Опубликован: 26.03.2007 | Доступ: свободный | Студентов: 6607 / 1931 | Оценка: 4.03 / 3.84 | Длительность: 14:55:00
Лекция 7:

Защита серверов и рабочих станций

Защита рабочих станций

Классы рабочих станций

Как можно понять из приведенных ранее примеров, подсистема защиты рабочих станций также далеко не всегда оказывается однородной в смысле используемых средств защиты. Причина тому - неоднородность самих рабочих станций с точки зрения используемых операционных систем.

Сегодня рабочими станциями могут быть компьютеры, работающие под управлением таких операционных систем:

  • Microsoft Windows
  • Linux/Unix
  • MacOS

В силу существенных архитектурных различий рабочие станции Windows обычно делят на два дополнительных подкласса:

  • Microsoft Windows 9x/ME
  • Microsoft Windows NT/2000/XP

Прямым следствием такого положения дел является наличие различных - зачастую даже по антивирусному функционалу - средств защиты для каждого из классов рабочих станций.

Пример. Среди продуктов Лаборатории Касперского имеется два предназначенных для защиты рабочих станций - Антивирус Касперского для Windows Workstations и Антивирус Касперского для Linux Workstations. Кроме этого, продукт для защиты рабочих станций Windows может поставляться в различных дистрибутивах - для установки на Windows 98/ME и для установки на Windows NT/2000/XP. Между всеми этими продуктами есть функциональные различия.

Как уже говорилось выше, основной причиной введения системы управления на третьем уровне является необходимость управлять большим количеством антивирусных средств. Верно и обратное, когда количество защищаемых узлов невелико, система управления, как правило, не используется.

Поэтому существуют различные версии антивирусных средств защиты рабочих станций - предназначенные для взаимодействия с системой управления и не предназначенные. Первые называют по-разному, но чаще всего - сетевыми или корпоративными версиями, иногда - управляемыми. Для вторых устоялся единый термин - персональные версии.

Пример. Помимо корпоративной версии Антивируса Касперского для Windows Workstations, в линейке продуктов Лаборатории Касперского присутствуют две персональные версии - Антивирус Касперского Personal и Антивирус Касперского Personal Pro. Первый продукт ориентирован на массовую аудиторию и сделан максимально простым в использовании, второй предназначен для опытных пользователей и предоставляет больше возможностей для тонкой настройки. Аналогичные по позиционированию продукты есть у большинства антивирусных производителей.

Продукты для защиты рабочих станций Linux/Unix или MacOS нередко вовсе не имеют сетевых (корпоративных) вариаций. Причина та же - количество таких рабочих станций, как правило, невелико.

В последние годы ситуация начала меняться и сейчас нередко можно встретить институты или правительственные организации, полностью оснащенные рабочими станциями на базе Linux. Тем не менее, во-первых, количество вирусов для этой платформы ничтожно в сравнении с количеством вирусов для Windows, а во-вторых, новые вирусы для Linux появляются также крайне редко. Результатом такого положения вещей является низкая вероятность заражения и отсутствие насущной необходимости в постоянном контроле состояния системы защиты.

Пример. Антивирус Касперского для Linux Workstations не управляется при помощи системы Kaspersky Administration Kit. Такой подход является характерным для индустрии в целом. Тем не менее, с учетом роста популярности Linux-платформы, а также понимая важность унификации подходов, планы развития включают распространение системы Kaspersky Administration Kit на продукты под Linux.

Специфические угрозы и технологии противодействия

Как известно, большинство современных вредоносных программ являются ОС-ориентированными, т. е. могут запускаться только на некоторых типах родственных ОС (как правило, ОС Windows). Более того, способы распространения (проникновения) также во многих случаях являются ОС-ориентированными. По этой причине рассмотренные ранее в совокупности вирусные угрозы в различной степени относятся к разным классам рабочих станций.

Рабочие станции Windows

Большинство угроз, и это неудивительно, ориентированы на ОС семейства Windows. Под управлением ОС этого семейства функционирует львиная доля всех компьютеров в мире, что создает большой простор для деятельности авторов вирусов, на что бы эта деятельность ни была направлена - удовлетворение личных амбиций, приобретение известности, получение прибыли или всего вместе.

Для заражения компьютера под управлением Microsoft Windows применяются практически все способы проникновения и активизации. Используются всевозможные каналы проникновения, уязвимости в системных и прикладных программах, методы социальной инженерии. Соответственно, ПО для защиты рабочих станций Windows должно обладать средствами для противодействия по возможности всем видам угроз.

Файловая система

В конечном итоге, за редкими исключениями, чтобы запуститься, вирусу необходимо сохранить свой код на диске компьютера-жертвы в виде файла — зараженного файла, в случае чистого вируса, либо полностью вредоносной программы, в случаях червей и большинства троянов. Таковы особенности архитектуры ОС Microsoft Windows - поместить вирусный код непосредственно в память компьютера, не затрагивая файловую систему, можно только используя уязвимости в сетевых службах и программах, установленных на компьютере.

Соответственно, основные средства из состава антивирусного комплекса для рабочих станций Windows направлены на предотвращение записи вредоносного кода на диски компьютера, на предотвращение запуска вредоносных программ, а также на проверку хранящихся на дисках (постоянных, сменных, сетевых) файлов - нет ли в них вредоносного кода. Последняя функция нужна для того, чтобы при запуске (или сразу после установки) антивируса удостовериться в отсутствии вирусов на компьютере - функции предотвращения в последствии позволяют сохранить этот status quo.

Как уже отмечалось в классификации антивирусов, средства проверки файловой системы бывают двух видов:

  • Сканеры по требованию — запускаются по инициативе пользователя или по расписанию для проверки четко очерченного круга объектов файловой системы
  • Сканеры при доступе — проверяют все объекты файловой системы, к которым производится доступ, на чтение/запуск или на создание/запись

Реализация подобных средств может быть различной. Это могут быть независимые модули, либо различные функции одного и того же модуля. Модуль проверки при доступе, который по понятным причинам должен постоянно находиться в памяти компьютера в зависимости от применяемых технологий может быть выполнен в виде приложения, службы или драйвера файловой системы. Эффективность при этом растет в порядке перечисления.

Пример. В текущей версии Антивируса Касперского перехват файловых операций осуществляет драйвер файловой системы, что позволяет обеспечить максимальную надежность и производительность. Проверка же выполняется антивирусной службой, причем как объектов, перехваченных драйвером, так и объектов указанных пользователем для проверки по требованию/расписанию. Это позволяет минимизировать используемые ресурсы памяти, поскольку все проверки выполняются одним процессом, в памяти хранится только одна копия антивирусной базы.

Кроме того, что на момент установки или запуска антивируса вредоносные программы могут находиться на дисках, они могут находиться также и в памяти компьютера. Соответственно, имеется необходимость в проверке памяти. Особенности архитектуры операционной системы Windows таковы, что отслеживать изменения в памяти на лету попросту невозможно. В связи с этим функции проверки памяти выполняются сканером по требованию.

С точки зрения применяемых технологий обнаружения вирусов, основной упор при проверке объектов памяти и файловой системы делается на сигнатурные методы и эвристический анализ. Это и понятно, ведь таким образом обеспечивается максимальная защита от уже известных вирусов, а также защита от новых, еще не известных. Метод поведенческого анализа и блокирования подозрительных действий применялся в прошлом, но показал себя неэффективным из-за большого числа ложных срабатываний: в большинстве случаев вредоносные программы не выполняют никаких особых команд или действий, не свойственных обычным утилитам или службам. Более того, одна и та же программа в зависимости от условий применения может расцениваться как вредоносная или вполне легальная.

Пример. Входящая в состав Windows XP утилита shutdown.exe может с пользой применяться для выключения компьютера по расписанию. Эта же утилита может использоваться в составе вредоносной программы для принудительной перезагрузки без уведомления пользователя. Например, помещение этой утилиты в автозапуск может надолго воспрепятствовать нормальной работе неискушенного пользователя.

Тем не менее, в некоторых специфических случаях применение поведенческого анализа не только оправдано, но и является более эффективным методом предотвращения запуска новых вирусов, чем эвристический анализ.

Пример. До сих пор во многих версиях BIOS можно встретить опцию защиты от вирусов, которая препятствует записи в критические области дисков - в загрузочные сектора и в сам BIOS. В данном случае ключевым является тот факт, что после непродолжительного периода настройки, необходимости в изменении структуры дисков и перепрошивке BIOS уже нет. В любом случае эти действия являются достаточно редкими и выполнение их без ведома пользователя должно по меньшей мере вызывать подозрения.

Стоит сказать, что современные вирусы крайне редко пытаются записать данные в загрузочные сектора или в BIOS. Эпоха загрузочных вирусов давно прошла. Вследствие этого, антивирусные функции также постепенно исчезают из BIOS.

Если в случае исполняемых файлов, подозрительные операции выделить достаточно сложно в силу очень большого разнообразия этих файлов и решаемых ими задач, то сфера применения макросов в документах Microsoft Office и других офисных пакетов, достаточно ограничена - чаще всего они используются для сокращения времени на выполнение рутинных операций или же для придания дополнительной функциональности документам. В большинстве случаев действие макроса распространяется только на документ, в состав которого он входит, а взаимодействие с другими документами чаще всего ограничивается операциями чтения. Следовательно, активные действия связанные с файловыми операциями или с записью в другие документы, могут вызывать обоснованные подозрения.

Пример. В Антивирусе Касперского для Windows Workstations имеется специальный модуль для защиты от макровирусов, который работает по принципу поведенческого блокиратора. Идея та же, что и в случае с функцией поведенческого анализа в BIOS: макровирусу для успешного размножения или выполнения серьезных деструктивных функций приходится использовать функции работы с внешними файлами, функции работы с макросами и другие функции, нечасто (если не сказать крайне редко) встречающиеся в обычных макросах, применяемых для автоматизации регулярно выполняемых действий. Соответственно, при обнаружении подозрительных макрокоманд Антивирус Касперского имеет возможность заблокировать их выполнение либо полностью прекратить работу макроса.

Нерассмотренным остался метод анализа изменений (контрольных сумм). Здесь необходимо отметить, что для обнаружения вирусов этот метод в современных условиях уже не годится. Даже в системном каталоге Windows количество файлов может достигать нескольких тысяч. При этом обновления ОС и ряда приложений регулярно приводят к изменениям в составе и версиях хранящихся там файлов. Анализ изменений на дисках в целом - задача еще более трудоемкая и плохо автоматизируемая.

Конечно, опытный специалист на основании данных об изменениях в файловой системе мог бы с большой вероятностью определить признаки заражения неизвестным вирусом. Но количество времени, необходимое на такой анализ, делают его с одной стороны невозможным в сколько-нибудь больших сетях, а с другой стороны нерентабельным в сетях небольшого размера или в единичных случаях - из-за стоимости услуг по привлечению высококвалифицированного специалиста.

Пример. В эпоху классических вирусов под Windows и еще раньше в эпоху вирусов под DOS были широко распространены так называемые программы-ревизоры, которые как раз и выполняли расчет и сравнение контрольных сумм файлов на дисках, а также выполняли простейший анализ зафиксированных изменений. Среди продуктов Лаборатории Касперского такой программой был Kaspersky Inspector. Несколько большей известностью пользовался AdInf производства компании "ДиалогНаука". В настоящее время подобные программы исчезли из линеек продуктов всех ведущих производителей.

Тем не менее, даже если анализ контрольных сумм не позволяет определить факт наличия вируса в системе, он позволяет определить факт отсутствия вирусов в файлах, контрольная сумма которых осталась неизменной. Об использовании метода сравнения контрольных сумм в таком качестве будет рассказано при рассмотрении эксплуатационных характеристик антивирусных продуктов.

Ангелина Бабенко
Ангелина Бабенко
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?