Опубликован: 26.03.2007 | Уровень: для всех | Доступ: платный
Лекция 7:

Защита серверов и рабочих станций

Почта

Одним из наиболее часто используемых каналов проникновения вредоносных программ по прежнему остается электронная почта. И хотя для предотвращения пересылки зараженных писем имеются специализированные средства антивирусной защиты уровня почтовых систем, существует множество ситуаций, когда такие средства по тем или иным причинам не используются.

Пример. Домашние пользователи и небольшие компании практически никогда не имеют собственного почтового сервера, на который можно было бы установить антивирус для проверки почтовых сообщений. Услуги по доставке почтовых сообщений в таких случаях оказывает провайдер, у которого могут быть не установлены антивирусные средства на почтовых серверах - по причине большого количества подлежащих защите почтовых ящиков и, как следствие, высокой стоимости лицензии.

В связи с этим, антивирус для рабочих станций Windows должен обладать собственными средствами защиты от вирусов, приходящих по почте.

Нужно отметить, что с большинством таких вирусов вполне справляются стандартные средства проверки файловой системы, поскольку находящийся во вложении вирус, даже будучи запущенным пользователем, все равно сначала сохраняется на диск во временный каталог, и только потом загружается в память. В момент сохранения он будет обнаружен и обезврежен средством проверки при доступе.

Для чего же в таком случае нужны и нужны ли вообще дополнительные средства проверки почты? В первую очередь для повышения производительности и надежности. Не секрет, что наибольшее "замедление" работы компьютера связано именно с работой постоянной защиты файловой системы. По этой причине многие пользователи отключают эту защиту вовсе или неоправданно снижают уровень защиты в настройках. Модуль защиты почты серьезного влияния на производительность не оказывает и может работать едва ли не с максимальными настройками, перекрывая один из наиболее опасных, с точки зрения распространения вирусов, потоков.

Пример. В Антивирусе Касперского для Windows Workstations задача постоянной защиты файлов не проверяет архивы - с одной стороны для повышения производительности, а с другой, по описанной выше причине - файлы внутри архивов перед запуском все равно будут распакованы во временный каталог, обнаружены и обезврежены. Аналогичным образом построили защиту и другие производители антивирусных средств. Задача же постоянной защиты почты, напротив, по умолчанию архивы проверяет, а значит, учитывая тенденцию по распространению вредоносных программ в заархивированном виде, именно она обеспечит предотвращение проникновения вируса на компьютер.

В силу того, что задача постоянной защиты файлов не проверяет архивы, только задача постоянной защиты почты может помешать отправке письма с инфицированным вложением, что также немаловажно.

По сути, локальный модуль проверки почтовых сообщений играет роль отсутствующего антивируса на почтовом сервере - он снижает нагрузку на другие модули проверки и уменьшает общую вероятность заражения. Например, некоторые черви используют уязвимости в почтовых клиентах для автоматического запуска зараженного вложения. Если проверка файловой системы по каким-то причинам отключена, получение такого червя означало бы немедленное заражение, не будь в составе антивирусного комплекса модуля проверки почты.

Кроме этого, не следует забывать, что любой вирус, даже находящийся в архиве или почтовой базе, представляет собой потенциальную угрозу. Если вирус уже так или иначе проник на компьютер и ожидает, что пользователь сам его запустит, это рано или поздно может случиться. Полная проверка компьютера проводится, как правило, не так часто: раз в неделю, а то и реже, чтобы можно было быть уверенным в своевременном обнаружении и удалении вируса внутри архива и/или почтовой базы. А значит, есть шанс, что вирус будет запущен пользователем хотя бы по причине небрежности или случайной ошибки. Использование модуля проверки почты позволяет не допустить появления в почтовой базе зараженных объектов и предотвратить возникновение потенциально опасной ситуации.

Есть и еще одна опасность. Как известно, в ответ на то, что антивирусы стали проверять заархивированные вложения, многие вредоносные программы стали распространяться в защищенных паролем архивах, указывая пароль в теле сообщения. В отсутствие модуля проверки почты, такие письма будут беспрепятственно попадать в почтовый ящик с все тем же риском быть запущенными. Но в этом случае даже проверка по требованию может не обнаружить такие вирусы, если не включена или не реализована проверка в архивах, защищенных паролем.

Пример. В Антивирусе Касперского реализован автоматический механизм обнаружения паролей в теле письма, как при проверке почтовых сообщений на лету, так и при проверке почтового ящика по требованию (по расписанию).

С точки зрения технологий, используемых в модулях проверки почты, можно выделить два направления в которых ведутся разработки:

  • Интеграция с почтовыми клиентами
  • Перехват соединений по почтовым протоколам

Преимущества первого способа состоят в том, что проверяются все почтовые сообщения, обрабатываемые почтовым клиентом, независимо от используемых протоколов. С другой стороны, обеспечить необходимую интеграцию со всеми возможными почтовыми клиентами - задача практически неразрешимая. Поэтому используется второй способ, когда модуль проверки перехватывает соединения по некоторым почтовым протоколам, вычленяет из потока данных объекты, которые могут быть заражены, и проверяет их.

Каждый из способов имеет свои преимущества и недостатки. Интеграция обычно поддерживается с очень ограниченным числом почтовых клиентов, например, только с клиентом Microsoft Outlook. С другой стороны, способ перехвата соединений также ограничен в числе поддерживаемых протоколов - как правило, это только протоколы SMTP и POP.

Пример. Учитывая ограничения каждого из способов реализации модуля проверки почтовых сообщений, в Антивирусе Касперского для Windows Workstations применяются одновременно оба способа: интеграция с Microsoft Outlook и перехват сообщений, отправляемых по протоколу SMTP и получаемых по протоколу POP v3.
Интернет

Наравне с почтой, и в последнее время особенно часто, для проникновения на компьютер вредоносные программы используют поток данных непосредственно из Интернет. Соответствующие угрозы можно разделить на несколько классов:

  • Загрузка зараженных программ через Интернет по инициативе пользователя — подобные события могут происходить в силу неосведомленности пользователя, по недосмотру или оплошности, в результате успешного использования методов социальной инженерии
  • Принудительная загрузка и запуск файлов через Интернет в процессе навигации по сети Интернет — происходит в результате использования на веб-страницах вредоносных скриптов, эксплуатирующих уязвимости в Интернет-агентах (браузерах)
  • Удаленная атака на сетевые службы и приложения с внедрением кода непосредственно в адресное пространство уязвимых процессов и последующим выполнением этого кода - происходит при наличии соответствующих уязвимых процессов и прямого доступа к компьютеру из сети Интернет (что крайне редко встречается в случае корпоративных сетей и наоборот, именно этот сценарий является стандартным для домашнего пользователя)

С угрозами первых двух типов успешно справляется средство проверки файловой системы при доступе - загруженный файл будет проверен в момент записи на диск. Кроме этого могут использоваться и другие технологии.

Так, большинство менеджеров загрузки обладают возможностью запускать антивирусную проверку всех загружаемых файлов. Для эффективного использования этой возможности антивирус должен поддерживать передачу объектов для проверки и параметров проверки через командную строку.

Пример. В Антивирусе Касперского для Windows Workstations имеется возможность запускать проверку по требованию через интерфейс командной строки, передавая параметры проверки при помощи ключей командной строки. Аналогичная возможность реализована и в других версиях Антивируса Касперского: Personal, Personal Pro, для Windows File Servers.

Для защиты от использования на веб-страницах вредоносных скриптов, инициирующих несанкционированную загрузку и выполнение программ может использоваться специальный компонент проверки скриптов. Как известно, для выполнения скриптов, написанных на языках VBScript и JavaScript в ОС семейства Windows используется специальный компонент - Windows Script Host, допускающий интеграцию внешних фильтров. В некоторых антивирусах реализован отдельный модуль, проверяющий все скрипты, выполняемые посредством Windows Script Host, обеспечивая защиту не только от веб-страниц, но также от содержащих скрипты писем в html-формате и просто от сохраненных на диске скриптов.

Пример. В Антивирусе Касперского для Windows Workstations (равно как и в персональных версиях, и в версии для серверов Windows) имеется аналогичный компонент для проверки скриптов. В нем реализованы две технологии - передача скриптов на проверку антивирусному ядру с использованием антивирусных баз (сигнатурный метод) и метод поведенческого анализа, оценивающий опасность скриптов по выполняемым ими действиям.

Удаленная атака на сетевые службы является более серьезной проблемой, которую стандартными антивирусными средствами решить не удается - постоянный контроль адресного пространства в ОС Windows невозможен. Для защиты от подобных атак в антивирусные средства интегрируется часть функций персональных брандмауэров либо полноценный персональный брандмауэр. Таким образом, антивирус превращается в более сложный и многофункциональный программный продукт, способный отслеживать сетевые соединения и блокировать атаки на переполнение буфера, которые чаще всего и используются для удаленного внедрения и выполнения кода.

Пример. В Антивирусе Касперского Personal реализован частичный функционал персонального брандмауэра - защита от сетевых атак, специально предназначенный для блокирования атак на известные уязвимости в службах ОС Windows. Кроме этого в линейке продуктов Лаборатории Касперского имеется специализированное решения для защиты от сетевых атак - Kaspersky Anti-Hacker и интегрированное решение, объединяющее в себе антивирус, персональный брандмауэр и персональное средство защиты от спама - Kaspersky Internet Security. Все эти средства являются персональными, т.к. Антивирус Касперского для Windows Workstations ориентирован на использование в корпоративных сетях, где прямой доступ из Интернет обычно контролируется межсетевым экраном и/или прокси-сервером.

В целом же защиту от атак на сетевые службы следует обеспечивать не антивирусными средствами, а установкой обновлений, устраняющих уязвимости. В крупных компаниях такой подход должен быть закреплен организационными мерами в рамках комплексного подхода к построению системы антивирусной защиты.

Рабочие станции под управлением других ОС

В отличие от рабочих станций Windows, вредоносных программ, угрожающих заражением непосредственно рабочим станциям под управлением Unix или MacOS крайне мало. В большинстве своем это либо так называемые proof-of-concept (доказательство возможности) вирусы, либо вирусы, использующие весьма специфические уязвимости. Первые не встречаются в "диком виде" и на практике опасности не представляют. Что касается вторых, то они способны поражать только системы с очень специфическим набором свойств (например, с установленным прикладным ПО определенной версии) и, как правило, не угрожают актуальным версиям ОС и соответствующих программ.

В связи с этим антивирусы для таких рабочих станций предназначены не столько для предотвращения заражения, сколько для недопущения распространения вредоносных программ. Зараженный файл, скопированный с Windows-машины на Unix-машину, не может нанести вреда Unix-машине, но остается зараженным и, будучи скопированным назад на Windows-машину (ту же или любую другую), представляет собой опасность.

Следовательно, антивирус для рабочих станций под управлением ОС, отличных от Microsoft Windows, не нуждается в большинстве модулей и технологий, применяемых для защиты рабочих станций Windows. Как правило, оказывается достаточно средства проверки по запросу, для регулярной проверки файловой системы или же для нерегулярной проверки отдельных файлов или папок.

Пример. В линейке антивирусных продуктов Лаборатории Касперского имеется Антивирус Касперского для Linux Workstations, в состав которого входит сканер по требованию, а также утилита обновления и средства управления. У других производителей имеющиеся продукты такого класса обладают близким функционалом.

Если же на Unix-машине имеется ресурс, активно используемый для хранения и передачи файлов пользователями рабочих станций Windows, это означает, что такая Unix-система относится к классу серверных и требует соответствующих назначению средств защиты.

Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Мария Дарская
Мария Дарская
Россия, г. Пушкино
Юлия Журавлёва
Юлия Журавлёва
Россия