Антивирусы в корпоративной среде

[Timba]

Считаю, что корпоративные редакции антивирусных продуктов заслуживают отдельной темы.

Тема предназначена для описаний продуктов, их различных редакций, способов лицензирования, развертывания и администрирования.

А так же для обсуждения проблем, с этим связанных.

Тема НЕ предназначена для холиваров типа Ххххххх vs Yyyyyyy, флуда, обсуждения HOME-версий.

i

Уведомление:

Прикрепил тему.

Изменено 11 февраля, 2011 пользователем Timba

[Timba]

avast!

Введение.

Всем известна редакция этого антивируса для дома.

Стало интересно "посмотреть" и потестировать корпоративную версию как и полагается в доменной корпоративной среде.

Экспериментировать на живом домене не хотелось, поэтому поднял виртуальный в составе:

1) 1-й сервер - AD, DNS, DHCP на базе Windows 2003 Server St. R2.

2) 2-й сервер - SQL + WSUS на базе Windows 2003 Server St. R2.

3) 3-й сервер - MS ISA Server 2006 SP1 на базе Windows 2003 Server St. SP2.

4) 4-й сервер - Просто файл-сервер на базе Windows 2003 Server St. SP2.

5) 5-й сервер - AD, DNS, DHCP на базе Windows 2003 Server St. R2. (в другом сайте)

6) 1-я рабочая станция под Windows XP Proffessional SP2.

7) 2-я рабочая станция под Windows XP Proffessional SP2.

8) 3-я рабочая станция под Windows XP Proffessional SP2.

9) 4-я рабочая станция под Windows XP Proffessional SP2.

Вот на нем все и тестировалось.

Постараюсь быть последовательным, и ничего важного не упустить, потому что аспектов там

много.

Итак по порядку:

1) Предварительная информация о редакциях и загрузка.

На сайте разработчиков есть несколько вариантов:

1. avast! Standart Suite.

2. avast! Advanced Suite.

3. avast! Enterprise Suite.

По информации на сайте, отличаются они следующим:

avast! Standart Suite: защита рабочих станций MS Windows и обычных MS Windows серверов. Дополнительные плагины для специфических серверов (MS Exchange, MS ISA, MS SharePoint etc.) использовать не разрешается. Не предусмотрена так защита и для Linux и BSD серверов (mail, samba) и прочее, входящее в более продвинутые комплекты.

avast! Advanced Suite: защита рабочих станций MS Windows, обычных MS Windows серверов, серверов MS Exchange и защита для Linux и BSD серверов (mail, samba).

avast! Enterprise Suite: защита рабочих станций MS Windows, обычных MS Windows серверов, серверов MS Exchange Server, MS ISA Server, MS Proxy Server, MS SharePoint Portal Server (и просто Services), IBM Lotus Domino, SMTP services на обычных MS Win серверах, защита для Linux и BSD серверов (mail, samba). Дополнительно в этот комплект включены специальные редакции avast! for Kerio (Mail Server и WinRoute Firewall) и avast! PDA Edition для операционных систем Palm OS, Windows CE и Windows Mobile 5.

Все комплекты управляются с помощью ADNM (avast! Distributed Network Manager).

Для загрузки и установки на официальном сайте для свободного скачивания доступны все корпоративные комплекты, по функциональности они ничем не ограничены, существует только ограничение на срок Trial-периода в 60 дней.

Я выбрал avast! Standart Suite.

Собственно файлов там всего четыре:

а) ADNM без интегрированного MSDE (Microsoft SQL Desktop Engine).

б) ADNM с интегрированным MSDE.

в) avast! Antivirus (managed version), включает в себя и серверный и клиентский (multilingual).

г) avast! Antivirus (managed version), включает в себя и серверный и клиентский (English).

Я скачал первые три. Хотя первый и третий можно было вообще не качать, все необходимое для развертывания будет доступно из созданного зеркала. Третий может понадобиться только для установки клиентов вручную, хотя я не вижу в нем особого смысла, потому что avast! ADNM позволяет создавать MSI пакеты, но об этой возможности подробней будет рассказано дальше.

Собственно это те же самые файлы, что идут для Advanced и Enterprise редакций, только компоненты работать будут в зависимости от приобретенных лицензий.

Инсталлятор и интерфейс консоли и антивирусов доступен на нескольких языках включая русский. Вводная справка тоже на русском. Только подробный мануал и встроенная подробная справка на английском.

2) Инсталляция.

При установке надо иметь подключение к интернету, потому что в процессе инсталляции создается зеркало антивирусных баз, баз обновлений и компонентов установочных пакетов, качая кучу файлов с зеркала разработчиков.

Запускаем инсталляцию консоли ADNM и корневого AMS (avast! Managment Server). Здесь есть два варианта.

1. Если имеется уже установленный MS SQL Server, то для формирования информационной базы корневого AMS, можно указать его.

2. Это вариант с установкой на MSDE. Здесь надо учитывать то, что база корневого AMS очень важна для функционирования всей инфраструктуры, и средства полноценного SQL сервера позволяют своевременно создавать резервные копии базы, а также осуществлять репликацию независимо от того, что задано в планировщике консоли ADNM. Если же использовать MSDE, то мало того, что этот движок мало управляем, он еще и не совсем стабилен. И если нет резервной копии базы AMS, и вдруг будет поврежден MSDE, то последствия будут весьма неприятные. При развертывании AMS на MSDE не стоит беспокоиться, если в компании используются системы резервного копирования корпоративного уровня. Например линейка продуктов BackUp Exec от Symantec (бывший Veritas BackUp). В этом случае, можно не беспокоиться. При установке выбираем язык и двигаемся дальше. Инсталлятор спрашивает, к какому SQL серверу подключиться для создания базы AMS. Поступаем сообразно имеющимся возможностям. Я выбрал вариант с установкой на MSDE. В дальнейшем базу можно спокойно переместить на полноценный SQL сервер. Все нормально и инсталлятор устанавливает движок MSDE, конфигурирует его и начинает создание зеркала обновлений, антивирусных баз и установочных пакетов, качая файлы по интернету. Похоже в этом зеркале было все, что разработчики наработали за несколько лет, потому что качалось все около часа по каналу в 1.5 Мбит. и первоначальный размер зеркала составил порядка 600 Мб. И еще, весь процесс отрисовывается в командной строке. Далее есть этап создания доверенного SSL сертификата. Создаем. Заканчиваем установку. Еще один момент, если все развернуто на MSDE, то для функционирования репликации базы AMS необходимо разрешить движку MSDE через SQL Server Network Utility использовать сетевые транспорты TCP/IP и Named Pipes. После чего необходимо остановить и запустить заново сервисы AMS и SQL серверов. В полноценном SQL это делается через его инструменты управления.

Вот как выглядит создание зеркала при инсталляции:

А вот сами базы AMS на SQL и MSDE:

3) Обнаружение.

Запускаем консоль ADNМ. При запуске тут же всплывает вводная справка на русском языке, где вкратце (что приятно) буквально разжеваны все основные шаги для работы с консолью и выполнения задач. Выдается запрос авторизации. По умолчанию логин: Administrator, пароль: admin. Пароль лучше сразу поменять, чтобы замкнуть управление корневым AMS на себя. Внешний вид консоли и ее состав компонентов лично мне показался удобным и приятным. Не перегружен и не убог. Как раз то, что надо. Двигаемся дальше. Для начала нужно втянуть в базу сервера и компьютеры, на которых будем разворачивать avast!. Делается это несколькими способами.

1. Обнаружение по сети путем сканирования.

2. Импорт из Active Directory.

3. Импорт из текстового файла.

4. Можно вообще вручную вбить нужные компьютеры.

Я выбрал второй вариант, он импортировал все сервера и станции, создал в консоли ADNM контейнер с NETBIOS именем домена, и запихнул их всех туда. Позже сервера и станции можно перемещать из одного контейнера в другой в зависимости потребностей и удобства администрирования.

Вот так выглядит консоль ADNМ:

А так консоль управления базами AMS :

4) Развертывание.

Опять же есть несколько вариантов.

1. Из консоли ADNМ через задачу внедрения.

2. Средствами AD (Active Directory) через GPO (Group Policy Object).

3. Просто вручную.

Я испробовал первый и второй. Третий тоже наверняка работает, мне просто этот вариант был неинтересен. Итак, создаем установочные пакеты для серверов и рабочих станций, а потом внедряем. Вот здесь имеется масса приятных моментов, о которых я поговорю особо.

1. При создании пакета, он не просто тупо создает пакет, включая туда все что нужно и не нужно, а позволяет выбрать состав компонентов и включить действительно только то что нужно. Например, если на рабочей станции не используется почтовый клиент The Bat или MS Outlook (MAPI) или клиенты BitTorrent или других пиринговых сетей, то и выкидываем эти модули из создаваемого пакета, зачем лишним нагружать рабочую станцию? То самое с серверами, можно создать различные пакеты для различных по назначению серверов. Скажем, если это файрволл MS ISA Server или другой прокси, то включаем этот модуль и не включам другие. Если это почтовый сервер MS Exchange, то также включаем его, не загружая остальными. То же самое делается для серверов с IBM Lotus Domino, MS SharePoint Portal или просто для MS SMTP служб.

Вот как это выглядит:

2. Если компания интернациональная, и там к примеру работают сотрудники разных национальностей, то в зависимости от того, кому предполагается ставить антивирус, можно создать пакеты с разными языками интерфейса. Если это англоговорящий сотрудник, ему можно сделать пакет с английским интерфейсом, если русский, то с русским, если немец, то на немецком... ну и т.п. Хоть на каталонском или турецком. :blush2:

3. Пакеты создали, внедряем. Запускаем задачу внедрения. И здесь есть два варианта: либо запустить установку из консоли, либо не устанавливать а просто создать MSI-файл, чтобы потом его внедрить средствами AD через GPO. Для развертывания конечно нужно

применять GPO на компьютер, а не на пользователя, и использовать тип назначенный или insign в английской версии, чтобы не напрягать пользователей.

4. При установке из консоли можно задать несколько вариантов поведения. Первый, после установки он тупо перезагрузит компьютер. Второй, даст пользователю 30 секунд, чтобы он успел сохранить свои документы и закрыть приложения. Третий, вообще не будет перезагружать компьютер, а заработает после следующей перезагрузки или включения.

5. При внедрении конкретного пакета можно: Первое, указать именно те компьютеры, для которых он предназначен. Или напротив, если предполагается что этот пакет будет устанавливаться на большую часть станций или серверов указать всю эту кучу, но указать те станции или сервера, на которые его устанавливать не надо.

6. Есть такая вещь, как связывание задач. Здесь можно задать, к примеру, чтобы после установки он сразу запустил обновление антивирусных баз или сканирование локальных дисков на предмет поиска вирусов или сканирование на предмет наличия руткитов.

7. Это не совсем внедрение, а скорее наоборот. Можно, не поднимая задницы от стула, удаленно деинсталлировать продукт через консоль ADNМ со всех станций и серверов домена. Как будто его и не было.

Вроде с внедрением все. Единственный минус, что он не умеет при инсталляции обходитьвключенный файрволл в Windows, поэтому перед развертыванием надо для тех компьютеров, на которые предполагается инсталлировать, создать в AD GPO для всего домена или для отдельного OU (Organisation Unit) куда входят эти сервера и станции, где в параметрах указать исключения для Windows файрволла для служб доступа к файлам.

Собственно сам установленный антивирус:

5) Зеркала антивирусных баз, обновлений, компонентов установочных пакетов.

1. Если сеть, к примеру, распределенная, и имеется головной офис и несколько филиалов связанных узкими каналами связи, то, чтобы все клиенты не "тянули" обновления антивирусных баз из головного офиса к примеру, можно создать зеркала второго уровня для антивирусных баз хоть в каждом филиале и завязать клиентов каждого филиала на локальное зеркало. При инсталляции подчиненных AMS и создании зеркала второго уровня, естественно не надо загружать его опять из интернета, а указать корневой сервер где зеркало уже лежит, процесс инсталляции пройдет заметно быстрее.

6) Распределенная сеть.

Здесь можно поговорить особо. Если подразделений в компании несколько, и находятся далеко друг от друга, соединены они между собой либо каналами точка-точка либо по VPN через интернет, и доменная структура содержит несколько сайтов, то для удобства в каждом сайте AD (удаленном подразделении) можно создать по своему AMS-серверу и завязать станции и сервера этого подразделения на локальный AMS. Впрочем, структура разветвления подчиненных серверов AMS совсем не обязательно должна повторять структуру домена, и репликация баз AMS никак не связана с межсайтовой репликацией базы AD, можно сделать как угодно, но с точки зрения администрирования делать это было бы нелогично.

7) Пользователи.

Это тоже отдельный аспект администрирования. Можно создавать отдельные группы пользователей и самих пользователей, где задать права на выполнение задач и доступа к управлению AMS непосредственно только те, что необходимы. Можно создать, скажем, администраторов в филиалах, назначить им управление конкретными группами серверов и станций, запретив при этом доступ к управлению корневым и другими подчиненными AMS, чтобы частично переложить обязанности управления всей инфраструктурой корпоративного avast! со своих плеч на чужие. Здесь надо отметить, что группы и пользователи никак не зависят от учетных записей в домене и никак не привязаны к ним.

8) Планирование задач.

Планировщик достаточно удобный и функциональный. Время и частоту выполнения любых задач можно настроить как необходимо.

Сами задачи настраиваются тоже очень гибко. Например, настройка задач сканирования on-acces и on-demand просто поражает своими возможностями.

9) Логи, предупреждения и отчеты.

1. Логи ведутся, в них все видно. что происходило.

2. Предупреждения. Если что-то случилось неординарное предупреждения отправляются опять же несколькими способами. Первый, можно задать, к примеру, чтобы у администратора на его рабочей станции всплывало окно с описанием события. Второй, чтобы предупреждение было отправлено ему на электронную почту хоть по SMTP, хоть по MAPI. Третий, самый удобный, можно задать, чтобы предупреждение было отправлено на печать на какой-то конкретный принтер (можно подумать, администраторы часто пользуются принтерами), но как вариант, можно отправить на печать на принтер к секретарше, которая его увидит и станет тут же звонить админу. В этом случае, напрягаться вообще не надо. Да и почту читать.

3. Отчеты. Отчетов можно много создать хороших и разных. Есть сводные отчеты по состоянию антивирусной защиты станций или отчет об обновлениях. Но есть и такие, как например Топ 10 (Горячая десятка) пойманных вирусов в этом месяце (или квартале), причем с диаграммами и в цвете! Есть возможность вставить в отчеты логотип компании. Причем, для отправки отчетов опять есть несколько вариантов. Первый, просто создать и тут же посмотреть. Второй, можно чтобы они создавались, экспортировались в формат PDF, HTML, MS Word или MS Excell и сохранялись на диске. Третий, когда отчеты создаются, экспортируются в нужный формат и отправляются по электронной почте. Этот вариант мне понравился больше всего, я выбрал PDF указал свой адрес и после генерации отчета получил его по почте с прикрепленным файлом PDF, где был цветной отчет на русском языке не помню уже о чем. Красиво и приятно.

10) Заключение.

Итоги. Мне очень понравился этот продукт. Впечатления самые что ни на есть положительные.

Единственно, что я не смог проверить его эффективность в ловле вирусов, так как их (вирусов) у меня не было в наличии. Впрочем, о его эффективности можно судить по рейтингам (хотя они необъективны) или по опыту использования персональных версий PRO.

Огорчает весьма запутанная схема лицензирования и стоимость самого продукта, по сравнению с Symantec и Kaspersky, он получается заметно дороже. Вот собственно и все. Буду рад, если кому-то пригодится мой опыт и изложенная информация по этому продукту.

Изменено 11 февраля, 2011 пользователем Timba

[Timba]

Про аваст уже много сказано было.

Мельком про Касперского скажу:

1) Очень удобная административная консоль.

2) Базы хранятся уже в MS SQL Express.

3) Управление распространяется не на "сеть" а на "домен".

4) Удобное отображение процессов в консоли, чего раньше не было.

5) Любые действия с "отключенной" станцией.

Сам по себе продукт очень добротный.

Скринов не приложу, они особо и не нужны.

Если кто сравнивает KIS с MP4, то они очень ошибаются.

Это очень разные продукты.

[Timba]

Про установку на контроллеры домена. Windows 2008 R2. Советую брать самую последнюю версию МР4, не ниже 6000, иначе просто можно "завалить сервер", агента к нему можно прикрутить и старого, какой подойдет, ключи пожно аообще локально воткнуть если удаленно не ставятся (правда еще с таким я не сталкивался при установленном агенте). Дело в том что сам Windows 2008 R2 (х64) еще очень сырой, и ожидать можно чего угодно. Но если Касперский установится, то можно пить шампанское, дальше "прикрутить" его к серверу администрирования и вогнать в нужную группу не составит труда, и обновления он будет качать с него.

[Timba]

Я уже, если честно, хотел порадоваться за аваст. Думаю, неужели они отошли от своей корявой системы лицензирования и выбрали эталоном модель, которую используют Kaspersky и Symantek:

Платите только за те функции, которые вам необходимы

AVAST Endpoint Protection Plus обеспечивает надежную защиту всех ваших компьютеров – и вам не приходится переплачивать за защиту серверов.

Но, почитав далее, немного смутился.

http://www.avast.com...tion-suite#tab3

А если заглянуть сюда: http://www.avast.com...server-security

То вообще малопонятно.

Я вот думаю, неужели трудно не запутывать потенциальных покупателей, а сделать все просто и ясно.

Изменено 12 ноября, 2012 пользователем Timba