01 июня 2020 года 
 
Новости
производителей
Статьи
и обзоры
Вирусная
активность
Тесты
лабораторий
мнения
и комментарии
 
MSInfo.Ru - информационная безопасность как цель
Информационно-новостной дайджест из мира программного обеспечения, безопасности
 
Календарь событий
Июнь   2020
Пн
1
8 15 22 29
Вт 2 9 16 23 30
Ср 3 10 17 24
Чт 4 11 18 25
Пт 5 12 19 26
Сб 6 13 20 27
Вс 7 14 21 28

Microsoft ForeFront – безопасность превыше всего

28 сентября 2007 года

Источник: Михаил Демидов, "КомпьютерБизнесМаркет"

Проблема безопасности была, есть и всегда будет актуальной. В современном мире информация является столь же ценным товаром, как и финансы, оборудование, недвижимость, поэтому, потеряв, казалось бы, невещественное, вы незамедлительно терпите убытки вполне материального характера. Эта статья посвящена методике обеспечения надежной защиты сети с целью предотвращения утечки информации.

Традиционно Microsoft воспринимается пользователями как вендор программного обеспечения, в линейке которого отсутствуют программы для информационной защиты. Но за последний год произошли серьезные изменения – появились новые продукты, а у старых был расширен функционал. Сейчас у Microsoft сформировалась достаточно полная линейка продуктов: помимо традиционных операционных систем (серверных и клиентских) появились средства для защиты периметра сети (межсетевой экран ISA Server 2006), ускоритель Internet Application Gateway, антивирусы для защиты серверов коллективной работы и обмена сообщениями и продукт, который стал доступным для покупки с 1 июля 2007 года, антивирус для файловых систем рабочих станций. Также у Microsoft есть и функционал, заложенный внутри самой операционной системы – это и BitLocker, и EFS (шифрующая файловая система), а также отдельные сервисы, которые компании могут внедрять по необходимости, – например Windows Right Management Services. Microsoft есть что предложить клиентам и в области систем для аутентификации – это Identity Integration Server и System Server Certificate Lifecycle Manager 2007. Также во всем мире сейчас наблюдается слияние безопасности и инфраструктуры продуктов, поэтому продукты семейства Microsoft ForeFront тесно взаимодействуют с продуктами семейства Microsoft System Center, которые обеспечивают безопасность предприятия.

В данной статье речь пойдет об антивирусах, защищающих рабочие станции клиентских серверов. Прежде чем перейти к рассказу о новом продукте, стоит отметить, почему Microsoft включилась в гонку на рынке антивирусов и каковы ее планы на будущее. Во-первых, традиционно компании используют продукты от одного поставщика, то есть на всех компьютерах используются антивирусы одной и той же фирмы. Но немногие специалисты обращают внимание на то, что в реальности система все равно продолжает оставаться уязвимой. Покупая антивирус той или иной компании, вы автоматически попадаете в зависимость от лаборатории разработчиков, которые поставляют обновления – если же они не успеют их выпустить, то в системе безопасности может образоваться серьезная брешь. Не менее одиозным выглядит другой подход – когда защищаются усиленно главные сервера, а клиентские приложения, на которые вирус проникнуть может с меньшей долей вероятности, защищаются другими, альтернативными приложениями, то есть все узлы сети защищены антивирусами различных поставщиков. Но у такой схемы есть ряд серьезных недостатков: во-первых, невозможность централизованного управления, во-вторых, невозможность эффективного обновления, в-третьих, высокая стоимость покупки и технической поддержки всей этой схемы, в-четвертых, проблема совместимости.

По мнению Microsoft, идеальное антивирусное решение должно содержать несколько антивирусных ядер, каждое из которых обновляется независимо от других, чем обеспечивает улучшенную защиту наиболее уязвимых узлов сети (сервера обмена сообщениями или сервера коллективной работы). Также надо добавить к этому списку средства для защиты от спама и возможность централизованного обновления. Этим требованиям и отвечает продукт Microsoft, называвшийся раньше Antigen, а сейчас ForeFront – это семейство многоядерных антивирусов, защищающих такие известные продукты, как сервер сообщений Exchange, Live Communication Server, SharePoint (сервер порталов). В состав продукта входят следующие ядра – Kaspersky Antivirus, Sophos, CA, Norman, Microsoft, VirusBuster, Authentium и Ahn Lab. За эти ядра не нужно дополнительно платить, также ненужные ядра можно деактивировать (но добавить новые нельзя). Например, на сервере Exchange может работать до 5 ядер одновременно. Важно отметить, что из-за многоядерного антивируса нагрузка на процессор увеличивается, но ненамного (пять ядер – это +20%, а три ядра – около +10% нагрузки на ЦП). Так, если нагрузка на серверный процессор составляет 30-50%, то прибавляем 20%, получаем 70% – система работает вполне стабильно. Если же ваши цифры выше, то в таком случае придется проводить работы по оптимизации работы сервера. Реальное задействование многоядерности будет сказываться на скорости, если, как в нашем примере с сервером Exchange, будут пересылаться “тяжелые” вложения в электронной почте.

Актуально использовать много ядер вместо одного, потому что разные разработчики по-разному подходят к обеспечению безопасности (поэтому какого-то идеального одного решения быть не может), во время пандемии вируса антивирусные лаборатории работают с разной скоростью, и многоядерная система сможет выявить вредоносный код быстрее и точнее. Пример: статистика с сайта AVTest.org за 2006 год показывает, что время работы многоядерной системы намного меньше, чем время работы одноядерной системы. Преимуществами многоядерной защиты являются быстрые реакции на угрозы, безостановочная защита в силу избыточности количества ядер, а также значительно более высокий уровень эвристики при определении новых угроз (“одна голова хорошо, а много – лучше”). Также стоит отметить отсутствие проблем с обновлениями у многоядерной системы Microsoft (кто бы в этом сомневался) – все обновления собираются в одном месте, проверяются и выкладываются в общий доступ в кратчайший срок после выхода. Как только выходит обновление у антивирусной лаборатории-партнера, создается сборка обновления, которая включает в себя обновление сигнатур, обновление ядра (если это требуется) и так называемый “адаптер”, то есть программный код, который обеспечивает интеграцию ядра и обновления продукта. После этого происходит тестирование на совместимость, после чего накладывается цифровая подпись на это обновление, и оно размещается в свободный доступ. Весь этот процесс занимает от 15 до 30 минут – благодаря многоядерной системе этот процесс более стабилен: пока одно ядро “обновляется”, другие продолжают “ловить” вредоносный код. Независимые аналитики из компании Gartner в сентябре 2006 года выпустили исследование по защите электронной почты, где Microsoft значится среди лидеров, причем оценивались не только антивирусы, но и те сервисы, которые появились у Microsoft, в частности, сервисы защиты почты.

ForeFront используется не только самими разработчиками из Microsoft, но и основными партнерами – в России это компания “SOK”, производящая автомобильные комплектующие, которая сократила время простоя инфраструктуры электронной почты на 20%. С 1 июля этого года появился уже обновленный продукт – Microsoft ForeFront Client Security – единая антивирусная защита для рабочих мест, ноутбуков и серверных операционных систем. Это единая система для обеспечения защиты предприятия с интегрированным модулем антивируса и защиты от программ-шпионов. Именно благодаря тому, что эта среда единая, экономится драгоценное время на выяснение причин и последствий атаки. Например, в обычных условиях для этого нужно просмотреть записи в журнале событий антивируса, потом, узнав, что за вредоносный код проник в систему, посмотреть информацию о нем в вирусной энциклопедии, потом разобраться, как он распространяется и какие элементы системы стали уязвимыми, понять, через какой именно канал он проник, и принять меры. В результате возникает необходимость использования единого продукта, в котором уже заложены все эти компоненты.

Microsoft ForeFront имеет встроенный антивирусный агент для защиты от программ-шпионов с модулем проверки системы на безопасность и консоль управления, в которую доступ имеют сотрудники из отдела безопасности компании. Агент включает в cебя одно ядро (от Microsoft) по причине требований производительности: если на сервере можно предсказать нагрузку, то на клиентской машине это невозможно. На сегодняшний день невозможно создать клиентское приложение, в котором можно было бы совмещать многоядерность вместе с высокой производительностью. Агент обеспечивает защиту на уровне ядра, при этом используется стандартный метод доступа к файловой системе (а не обход драйверов системы безопасности). Помимо защиты ядра поддерживается защита пользовательского интерфейса (плагины Internet Explorer, системный реестр, файлы, загружаемые Internet Explorer и Microsoft Office, сервисы и драйвера). Возможно сканирование как по расписанию, так и вручную. Обновления, которые распространяются для агента, включают в себе не только обновления сигнатур, но и обновления самого ядра и самого агента. Частота обновлений – 6-7 раз в день, при этом перезагрузка не требуется. Администратор может управлять процессом защиты полностью – настроить режим сканирования, частоту обновления, включить пересылку отчетов аналитикам Microsoft в сеть SpyNet (США, Япония, Ирландия); есть совместимость с Windows Security Center и Vista NAP. Продукт уже получил сертификацию в WestCoast Labs и ICSA Labs.

Программа функционирует следующим образом: есть сервер с администратором, есть защищаемые объекты, то есть это рабочие станции и другие сервера, есть сервер, который хранит данные о системе безопасности (в базе данных), который “ябедничает” в Microsoft. Есть разные варианты работы: как с базой данных, так и без нее на одной машине. Администратор создает политики работы сервера, которые автоматически конвертируются в групповые политики Active Directory и функционируют на рабочих станциях, к которым соответственно подключены клиентские машины. Обновления могут быть получены либо с Windows Update, либо с Microsoft Update. Администратор также может получать доступ к отчетности, которая присылается на сервера Microsoft, а также самостоятельно или через шаблоны направлять туда запросы. Данный агент может быть установлен на Windows 2000 Service Pack 4 и выше, Windows XP Service Pack 2 и выше, Windows Vista (Business, Enterprise, Ultimate), Windows Server 2003 Service Pack 1 и R2, Windows Server 2008. Поддерживаются x86 (32-битные) и x64 платформы. В свою очередь, FCS-сервер может быть установлен на Windows Server 2003 Service Pack 1 и R2, SQL Server Standard (до 2000 узлов) или Enterprise (от 2000 до 10000 узлов) и только на x86 платформы. Крупное предприятие свыше 10000 узлов должно быть укомплектовано несколькими FCS-серверами. Управление безопасностью в отдельных организационных единицах и/или доменах осуществляется локально на основании делегирования полномочий. Программа предоставляет упрощенное администрирование на базе Active Directory:

– консоль распространяет политику, используя объекты групповой политики из Active Directory;

– детализация (на уровне OU с исключениями) использует группы безопасности;

– консоль создает GPO, отправляет ее на Sysvol, а GP распространяет профиль;

– политика применяется по умолчанию на все компьютеры в Active Directory.

Помимо стандартного антивирусного модуля в программу заложена прозрачная система отчетов, в которых можно узнать, как развивалась ситуация после внедрения вредоносного кода. Для того чтобы администратору можно было быстрее выявить проблемы, существует особая структура отчетов (на основе технологии MOM 2005 и с использованием SQL Reporting Service) – Security Summary (количество компьютеров доступных, недоступных, последние обновления с сервера, количество компьютеров, требующих дополнительного внимания c подробным описанием) и Summary Report (количество удачно удаленных вредоносных кодов, количество ошибок и так далее), то есть ретроспектива результатов. Также ранжируются предупреждения о сбоях в безопасности – агент уведомляет сервер о сбоях в обновлении сигнатур, обнаружении malware, о массовых заражениях, отключениях защиты и так далее.

Пробная версия продукта доступна для скачивания по адресам – www.microsoft.com/rus/forefront и www.microsoft.com/rus/clientsecurity . Активация продукта осуществляется только по подписке, то есть Box-версии нет (отдельно можно купить агенты и консоль управления). Разумеется, существуют скидки на покупку лицензий на большое количество машин.

В статье использовались материалы web-конференции Юрия Осипова (Microsoft) “10 шагов для надежной защиты сети”.



Распечатать
© 2007. Все права защищены.
Компания «1С-Мссофт.ру»,
Интернет-магазин Mssoft.Ru
Письмо администратору проекта


Rambler's Top100
новости производителей | статьи и обзоры | вирусная активность | тесты лабораторий

В магазине мссофт.ру вы можете купить лицензионный софт ведущих производителей: Microsoft, Adobe, microsoft office 2010.