеров различной конфигурации, в частности:

  • Pentium Celeron 1 ГГц, 128 Мбайт ОЗУ, операционная система Windows 98 SE;
  • Pentium 4 3 ГГц, 1 Гбайт ОЗУ, операционная система Windows 2000;
  • Pentium 4 2 ГГц, 512 Гбайт ОЗУ, операционная система Windows XP SP1.

Все остальные участвующие в тесте компьютеры были оснащены операционной системой Windows XP SP2 и имели объем памяти 256, 512 (у большинства) и 1024 Мбайт.

Серверная часть и  центр управления Kaspersky Administration Kit были установлены на два компьютера, один из которых выполнял роль главного сервера администрирования, а второй — подчиненного:

  • Pentium 4 3 ГГц, 1 Гбайт ОЗУ, операционная система Windows XP SP2;
  • Pentium 4 3 ГГц, 1 Гбайт ОЗУ, операционная система Windows 2003 Server SP1.

Установка ПО управления

Продукт состоит из трех основных компонентов: серверной части, консоли управления и агента администрирования.

Сервер администрирования

Для функционирования серверной части необходим сервер базы данных Microsoft SQL Server или MSDE, который входит в дистрибутив продукта Kaspersky Administration Kit. В ходе тестирования проверялись оба варианта установки. Процесс инсталляции выполнен в виде мастера, предлагающего выбрать сервер баз данных, задать имя базы, создать или восстановить из резервной копии сертификат сервера администрирования, задать настройки оповещения и порты, применяемые для связи агента с сервером (по умолчанию — 14000/TCP и 13000/TCP). Кроме того, в ходе установки предлагается построить логическую структуру сети. Данная операция является необязательной и может производиться автоматически. В процессе работы сервер администрирования потребляет порядка 25-30 Мбайт оперативной памяти и работа его служб не оказывает существенного влияния на работу компьютера и его быстродействие, что позволяет устанавливать его на любой из имеющихся в сети серверов под управлением Windows.

Консоль управления

Консоль управления инсталлируется вместе с сервером администрирования, но в случае необходимости может быть установлена отдельно. Соответственно консоль может подключаться как к локальному серверу администрирования, так и к удаленному.

Агент администрирования

Агент администрирования может инсталлироваться двумя способами:

  • удаленная установка — может осуществляться вручную либо при помощи сервера администрирования. Для выполнения данной операции необходимо иметь права администратора на компьютерах пользователей;
  • локальная установка — производится непосредственно на компьютере клиента при помощи инсталлятора, входящего в дистрибутив. В этом случае инсталлятор задает ряд вопросов — адрес сервера и используемые для связи с сервером порты. Локальная установка может производиться и в так называемом silent-режиме — тогда она выполняется автоматически, без диалога с пользователем. Инсталляционный пакет для silent-режима формируется под управлением Kaspersky Administration Kit, и в ходе этого процесса задаются все необходимые настройки.

Практика показала, что локальная установка агента более предпочтительна, чем удаленная, так как перед установкой агента выполняющий данную операцию специалист может произвести дополнительные операции — например деинсталлировать применявшийся до установки KAV антивирус или брандмауэр.

Настройки агента могут быть изменены после его установки. Эта операция может выполняться дистанционно из консоли управления Kaspersky Administration Kit или локально — при помощи утилиты командной строки, входящей в состав агента. Дистанционная модификация настроек агента является очень удобной функцией, так как позволяет передавать управление компьютером или группой компьютеров от одного сервера администрирования к другому. Кроме того, в состав агента входит утилита командной строки klnagchk.exe для проверки соединения клиентского компьютера с сервером.

Принцип работы

Принцип работы комплекса и схема взаимодействия его компонентов упрощенно показаны на рис. 1.

 

Рис. 1. Принцип работы Kaspersky Administration Kit

Основой системы являются серверы, на которых установлен Kaspersky Administration Kit, позволяющие решать следующие задачи:

  • производить удаленную установку приложений на компьютеры клиентов в сети;
  • управлять лицензиями, в том числе строить отчеты об использовании имеющихся лицензий и производить передачу лицензионных ключей на компьютеры пользователей;
  • осуществлять централизованное автоматическое обновление баз и программных модулей с возможностью контроля за данным процессом при помощи отчетов и анализатора событий;
  • централизованно управлять антивирусной защитой на каждом из компьютеров сети. Управление является весьма гибким, с поддержкой объединения компьютеров в иерархически организованные группы с индивидуальными собственными настройками и заданиями;
  • оповещать администраторов в случае возникновения заданных событий (ошибки, обнаружение вирусов и т.п.);
  • строить различные отчеты при помощи настраиваемого генератора отчетов. Отчеты могут быть распечатаны или сохранены в формате HTML.

По мнению автора, важной особенностью Kaspersky Administration Kit является поддержка его серверной частью распределенной архитектуры, которая заключается в том, что в сети может существовать несколько серверов с Kaspersky Administration Kit, связанных друг с другом. Связь является иерархической, то есть каждый сервер может иметь подчиненные серверы и, в свою очередь, являться подчиненным для другого сервера. Поддержка такой архитектуры очень удобна для большой распределенной сети, в особенности если она подразделяется на подсети филиалов — в этом случае в центральном офисе устанавливается главный сервер, с которого ведется централизованное управление. В каждом филиале устанавливается свой сервер администрирования, который является подчиненным по отношению к главному. 

Сервер администрирования хранит протоколы и настройки в базе данных Microsoft SQL Server или MSDE. Для управления сервером администрирования применяется консоль администрирования, выполненная в виде стандартной оснастки консоли управления MMC (Microsoft Management Console).

Для управления клиентским компьютером на него устанавливается агент администрирования. Он предназначен для осуществления связи установленных на клиентском компьютере приложений с сервером администрирования и является единым для всех приложений. В продукты соответственно включается специальный модуль, отвечающий за их взаимодействие с агентом.

Настройка и управление

После установки сервера Kaspersky Administration Kit и консоли управления необходима настройка системы (первичная настройка производится в ходе инсталляции). Все настройки выполняются из консоли, главное окно которой показано на рис. 2.

 

Рис. 2. Консоль управления

Настройка выполняется на основании того, что все подключенные к серверу администрирования компьютеры и подчиненные серверы объединяются в группы и образуют иерархическую логическую сеть. Каждая группа имеет свои политики (именованные профили с параметрами и настройками ПО) и групповые задачи. Логическая сеть может создаваться вручную или автоматически, а также экспортироваться и импортироваться. Структура логической сети определяется администратором и никак не связана с физической организацией и топологией сети. В частности, автором в ходе тестов были созданы три группы — «Компьютеры СПО», «Маломощные ПК» и «Ноутбуки» — с индивидуальными политиками, разработанные с учетом специфики включаемых в группу компьютеров (рис. 3).

 

Рис. 3. Компьютеры группы

Каждый компьютер в группе снабжен иконкой, которая меняет цвет в зависимости от статуса компьютера (зеленый — все в порядке, желтый — есть предупреждения, красный — статус «Критический», серый — компьютер недоступен). Для каждого ПК можно вызвать диалоговое окно «Свойства», включающее подробную информацию о конфигурации компьютера (процессор, память, версия операционной системы), состоянии защиты, установленных приложениях и задачах.

В случае необходимости компьютер можно перемещать из группы в группу. Важной особенностью является возможность создания вложенных групп, для которых действует принцип наследования — на них распространяются политики и задачи родительской группы. В настройках группы предусмотрена возможность настройки удаленной инсталляции приложений, выполняемой автоматически после включения компьютера в группу. Автоматическая инсталляция очень удобна в случае, если настроено автоматическое помещение новых компьютеров в группу из Active Directory или из заданной подсети. Кроме того, в настройках группы можно задать критерии присвоения компьютеру статусов «Предупреждение» и «Критический» (по умолчанию критерии присвоения статуса наследуются от родительской группы).

Разработка политик

В каждой группе может быть неограниченное количество политик. Политика — это именованная группа настроек, содержащая признак активности. На настройку входящих в группу ПК оказывают воздействие только активные политики. Данная особенность позволяет администратору разработать несколько политик «про запас» и активировать их по мере необходимости. Очень полезной функцией является возможность автоматической активации политики в случае возникновения заданного администратором события, в частности эпидемии вируса или сетевой атаки (рис. 4).

 

Рис. 4. Окно редактирования политики

На закладке «Применение» отображается статистическая информация об использовании политики. Кроме того, на данной закладке задается методика изменения необязательных параметров локальных политик (имеются в виду политики вложенных групп, серверов и задач, не входящих в группу ПК).

Закладка «События» позволяет настроить правила обработки событий, связанных с данной политикой. Обработка событий предполагает отключаемую фиксацию события на сервере и компьютере клиента на заданный в настройке срок и формирование оповещения для администратора.

Закладка «Настройки» содержит настройки параметров. Напротив каждой из настроек имеется небольшая кнопка с изображением замка. Если кнопка утоплена, то параметр является обязательным и его изменение в политиках подчиненных групп/серверов или на ПК клиента блокируется.

В политике для антивируса настройки позволяют отконфигурировать все компоненты антивирусной защиты и задать исключения — доверенные приложения, для которых не контролируется сетевая активность или не производится проверка открываемых файлов. В политике агента администрирования задается пароль на его удаление, параметры сетевого обмена, настройки журналов и правила передачи на сервер администрирования информации об объектах, помещенных в карантин или в резервное хранилище.

Разработка задач

Механизм задач в Kaspersky Administration Kit позволяет администратору создавать задачи, которые выполняются автоматически по заданному расписанию или вручную. Задачи дают возможность осуществлять сканирование дисков с заданными настройками, обновление антивирусных баз, установку лицензионных ключей и программного обеспечения. Задача может ставиться на уровне определенного компьютера (локальные задачи) или группы (групповые задачи).

Задачи создаются при помощи мастера, который позволяет выбрать приложение и специфичную для него задачу, а также настроить параметры выполнения задачи (рис. 5).

 

Рис. 5. Мастер создания задачи

Кроме того, предусмотрены так называемые глобальные задачи, в которых можно создавать задачи загрузки обновлений на сервер администрирования и резервные копии данных сервера администрирования.

В настройке расписания задач есть опция, полезная для больших сетей, — «Распределять запуск задачи случайным образом». При включении данной опции администратором задается интервал времени, в течение которого задача должна быть выполнена. В результате в момент выполнения таких задач, как обновление антивирусных баз или удаленная установка, не возникает пиковой нагрузки на сеть или на сервер администрирования из-за одновременного обращения к серверу десятков ПК.

Генератор отчетов и выборок

Для решения аналитических задач в Kaspersky Administration Kit предусмотрен встроенный генератор отчетов, который содержит несколько готовых настроек для формирования типовых отчетов с возможностью добавления пользовательских отчетов (рис. 6).

 

Рис. 6. Настройка параметров формирования отчета

Настройки отчета позволяют выбрать тип отчета, задать период, за который формируется выборка, выбрать группу и указать, какие сводные и детализированные данные необходимо поместить в отчет (рис. 7).

 

Рис. 7. Пример отчета

Отчет формируется в формате HTML и открывается в браузере по умолчанию. Кроме отчетов предусмотрена возможность построения выборок компьютеров логической сети по заданным критериям. Выборки очень удобны для создания задач, применяемых к группе отобранных компьютеров (рис. 8).

 

Рис. 8. Создание задания для группы компьютеров, отобранных
по заданным критериям

Анализатор событий

Как уже отмечалось, политики групп позволяют настроить регистрацию событий на сервере администрирования и их хранение в течение заданного времени. Для работы с событиями в Kaspersky Administration Kit предусмотрен специализированный построитель выборок, позволяющий отбирать события по заданным критериям для их последующего анализа. Для каждого события предусмотрена возможность детализированного просмотра информации (рис. 9).

 

Рис. 9. Событие типа «Обнаружен вредоносный объект»

Управление лицензиями

Для управления лицензиями в Kaspersky Administration Kit  предусмотрены возможность регистрации лицензионных ключей и специализированный шаблон отчета, позволяющий отслеживать использование зарегистрированных в системе лицензионных ключей. Отчет содержит диаграмму применения ключей и таблицу с детализированной информацией по каждому ключу. Ключи подразделяются на два вида — текущие и резервные. Текущие ключи используются в данное время, а резервные установлены, но не активированы. Резервный ключ начинает действовать по окончании срока действия текущего ключа. 

Хранилища

Политика агента администрирования позволяет включить передачу на сервер администрирования информации об объектах, помещенных в карантин или в резервное хранилище. При этом объекты физически хранятся на компьютерах клиентов, а на сервер администрирования передается подробная информация о каждом объекте, включая его полное имя и местоположение на клиентском компьютере, дату и причину помещения в карантин или в резервное хранилище. Администратор может централизованно удалять или восстанавливать объекты, а также инициировать повторную проверку заподозренных объектов (рис. 10).

 

Рис. 10. Резервное хранилище

Удаленная установка приложений

Для осуществления удаленной установки необходимо создать пакеты или импортировать пакеты удаленной инсталляции. Создание пакета вручную производится при помощи мастера, причем инсталляционный пакет может быть создан не только для продуктов «Лаборатории Касперского», но и для любого стороннего приложения. В комплект поставки входят два готовых пакета: для установки агента администрирования и «Антивируса Касперского 6.0». После создания или импорта пакета имеется возможность редактирования настроек, влияющих на его установки. Кроме того, настройка предполагает задание режима перезагрузки после установки пакета (рис. 11).

 

Рис. 11. Настройка перезагрузки

После создания и запуска задачи удаленной установки администратор при желании может наблюдать за ее ходом при помощи детализированного протокола, в котором отображаются все этапы процесса (рис. 12).

 

Рис. 12. Процесс удаленной установки агента и антивируса

Оценка качества работы системы

Тестирование выполнялось в течение месяца. Как уже отмечалось, в тесте участвовали реальные компьютеры, принадлежащие программистам и системным администраторам службы программного обеспечения. На данных ПК эксплуатируется различное программное обеспечение, в частности средства разработки и отладки приложений, утилиты администрирования, разнообразное ПО для работы с серверами баз данных. Следует отметить, что:

  • за время тестирования не было обнаружено сбоев или ошибок в работе серверов администрирования или агентов на компьютерах клиентов;
  • запланированные операции производились в соответствии с заданными настройками, результаты выполнения операций фиксировались в соответствующих протоколах. В ходе тестирования были имитированы различные аварийные ситуации — внезапное отключение клиентского компьютера или подчиненного сервера в момент обмена данными с ним, аварийное отключение сервера администрирования, сбои каналов связи сервер — ПК, сервер — сервер, сервер — Интернет во время обмена информацией. Аварийные ситуации успешно отрабатывались с регистрацией в протоколах соответствующих ошибок;
  • была всесторонне протестирована удаленная установка — на все участвующие в тестировании компьютеры «Антивирус Касперского 6.0» устанавливался путем удаленной установки;
  • в ходе тестов было имитировано заражение компьютеров различными вредоносными программами для проверки работы системы оповещения администратора и подсистемы формирования протоколов и выборок.

Заключение

Рассмотренный в данной статье корпоративный продукт Kaspersky Total Space Security успешно прошел опытно-промышленную эксплуатацию, по результатам которой в ОАО «Смоленскэнерго» было принято решение о закупке данной системы для защиты ЛВС главного вычислительного центра и филиалов. Особо следует отметить распределенную архитектуру системы, которая удобна в случае эксплуатации в большой сети, состоящей из ГВЦ и ЛВС филиалов. Благодаря подобной организации снижается нагрузка на сеть ввиду того, что обновления централизованно загружаются главным сервером администрирования в ГВЦ, а затем передаются подчиненным серверам филиалов, с которых, в свою очередь, обновляются компьютеры ЛВС. Кроме того, при подобной архитектуре системы администраторы ЛВС филиала  имеют доступ к серверам администрирования своих сетей, что позволяет им анализировать события и строить протоколы в рамках своей сети.

 

В начало В начало

КомпьютерПресс 3'2007

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует