Как защитить домашнюю сеть от вирусов

Kaspersky Lab

Данная статья посвящена безопасности крупной и средней компьютерной сети. Необходимо отметить, что с расширением роли информационных технологий в деятельности компаний говорить только о врусной атаке становится не вполне корректно, так как увеличивается число программ, которые не являясь вирусами, тем не менее способны принести не меньший вред. В первую очередь это относится к программам, ворующим пароли и позволящим осуществлять котроль за работой компьютеров незаметно для сотрудников вашей компании.

Рассмотрим стандартные составляющие корпоративной сети (рисунок 1).

Для начала рассмотрим основные принципы безопасности, которые позволяют многократно уменьшить вероятность попадания вируса в сеть.

Должно быть четкое разграничение задач и доступа различных пользователей (групп пользователей) в сети. Так, лучше иметь выделенную директорию для обмена данными между всеми пользователями сети или использовать для этого внутренний почтовый сервер компании.
Наличие в сети антивирусной программы.
Регулярное (не реже 1 раза в неделю, а общей директории — ежедневно) тестирование всего сервера на наличие вирусов всех типов с максимально возможными настройками.
Компьютер (компьютеры), связанные с внешним миром через модемы или выделенные каналы должны проверяться особенно тщательно и до того, как файлы, скачанные из Интернет, попадут в локальную сеть. При этом крайне желательна установка специального программного обеспечения, проверяющего внешний сетевой трафик как на наличие вирусов, так и на предмет попыток несанкционированного проникновения.

Как видно из перечисленного списка, покупка и установка антивирусного программного обеспечения является одним из ряда требований по обеспечению безопасности сети.

Анализируя критические для проникновения вирусов составляющие компьютерных сетей предприятий и тенденции развития антивирусного программного обеспечения, можно выделить следующие элементы, которые требуют антивирусной защиты:

Рабочие станции и переносные компьютеры;
Файловые сервера;
Серверы приложений (включая Почтовые системы, WEB-сервера);
Каналы обмена данными с внешним миром (например Интернет).

Необходимо отметить, что только подобная многослойная структура построения антивирусной защиты способна обеспечить максимальную защиту от вирусной угрозы. При этом вирус лишается возможности найти в сети нишу, в которой его существованию ничто не угрожает.

Анализируя современную динамику развития программ для проникновения в компьютерные сети компаний следует иметь в виду, что традиционные вирусы, которые способны заполнить диски или стереть информацию, являются лишь одной из разновидностей данного класса программ. Более того, широкое распространение информационных технологий, которые стали необходимым условием успешного развития компаний в любых областях, привело к тому, что практически вся информация хранится в электронном виде. Следствием этого стало широкое распространение так называемых вредоносных кодов. Данная категория программного обеспечения не является вирусом в традиционном понимании этого термина. Основной целью в данном случае является сбор информации (в первую очередь, паролей доступа) или даже полный контроль над работой компьютера, с последующей пересылкой данной информации заинтересованному лицу за пределами компании. При этом вред, наносимый компании, может во много раз превышать потери от традиционной вирусной атаки, которые могут быть к тому же сведены к минимуму при помощи грамотной системы резервного копирования информации.

С другой стороны, в настоящее время наблюдаются значительные изменения в традиционных вирусах. Прежде всего это связано с внедрением большого числа новых технологий компонентного построения систем, которые создают новые среды для распространия вирусов. При этом огромное количество файлов, из которых состоят современные программные продукты, привело к тому, что размеры перестали быть ограничивающим фактором в распространении вирусов и вредоносных кодов. Более того, многие из них даже не стремятся к полному внедрению в файлы, а просто копируют себя в системные директории. Действительно, определить наличие лишнего файла в этом случае оказывается практически невозможно.

Прежде чем переходить к описанию конкретных программных продуктов, предназначенных для защиты компьютеров и сетей от вирусов, хотелось бы отметить, что данную проблему нельзя рассматривать в отрыве от общей стратегии информационной безопасности компании. Здесь весьма уместно провести аналогии с традиционной медициной. Действительно, антивирусное программное обеспечение является лекарством, однако самый лучший способ быть здоровым — это избежать заражения. С этой точки зрения крайне важным является построение комплексной системы, которая бы позволила бы минимизировать возможные пути проникновения вирусов во внутреннюю сеть компании. Это тем более важно, что любое антивирусное программное обеспечение обеспечивает 100 % лечение только уже известных вирусов. В то время как новые модификации и, особенно, новые типы вирусов с очень большой вероятностью остаются незамеченными. Частично данная проблема решается при помощи программ для контроля за целосностью данных (типа AVP Inspector), однако они, как правило, лишь констатируют факт несанкционарованного изменения файлов, а лечение возможно лишь после появления новых версий антивирусов.

В настоящее время “Лаборатория Касперского” выпускает серию продуктов под общим названием AVP для защиты корпоративной сети и различных ее составляющих. Данные продукты можно разделить на 4 группы:

AVP для рабочих станций и автономных компьютеров;
AVP для файловых серверов;
AVP для серверов приложений;
Модули и продукты для сетевого администрирования и управления семейством продуктов AVP.

Прежде всего отметим, что практически все продукты (за исключением 16-битных) построены на основе единого ядра.

В данную категорию продуктов входят следующие основные продукты: AVP для Windows, AVP для OS/2, AVP для DOS (16-ти и 32-битные версии), AVP для Linux. При этом 16-битная версия для DOS в настоящий момент заменяется на 32-битную. При этом все версии (кроме 16-битных) имеют единое унифицированное ядро.

В настоящее время данная категория продуктов представлена версиями AVP для Novell Netware 3, 4, 5; AVP для NT Server; AVP Daemon для Linux.

AVP для Exchange, WEB Inspector. К данной категории можно отнести также AVP для Linux, который имеет открытое API для интеграции с прикладными приложениями различного типа.

В настоящий момент данная категория продуктов представлена Сетевым Центром Управления, который позволяет централизовать управление продуктами AVP в сетях, построенных на продуктах компании Microsoft и протоколе ТСР/IP. В других сетевых средах предлагается интеграция с системы сетевого управления таких компаний, как Microsoft, Novell, Tivoli, HP, CA и других компаний, работающих на данном рынке.

Avp Lite — это простой антивирусный пакет для MS-DOS и Windows 95/98. Он состоит из двух компонентов:

AVP Monitor для Windows 95/98;
AVP Scanner для MS-DOS.

AVP Monitor — это программа, которая во время работы компьютера постоянно находится в памяти и тестирует открываемые (то есть читаемые, исполняемые и т.п.) документы на локальном компьютере. Программа снабжена стандартными настройками, которые обеспечивают наилучшую безопасность Вашего компьютера и предотвращение заражения системы.

AVP Scanner для MS-DOS — это 32-битное DOS-приложение с графическим интерфейсом для сканирования файлов по запросу пользователя. К AVP Scanner приложен файл со стандартными настройками, что существенно облегчает использование продукта. Данная программа рекомендована для использования в тех ситуациях, когда невозможна загрузка компьютера. Запишите AVP Scanner на системную дискету, а антивирусные базы на другую дискету, тогда в случае вирусной атаки загрузите компьютер с системной дискеты и запустите программу-сканер.

Антивирусный пакет AVP Lite рекомендован “Лабораторией Касперского” начинающим пользователям для домашнего использования.

Avp Silver — антивирусный пакет для MS-DOS и Windows 95/98. В состав пакета входят следующие компоненты:

AVP Monitor для Windows 95/98;
AVP Scanner для Windows 95/98;
AVP Scanner для MS-DOS.

AVP Monitor — начиная с даной версии в программе предусмотрена возможность настройки списка проверяемых объектов и реакции на зараженные файлы. Таким образом, Вы можете настроить монитор для обеспечения наилучшей безопасности компьютера и предотвращения заражения системы.

AVP Scanner для Windows 95/98 — это Windows-приложение, предназначенное для проверки файлов на локальном компьютере по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

Антивирусный пакет AVP Silver рекомендован “Лабораторией Касперского” для домашнего использования.

AVP Gold — это программный антивирусный пакет для следующих ОС:

MS-DOS;
Windows 95/98;
Windows NT Workstation.

В состав пакета входят следующие компоненты:

AVP Monitor для Windows 95/98/NT Workstation;
AVP Scanner для Windows 95/98/NT Workstation;
AVP Scanner для MS-DOS;
AVP Центр Управления.

AVP Центр Управления — это программа-планировщик, которая позволяет управлять всеми компонентами пакета AVP Gold. При помощи нее Вы можете задать расписание проверки файлов, добавить или удалить компоненты, а также обновить антивирусные базы и посмотреть отчет о работе компонентов.

“Лаборатория Касперского” рекомендует использование антивирусного пакета AVP Gold как дома, на домашнем компьютере, так и в небольших офисах.

AVP Platinum — это антивирусный пакет, рассчитанный на многопользовательские лицензии. Он предназначен для работы в следующих ОС:

MS-DOS;
Windows 95/98;
Windows NT Workstation.

В состав пакета входят следующие компоненты:

AVP Monitor для Windows 95/98/NT Workstation;
AVP Scanner для Windows 95/98/NT Workstation;
AVP Scanner для MS-DOS;
AVP Центр Управления.

AVP Центр Управления — это программа-планировщик, которая позволяет управлять всеми компонентами пакета AVP Platinum. При помощи нее Вы можете задать расписание проверки файлов, добавить или удалить компоненты, а также обновить антивирусные базы и посмотреть централизованный отчет о работе компонентов. Отличительная особенности данной версии - в ее интеграции с Сетевым Центром Управления, который обеспечивает дистанционное управление антивирусной защитой рабочей станции.

Пакет может поставляться вместе с Сетевым Центром Управления, который позволяет управлять работой программ из пакета AVP Platinum по локальной сети.

Пользователи AVP Platinum обеспечиваются круглосуточной поддержкой по телефону и электронной почте на русском и английском языках.

“Лаборатория Касперского” рекомендует использовать антивирусный пакет AVP Platinum предприятиям и организациям, имеющим локальные сети.

AVP для Windows NT Server предназначен для защиты файловых серверов, работающих под управлением ОС Windows NT Server. В состав системы входят:

AVP Monitor;
AVP Scanner;
AVP Центр Управления.

AVP Monitor — это программа, которая после загрузки компьютера загружается в память и в течение сеанса работы проверяет открываемые (то есть читаемые, исполняемые и т.п.) документы (в том числе и сетевые). В программе предусмотрена возможность настройки списка проверяемых объектов и реакции на зараженные файлы. При этом основное отличие заключается в контроле за доступом к файлам из любого места локальной сети и Интернета.

AVP для Novell Netware — это антивирусный пакет, обеспечивающий высокий уровень защиты корпоративным сетям, работающим под управлением Novell Netware. Продукт выполнен в виде загрузочного модуля NetWare. Он использует хорошо зарекомендовавшее себя под Windows 32-разрядное ядро AVP. Пакет оснащен возможностью автоматической инсталляции, для чего используется графический инсталлятор для Windows, который сразу производит установку в NDS. Продукт абсолютно не имеет интерфейса, поэтому администрирование проводится через NDS с консоли администратора. Огромным удобством является использование NWAdmin для управления антивирусным пакетом. Поддерживается обновление через Интернет, а также оповещение администратора стандартными средствами NetWare об опасных событиях (например, заражение вирусом) на сервере.

Пользователи AVP для Novell Netware обеспечиваются круглосуточной поддержкой по телефону и электронной почте на русском и английском языках.

AVP Inspector — это программа-ревизор дисков, разработанная для ОС Windows 95/98/NT Workstation. Она регистрирует изменения в структуре файлов, директорий и секторов дисков, которые могут нести отрицательные последствия, с целью последующего восстановления модифицированных объектов. Таким образом обеспечивается устойчивая защита от различных вредоносных изменений, а не только тех, которые вызваны вирусной атакой.

Эта программа может использоваться как дополнение к AVP Scanner, так как после проверки дисков на наличие изменений AVP Inspector может передать на проверку программе-сканеру только новые и измененные файлы.

Кроме того, AVP Inspector следит за изменением состояния оперативной памяти и количеством установленных винчестеров.

AVP Web Inspector — это дополнительная утилита для контроля за любыми несанкционированными изменениями на Web-сервере. Эта утилита регистрирует изменения в структуре данных на Web-сервере, которые могут нести отрицательные последствия, с целью последующего восстановления модифицированных объектов. К особенностям данной утилиты можно отнести:

возможность передачи отчета по электронной почте;
расширенные возможности редактирования области проверки;
специфические возможности для проверки данных на Web-серверах (например, проверка файлов с расширениями.cgi и.asp и т.п.)

Данный продукт рекомендуется компанией как надежный инструмент защиты Web-серверов.

AVP для OS/2 — это антивирусный пакет для операционной системы OS/2 Warp/Merlin. В состав пакета входят следующие компоненты:

AVP Monitor;
AVP Scanner с графическим интерфейсом;
AVP Scanner Lite для запуска из командной строки.

AVP Scanner с графическим интерфейсом — это приложение, предназначенное для проверки файлов по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

AVP Scanner Lite для запуска из командной строки по своим функциональным возможностям эквивалентен программе-сканеру с графическим интерфейсом. Отсутствие графического интерфейса делает программу удобной для использования в пакетных файлах.

AVP для Linux — это пакет антивирусных программ для ОС Linux. Пакет включает в себя следующие компоненты:

AVP Scanner — это приложение, предназначенное для проверки файлов на локальном компьютере по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

AVP Daemon — это приложение, которое позволяет другим программам управлять процессом проверки на наличие вируса. Будучи загруженным в память, AVP Daemon проверяет объекты в соответствии со своими настройками, а затем остается в памяти. Далее любая клиентская программа может создать с ним соединение, послать Daemon параметры командной строки с целью проверки соответствующих объектов, а далее считать результаты тестирования. AVP Daemon имеет открытый программный интерфейс (API).

AVP Monitor — это приложение, которое постоянно находится в памяти и тестирует открываемые (то есть читаемые, исполняемые и т.п.) документы на локальном компьютере. Программа снабжена стандартными настройками, которые обеспечивают наилучшую безопасность Вашего компьютера. AVP Monitor является программой-клиентом для AVP Daemon. Для установки этого компонента необходимо заменить ряд файлов ядра Linux.

AVP для Microsoft Exchange Server — это средство антивирусной защиты для Microsoft Exchange Server. Эта программа позволяет обнаруживать и удалять вирусы из электронной почты, таким образом обеспечивая эффективную защиту получателей на сервере Microsoft Exchange, работающих под управлением Microsoft Windows NT Server. К особенностям данного продукта можно отнести:

полный контроль над внутренней и внешней почтой;
возможность персональной настройки программы для каждого почтового ящика/группы Exchange;
возможность пересылки зараженных и подозрительных сообщений на адрес администратора;
расширенные функции проверки (например, проверка сообщений, присоединенных файлов, архивов, вложенных архивов, а также файлов почтовых форматов и т.п.);
совместимость с настройками пользовательского интерфейса Microsoft Exchange.

Михаил Калиниченко,
Технический директор
Kaspersky Lab

Избегайте роутеров от интернет-провайдера

Измените пароль доступа

Казалось бы, банальное правило: купил в магазине роутер, распаковал, вошёл в систему управления, сразу замени пароль доступа на куда более сложный. Но большинство так радуется работающему Wi-Fi, что забывает об этом напрочь. Напомним ещё раз: сразу же после ввода стандартной комбинации, даже ещё не приступая к настройке, сразу замена пароля и перегрузка.

Ограничьте доступ

Когда вы подключите все домашние устройства к одной сети, зафиксируйте IP или MAC-адреса в памяти. Идеально, если прямо в настройках вы пропишете невозможность доступа устройств с другим адресом. Но дабы не оставлять без Wi-Fi своих гостей, можно пойти на небольшие хитрости, зависящие от модели роутера. Например, ограничить время сессии одного свободного слота доступа. Или включить экран дополнительной верификации.

Аккуратно работайте с интерфейсом

Старайтесь не залезать в настройки роутера без особой надобности. Ваш компьютер или телефон могут быть заражены вирусом, так что совсем ни к чему, чтобы последствия этого добрались до всей домашней сети. И даже в моменты редких визитов, не забывайте об элементарных правилах безопасности: короткие сессии и обязательный выход из системы по окончанию.

Измените LAN-IP адрес

Такая возможность далеко не всегда заложена, но, если настройки роутера позволяют сменить его адрес в сети (например, 192.168.0.1) – обязательно воспользуйтесь. Если же такой возможности нет, то хотя бы измените имя вашей Wi-Fi сети на то, где не содержится марка и модель роутера (так, DIR-300NRU - очень плохой вариант).

Создайте надёжный пароль Wi-Fi

Установите надёжный протокол

Если вы ничего не понимаете, что означают эти непонятные буквы в выборе протокола безопасности, то просто выбирайте WPA2. Такие протоколы WPA и WEP устарели, и их использование от более-менее настырного взломщика уже не защитит.

Отключите WPS

WPS (Wi-Fi Protected Setup) – функция быстрой настройки Wi-Fi подключения, благодаря которой иногда достаточно просто зажать две кнопки на роутере и адаптере. В более сложном варианте придётся ввести написанный на бумажке ПИН-код. Доподлинно известно, что WPS – не самая надёжная вещь на свете, что инструкции по её взлому без проблем можно найти в интернете. Поэтому не искушайте судьбу и просто настройте всё руками через проводное соединение.

Периодически обновляйте прошивку

Патчи и обновления для роутера – абсолютно точно не то, о чём вы думаете, устраиваясь поудобнее с чашкой кофе с утра за компьютером. Даже если на вашем устройстве есть функция автообновления, совсем не лишним будет хотя бы раз в пару месяцев заходить на сайт производителя и проверять актуальность прошивки вашей модели. Зачастую обновления просто не приходят из-за изменения адреса сервера или проблем с доступом, что тем не менее не должно ставить вашу сеть под угрозу.

Не включайте ненужные услуги

Когда вы начинаете копаться в настройках роутера и натыкаетесь на сервисы, назначение которых у вас вызывает сомнение, возможно от них лучше отказаться. Так, например, Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell), и HNAP (Home Network Administration Protocol) представляют серьёзную угрозу безопасности. Во всех остальных случаях лучше потратить немного времени на изучение непонятных аббревиатур, чем просто выставлять галочки без понимания.

На этом с базовыми правилами закончим, в следующий раз — чуть более сложные советы для тех, кому действительно есть что терять в домашней сети.

А на вашу домашнюю сеть когда-нибудь нападали?

Избегайте роутеров от интернет-провайдера

Измените пароль доступа

Ограничьте доступ

Аккуратно работайте с интерфейсом

Измените LAN-IP адрес

Создайте надёжный пароль Wi-Fi

Установите надёжный протокол

Отключите WPS

Периодически обновляйте прошивку

Не включайте ненужные услуги

А на вашу домашнюю сеть когда-нибудь нападали?

Список форумов‹Дополнительно‹Другие вопросы

Написав интересную тему - получите приглашение
FAQ
Вход

[Делимся опытом] Как защитить локальную сеть компании от вирусов

Как защитить локальную сеть компании от вирусов

Преамбула:
Как правило, в компьютерных сетях компаний на компьютеры ставят те же антивирусы, что и на обычных компьютерах. Если компьютеров несколько, то это не вызывает серьезных проблем. Но если количество компьютеров начинает превышать 5-10-20 компьютеров и уже нужно тратить значительное количество времени, чтобы на каждом компьютере следить за состоянием защиты. Установлен антивирус? Работает ли он? Не закончилась ли лицензия? Какие вирусы на тех или иных компьютерах? Может пользователи случайно отключили антивирус полностью или поставили другой?

Антивирусная защита начинать отнимать много времени на его поддержание. В результате за состоянием защиты перестают следить и этим начинают пользоваться вирусы.

Что придумано, чтобы защититься от таких проблем?
Компании имеющие в своей сети большое количество компьютеров (больше 5, 10, 20 и т.д.) могут приобрести и установить специальные версии антивирусов, которые имеют рационализированное управление. Таким образом, администратор сети со своего компьютера, не вставая следить за состоянием защиты всех компьютеров. Удалено установить антивирус, обновить его, проверить состояние защиты, его настройки, когда заканчивается лицензия на антивирусы.

Таким образом, экономится время на поддержание защиты. Вот одно из этих специальных средств я и решил использовать в своей компании.

Амбула:
Позвонил в компьютерный центр и узнал что можно приобрести Kaspersky OpenSpace Security по цене 4-4,5 тыс. тенге за лицензию на один ПК. Решил построить антивирусную сеть на 10 компов, за которыми и сидят бухгалтера вечно таскающие флешки с фотками и вирусами из дома.
На сервер решил не ставить антивирус, чтобы не снижать производительности, да и к нему кроме меня никто не имеет доступа, так что там вирус не пройдет.
Закупил. Установил. В комплекте поставки шёл инструмент Kaspersky Administration Kit - Консоль управления сервером администрирования.

С помощью Kaspersky Administration Kit можно управлять и следить за состоянием защиты всей сети и каждого компьютера.

Сервер администрирования соответственно был установлен на центральный сервер. Рассказывать о том ка всё это я устанавливал - не буду, в комплекте идет прекрасная документация на русском языке, довольно подробно описывающая все шаги установки. Я хочу рассказать о настройках сервера. Итак.
После установки Kaspersky Administration Kit, запустил консоль управления, добавил лицензию полученную у поставщика в виде файла.

Далее приступим к политике защиты. В терминологии Kaspersky Administration Kit это единые правила, по которым все компьютеры с этой политикой будут иметь одинаковые настройки.

Создаем основную политику, в которой прописал запрет клиентам изменения настроек (чтобы какой-нибудь пользователь, без моего ведома не отключил какие-то настройки на компьютере), добавил в список исключений базы 1С и чат (базы 1С добавил, чтобы работа антивируса не влияла на работу программ 1С).

Это существенно снизило затраты на проверку сетевого трафика антивирусом, а значит увеличение производительности работы бухгалтеров с 1С.
В компоненте "Обновление" указал что брать обновления антивирусных баз не из интернета, а из локальной папки, кроме своего(администраторского) компа. На моем компьютере, антивирус лезет в интернет, качает базы, и сохраняет их на сервере, откуда клиенты их разбирают. Т.е. теперь не каждый компьютер отдельно идет за обновлением в Интернет, а один компьютер берет новые базы с Интернета, а остальные с него.

Затем создал две групповые задачи (это процедуры, которые будут автоматически запускаться на каждом компьютере по расписанию):
1. Проверка критических областей - при запуске каждого компьютера в сети антивирус проверяет наличие вирусов в областях автозагрузки программ.
2. Чистка мусора (об этом чуть подробнее чуть ниже)

Я не стал создавать задачи на полные проверки жёстких дисков. Считаю это излишней потерей времени и эффект от этого действия довольно мал. Достаточно проверки запущенных процессов и критический областей, так как практические все вирусы загружаются вместе с системой и располагаются именно там. Существуют еще вирусы не имеющие своего тела на жестком диске или в реестре. Это так называемые стелс-вирусы, живущие в оперативной памяти и существующие до отключения компьютера.
Один из представителей этого семейства - Code Red. Ну это так. к слову.

Вернёмся к нашим баранам. К пункту номер два. Что же это за чистка мусора такая? Я же кажется говорил, что я слишком толст и ленив, чтобы бегать и чистить клиентские машины. Поковырявшись в потрохах этого инструмента (сервера администрирования) я увидел в нем одну прелестную штуку. А именно - "Удаленная установка".

Это средство установки ЛЮБЫХ программ на ПК средствами WMI. Однако я решил использовать сие немного по другому.
Создал обыкновенный пакетный файл такого содержания:

Code: Выделить всё
ECHO OFF
IF EXIST "C:\Documents and Settings\User\Local Settings\Temp" GOTO Act
GOTO END

:Act
rd "C:\Documents and Settings\User\Local Settings\Temp" /S /Q
md "C:\Documents and Settings\User\Local Settings\Temp"
GOTO END

Читайте также: