Вирусы и тонкие клиенты

Несколько лет назад директор фирмы (торговавшей компьютерным хламом и немножко занимавшейся серверами), где я работал системным администратором, загорелся идеей делать и продавать тонкие клиенты. После некоторого количества не очень удачных попыток полного аутсорса разработки, меня привлекли к процессу, как человека, знающего зачем это и как его едят (я не занимался разработкой ПО, я ругался с халтурящими разработчиками и по мере возможности консультировал по.тому, что нужно, а что нет в ТК).

Два года я занимался тонкими клиентами. Сейчас я ухожу в другое место, а пока напишу то, что я знаю о тонких клиентах. Как со стороны пользователя, так и создателя.

Начнём с теории, точнее, с того, зачем тонкие клиенты и с чем их едят. Перед этим нам придётся понять, зачем все эти танцы с удалёнными рабочими столами, местами, VDI, облаками, кластерами и фермами приложений и т.д. и т.п.

Обычный десктоп (кстати, совсем не важно, Mac, Windows или Linux) обладает всеми возможными средствами испортить жизнь системному администратору, начальнику отдела безопасности (если таковой есть) или даже гендиректору.

Данные и приложения хранятся в коробке под столом, где много пыли, где в него тыкают всякой ерундой, вроде флешек. Внутри коробки обычно комплектующие… средней степени надёжности, которые от тыкания флешки могут и помереть. Не говоря уже про прочее: пыль, грязь и т.д. Эти данные уязвимы по отношению к постороннему ПО, посторонним людям.

Ставить надёжные комплектующие в пользовательский компьютер? Рейд, ежедневный бэкап? Это тупиковый путь (хотя, да, RAID1 в компьютере у главбуха может быть не такой уж плохой идеей, особенно в марте каждого года — когда приближается дедлайн сдачи готовых налоговых деклараций).

Очевидным решением был вынос данных за пределы компьютера. Есть три принципиально разных метода выноса: либо приложение знает, что данные лежат на сервере и работает с ним само (например, так работает любое SQL-based приложение, все веб-приложения), когда данные лежат на сервере, но имитируется их локальное наличие (сетевые шары) и когда происходит синхронизация данных, хранимых локально, и удалённых (roaming profiles). Каждый из методов имеет свои плюсы и минусы.

Сетевые шары интереснее, но у них есть масса ограничений по производительности. Если некая программа (например, почтовый клиент) решит переиндексировать 16Гб архив почты у нескольких человек, то любая вменяемая по цене железка заткнётся. А ведь пользователя не волнует что происходит _там_. Его волнует, что у него тормозит _тут_. И чем больше пользователей, тем острее становится проблема производительности.

Перемещаемые профили (windows) имеют так же существенный минус: долгая загрузка профиля (те самые 16 поменявшихся гигабайт) каждое утро и каждый вечер. Плюс, локальная копия, которая таки может быть интересна вломившимся в офис вооружённым банд-формированиям экономической направленности.

И, главное, ни один из этих методов не решает проблему с приложениями. Приложения могут быть невероятной степени капризности (я как-то имел дело с особой программой по распечатыванию специфичных документов какой-то программы по заполнению таможенных деклараций, которая переставала работать, если раскладкой по-умолчанию был не русский язык). Помимо взбрыков программистов, может быть и объективно сложное по настройке приложение, которое требует несколько часов до приведения его в рабочее состояние.

Всё это приводит к мысли, а почему бы нам приложения не вынести туда же, куда и данные — на сервера? А из рабочего места сделать плоскую и примитивную доску с кнопками, способную только показывать то, что нарисовали программы на сервере.

Так красиво эта идея выглядела в середине 1990ых, когда только-только начинали набирать популярность терминальные решения (более от цитрикса, но постепенно и от майкрософт). На самом деле, проблем там много, и решением их занимаются до сих пор… Впрочем, топик о тонких клиентах.

На рынке много производителей тонких клиентов (слишком много, как кажется с позиции одного из производителей), но по большому счёту, все тонкие клиенты, от монстров уровня HP до локальных небольших производителей (в одном из которых я и работал) более менее похожи в своей основе.

Ещё одним серьёзным изменением стало появление встроенных SIP/Skype клиентов, попытки (пока не очень успешные) сделать хорошую мультимедиа (в частности, видео).

С точки зрения загрузки, ТК делятся на два класса: с локальной и с сетевой загрузкой. По понятным причинам, сетевая загрузка преимущественно у линукса, т.к. грузить гиг по сети ради windows никому не хочется, а про PXE для CE я не слышал (хотя интересно, т.к. средний размер установленной CE — 15-30Мб).

Плюс сетевой загрузки в некотором снижении цены (на цену DOM'а, т.е. 10-30 долларов), в автоматической загрузке самой свежей версии. Минусы — утренние лаги, особая возня с DHCP, и проистекающая из неё неприменимость таких тонких клиентов в малых филиалах (где весь интернет делается SOHO-коробочкой, возможно, по wifi).

Куда более важным (чем режим загрузки) для ТК является наличие управления.

Управление может быть:

1. локальным (подошёл к ТК, нажал F2, оказался в конфигураторе).
2. удалённым (подключился к ТК, настроил, отключился)
3. централизованным (выбрал группу ТК, задал настройки, дальше оно всё само).

Первое является стандартом де-факто для ТК с локальной загрузкой, но часто может отсутствовать у PXE-тонких клиентов (т.к. они грузятся с сервера, от оттуда же и берут настройки).

Второе и третье для клиентов с локальной загрузкой — фича. Т.е. она есть совсем не у всех производителей. Отдельно нужно говорить про централизованное управление. Это много более сложная вещь, чем кажется на первый взгляд, так как дело не в том, чтобы задать всем ТК одинаковые настройки, а в том, чтобы иметь возможность указать, какие настройки одинаковы, а какие нет (например, настройки железа у всех разные, настройки сессий могут отличаться от группы к группе).

Большинство производителей работают в очень закрытом режиме (т.е. не публикуют ничего, хотя и потребляют очень много от open source community). Единственное исключение, которое я знаю, это openthinclient.org, довольно симпатичный и навороченный PXE-based тонкий клиент с централизованным управлением. Его минусом является размер — около 150 мегабайт грузится по сети для каждого тонкого клиента.

(продолжение про то, как тонкие клиенты делаются, следует).

Вы задавались вопросом: зачем компьютеры вашим сотрудникам?

Как показывает практика, компьютер нужен для работы в 1С (или любой другой бухгалтерской программе), в текстовом редакторе и таблицах, с почтой,
готовить отчёты и презентации, печатать документы, смотреть видео (в рабочее время желательно не ролики с ютюба :)

Надо заметить, что при этом мощности обычного офисного компьютера в среднем используются максимум на 15%,
а потребляет один такой компьютер минимум 200 Вт электроэнергии. Даже когда ничего не делает :(

А если таких компьютеров 10 штук - это уже 2 КВт в час! А вирусы. А программное обеспечение купить на каждый компьютер.

А если неожиданно и в самый ответственный момент (других не бывает :) сломается жесткий диск, а информация как всегда никуда не резервировалась?!
А ведь ещё и сотрудники могут информацию конфиденциальную скачать с компьютера или поделиться (очень плохо!) с конкурентом.

Теперь эти же задачи можно решать гораздо комфортнее и безопаснее, при этом значительно экономя деньги, нервы и электроэнергию.

Тонкий клиент E1S® TER - современное решение для офисных рабочих мест >>>

Принципиальное и главное отличие тонкого клиента от обычного офисного компьютера, это то, что практически всю работу с программами выполняет терминальный сервер или виртуальная машина, а тонкий клиент, по сути, только показывает вам результаты работы.

Устройство отлично работает и в облачных средах, при этом пользователь ощущает свою работу как на полноценном компьютере.

Сейчас тонкий клиент E1S® TER можно купить по лучшей цене и с бесплатной доставкой по России >>>

Тонкий клиент E1S® TER очень маленький: его размер всего 63x33x93 мм и он легко умещается на ладони! Он абсолютно не шумит, потребляет 5 Вт (!)
и его можно закрепить на мониторе при помощи крепления VESA (входит в комплект). Хотя закрепить можно куда угодно - хоть под стол.

При этом ВСЯ информация хранится на сервере, а выход из строя жёсткого диска невозможен, его просто нет в тонком клиенте!
По этой же причине нет проблем с вирусами и сохранностью конфиденциальной информации.

Ещё одна полезная функция тонких клиентов E1S® TER – это их централизованное управление с сервера:
мониторинг, настройка, управление при помощи графического интерфейса, вплоть до удалённого выключения.

Основные характеристики и ключевые особенности тонкого клиента E1S ® TER

• 4-х ядерный 64-bit процессор ARM Cortex-A53 1.2GHz
• оперативная память 1GB
• 4хUSB 2.0 с избирательным ограничением доступа (например, запрет подключения носителей информации, при этом остальное оборудование будет работать)
• HDMI HD 1080, разрешение 1920х1080 пкс
• 3.5-мм аудио-вход для наушников или акустики
• сетевые интерфейсы Ethernet 100Mbit и Wi-Fi 802.11b
• для подключения к терминальному серверу рекомендуется использовать порт Ethernet
• возможно одновременное подключение до 4-х серверов (терминальных сессий)
• совместим с серверными операционными системами Альт Сервер, Astra Linux, Windows Server, RedHat Enterprise, CentOS, Ubuntu, SUSE, Fedora, MacOS, Multi-Platform
• работает со всеми известными терминальными серверами: RDP на Windows Server, Hyper-V VDI, xrdp на Linux, Mac Terminal Server и т.д.
• работает с USB ключами Рутокен и eToken
• программа централизованного управления тонкими клиентами (поставляется в комплекте) работает только под операционными системами семейства Windows Server

Тонкий клиент E1S ® подключается ко всем серверам, в том числе использующим российское программное обеспечение ROSA Linux, Ред ОС, GosLinux, Альт Сервер, Астра Линукс.

В тонких клиентах E1S ® используется программное обеспечение российской разработки WTware, включенное в
Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи России.

Вас интересует готовый программно-аппаратный комплекс российского производства?

Терминальный сервер E1S® + ОС Альт Сервер + тонкие клиенты E1S® TER с WTware - подходящее решение по программе импортозамещения!

Преимущества тонкого клиента E1S ® TER по сравнению с обычным офисным компьютером

• цена ниже в 2 раза
• экономия электричества минимум в 40 раз
• абсолютно бесшумен при работе
• отсутствует риск потери, разрушения или несанкционированного доступа к информации
• настраиваемый уровень доступа к каждому USB порту, в том числе запрет подключений устройств для чтения и записи информации
• администратору достаточно поддерживать работоспособность сервера, а обслуживание рабочих мест сводится к минимуму
• легко заменить рабочее место - все настройки и данные хранятся на сервере
• легко масштабировать, расширять сеть
• для того, чтобы обеспечить всем сотрудникам доступ к новому приложению, достаточно просто установить его только на сервер
• любой сотрудник может получить доступ к своим приложениям и файлам с любого тонкого клиента E1S® TER в сети
• экономия рабочего пространства, тонкий клиент крепится к монитору и не занимает дополнительного места

Сейчас тонкий клиент E1S® TER можно купить по лучшей цене и с бесплатной доставкой по России >>>

Возможно изготовление тонких клиентов E1S® TER любого другого цвета и с вашим логотипом

Архив номеров / 2010 / Выпуск №2 (2) / Создаем ИТ-структуру, устойчивую к вредоносному ПО. Часть 2

Создаем ИТ-структуру,
устойчивую к вредоносному ПО. Часть 2

Продолжаем разговор о создании структуры, которой не страшны вирусы, троянские программы и другие неприятные сюрпризы

Терминальные решения и тонкие клиенты

Продолжая тактику уменьшения числа объектов, подверженных заражению, нельзя пройти мимо такой изумительной возможности, как внедрение терминальных решений с применением тонких клиентов (см. рис. 1).

Рисунок 1. Внедрение терминальных решений и тонких клиентов

Основная идея данного решения состоит в том, что все программное обеспечение устанавливается и выполняется на терминальном сервере, к которому подключаются пользователи для выполнения своих задач. При этом на рабочие станции достаточно установить специальную программу или вообще обойтись без установки дополнительного ПО, например, организовав доступ посредством клиента, уже имеющегося в составе ОС, а то и просто через веб-браузер.

Поэтому аппаратное обеспечение рабочей станции особой роли не играет. В связи с этим стал популярен тип устройств, который представляет собой компьютер минимальной конфигурации, достаточной для запуска сильно урезанного варианта операционной системы с набором клиентских программ для доступа по разным протоколам к терминальным серверам. Такие устройства называют тонкими клиентами.

Тонкие клиенты выпускаются на базе различных платформ: MS Windows CE, MS Windows XPe, различные модификации Linux, а также собственные разработки компаний-производителей – вроде Wyse Thin OS.

В предыдущей части статьи я писал том, что non-Windows системы гораздо меньше подвержены влиянию вредоносного ПО. Поэтому имеет смысл провести миграцию части сервисов и служб с платформы на базе MS Windows на альтернативные варианты на базе UNIX. К сожалению, перевод рабочих станций на другую платформу вызывает довольно много трудностей, главная из которых – организация работы прикладного программного обеспечения. В отличие от непосредственной миграции рабочих станций на альтернативные платформы при использовании терминальных решений пользователь при подключении видит знакомый рабочий стол Windows, может запускать программы, необходимые для своей работы.

Следует сразу определить, какие приложения легко переносятся на терминальные системы, а какие по разным причинам стоит оставить на рабочих станциях пользователей.

Принцип организации терминального решения на базе тонких клиентов

• На центральный компьютер (терминальный сервер) устанавливается специализированное ПО, позволяющее пользователям подключаться удаленно, получать пользовательский интерфейс и выполнять программы непосредственно на этом сервере.
• На рабочем месте пользователя располагается небольшой компьютер с минимальной аппаратной и программной конфигурацией, позволяющей подключаться по специальному протоколу к терминальному серверу. При этом на самом устройстве может даже не быть операционной системы (в этом случае используется загрузка по сети) или использоваться некая аппаратная прошивка, позволяющая соединяться с терминальным сервером (например, WYSE S10 или WYSE V10).
• Справедливости ради стоит заметить, что роль тонкого клиента может выполнять любой компьютер, даже весьма устаревший, если на него установить соответствующее программное обеспечение. Например, openThinClient [1] или Thinstation [2]. Правда, в этом случае стоимость обслуживания остается довольно высокой, хотя и меньше, чем в случае с рабочей станцией на Windows-платформе.

Следует также отметить тот факт, что в случае с тонкими клиентами легче обосновать запрет на использование сменных носителей. Устройствами для чтения/записи CD/DVD они не оборудованы. Что касается USB-носителей: если администратор не разрешит их подключение в виде локальных клиентских носителей на терминальном сервере, то использовать их тоже не получится.

Дополнительные плюсы от внедрения подобных решений

• В отличие от системных блоков тонкие клиенты не нуждаются в модернизации. Купленные однажды, они могут служить пять-десять лет, все время оставаясь пригодными для использования в этом безумном цифровом мире.
• Значительно снижаются расходы на администрирование, приобретение и обновление программного обеспечения. Так как ПО устанавливается и обновляется только на серверах приложений, то сокращается стоимость лицензий, а также уменьшается стоимость администрирования.
• Потеря терминала не грозит утечкой информации. Это всего лишь потеря оборудования, а никак не данных или всей предыдущей работы.
• Большая безопасность. Уполномоченный сотрудник службы безопасности может посмотреть, чем занимаются сотрудники, лишить их права запуска определенных приложений, а так как обычно тонких клиентов не оборудуют ни съемными, ни жесткими дисками, значительно уменьшается вероятность хищения информации.

Какие тонкие клиенты стоит приобретать? Наиболее простой ответ: надежные и без Windows. Ведь наша основная идея – заменить капризные, нуждающиеся в защите системные блоки на безотказные, неуязвимые для вирусов тонкие клиенты. Если говорить о модельном ряде, мне приходилось работать с тонкими клиентами WYSE и HP.

Что же касается конфигурации терминальных серверов, здесь, как правило, присутствует ситуация с точностью до наоборот. Если терминальный доступ организуется с целью замены десктопов, то необходимо по возможности сохранить функционал программного обеспечения, который использовался в бизнес-процессах компании до начала миграции на терминальные решения и тонкие клиенты. Поэтому обычно на сервера устанавливается операционная система семейства Windows: MS Windows Server 2003 R2, MS Windows Server 2008 (R2), что позволяет организовать запуск большинства программ, использовавшихся ранее на рабочих станциях пользователей.

Программное обеспечение для организации сервера терминалов

Теперь рассмотрим ПО для нашего сервера терминалов.

MS Terminal Server

Поставляется совместно с операционной системой начиная от Windows 2000. Данный продукт не бесплатен, а требует дополнительного лицензирования. При помощи MS Terminal Server можно легко организовать доступ к стандартному рабочему столу Windows на удаленном сервере и удаленный запуск программы в отдельном окне, лишенном дополнительных возможностей интерфейса. MS Terminal Server использует Remote Desktop Protocol (RDP – шифрованный протокол, позволяющий не только получать вид рабочего стола, но и подключать локальные носители, принтеры, COM-порты и т.д. Все современные Windows операционные системы и тонкие клиенты содержат в себе программный модуль RDP для соединения с этим сервисом. Мало того, существует несколько подобных программ для операционных систем семейства UNIX: krdc для KDE, tsclient для GNOME, а также небезызвестный rdesktop, позволяющих использовать удаленный доступ с этих OS.

Terminal Server Plus

Несмотря на то что этот продукт во многом напоминает MS Terminal Server, он имеет ряд преимуществ, таких как собственную службу печати, свой метод публикации приложений и возможность работы через веб-консоль. Но главное преимущество – весьма невысокая цена: 25 долларов США за одну лицензию. Еще одно немаловажное преимущество: Terminal Server Plus можно установить на любую Windows совместимую систему, включая Windows XP и Windows Vista. И MS Terminal Server, и Citrix XenApp могут быть установлены только на серверную (OS Windows Server 2003 и выше). К сожалению, пока отсутствуют данные о дилерах, распространяющих данный продукт в России. Для получения более подробной информации имеет смысл посетить сайт проекта [4].

Немного о лицензировании терминальных подключений

Существуют три типа лицензий:

• Per seat (per device – на рабочее место) – требуется отдельная лицензия на каждое устройство (тонкий клиент или рабочую станцию), вне зависимости от количества пользователей. Такая схема используется при лицензировании MS Terminal Server.
• Per user (на пользователя) – требуется отдельная лицензия на каждого пользователя (независимо от количества одновременно работающих пользователей). Этот тип лицензий также используется MS Terminal Server.
• Per connection (конкурентная лицензия) – требует отдельную лицензию для каждого соединения, но число пользователей/рабочих мест не играет роли – важно число одновременно обслуживаемых пользователей. Такая система используется компанией Citrix Systems. При инсталляции продукта создается некий пул лицензий, из которого каждое новое соединение забирает одну лицензию. При завершении сессии лицензия возвращается.

Переход на терминальные решения и тонкие клиенты несет с собой не только несомненные плюсы, но и некоторые минусы. С одной стороны, мы значительно сократили количество заражаемых объектов в сети, сделав большую часть пользовательских рабочих мест неуязвимыми для вирусов. В то же время максимальная концентрация ресурсов на нескольких терминальных серверах делает эти самые сервера уязвимым местом, поражение которого может повлечь за собой выход из строя всей инфраструктуры. Нет сомнения в том, что один или несколько терминальных серверов гораздо легче защитить и вылечить от вирусов, чем целый парк рабочих станций (при том что во время лечения одних объектов другие могут заражаться по новой). В крайнем случае несколько серверов можно быстро восстановить из резервной копии. Понятно, что вернуть к жизни 100-200 рабочих станций будет гораздо сложнее. Но все-таки терминальные сервера нужно поберечь от заражения, потому что падение терминального сервера может привести к временному отключению пользователей или (если этот сервер единственный) даже к полной остановке работы. Ниже речь пойдет о том, как это лучше сделать и какие решения для этого существуют помимо стандартного (и не всегда надежного) способа в виде установки антивирусной программы.

Антивирусный шлюз с разделением по протоколам

В результате вышеописанных мероприятий наша сеть теперь разделяется на две группы: чистую (имеется в виду чистую от вирусов) и грязную. В чистой сети находятся тонкие клиенты, терминальные и остальные сервера. В грязной сети продолжают оставаться рабочие станции, которые не подлежат миграции на терминальный сервер, а также мобильные устройства – ноутбуки и т.п. Все наши усилия могут пойти прахом, если какой-нибудь пользователь принесет вирус на своем ноутбуке и заразит всю сеть, включая терминальные сервера. Конечно, в грязной сети (так же как и в чистой) работает корпоративный антивирус, но лучше все-таки не рисковать.

Чтобы оградить наши сервера от возможной угрозы, необходимо физически разделить между собой эти сети, организовав между ними безопасный обмен данными. Первое, что мы делаем, – это физически разбиваем сеть на две подсети, соединенные между собой маршрутизатором с функцией межсетевого экрана, позволяющим блокировать трафик по портам (см. рис. 2).

Рисунок 2. Антивирусный шлюз с разделением по протоколам

После этого разрешаем на межсетевом экране прохождение только терминального трафика по используемому нами протоколу (например, это RDP и ICA) и запрещаем все остальные популярные протоколы обмена файлами, такие как CIFS, FTP и т.д.

Теперь, когда пользователи из грязной сети могут подключаться к серверам в чистой сети только посредством терминального соединения, риск заражения становится минимальным. На компьютерах в грязной сети не забываем отключить возможность использования локальных носителей терминальных клиентов, иначе все наши усилия пройдут впустую.

Чтобы пользователи из грязной сети могли передавать информацию в чистую сеть, существуют два пути: корпоративная электронная почта с проверкой на вирусы на почтовом сервере и антивирусный шлюз с разделением по протоколам. Роль такого антивирусного шлюза может играть любой сервер, имеющий два сетевых интерфейса с установленной операционной системой семейства UNIX. Например, Linux openSUSE или FreeBSD. На него устанавливают программный пакет Samba и FTP-сервер – например, ProFTP.

Очень важный нюанс. Если используются тонкие клиенты на базе Windows-систем, то обновление встроенных операционных систем необходимо выполнять строго в чистой подсети. Иначе может возникнуть ситуация, когда при обновлении операционной системы в прошивку тонкого клиента попадает вирус, и если после этого будет включена защита от записи, то ни один антивирус вылечить ваше устройство уже не сможет. С этим нужно быть более осторожным.

Существует два способа организовать проверку:

Еще есть вариант просто купить антивирусный модуль для проверки Samba- и/или FTP-серверов. Как правило, большинство компаний-разработчиков антивирусного ПО предлагают такую возможность.

Остановимся на втором способе поподробнее. Каждому пользователю из грязной сети создаются два отдельных каталога на диске для входящих и исходящих файлов при FTP-доступе и два каталога для аналогичных общих ресурсов в Samba. После этого для грязной сети блокируем доступ к ресурсам Samba, и для чистой сети блокируем доступ к FTP-ресурсам на шлюзе. Сделать это можно либо прикладными средствами FTP и Samba, либо на встроенном брандмауэре, который есть практически на каждой операционной системе семейства UNIX. Так, по протоколам разделили, теперь нужно организовать проверку и перемещение.

Пишем скрипт, который время от времени проверял бы содержимое данных ресурсов на вирусы и перемещал файлы из одних ресурсов в другие. Файлы из входящей папки FTP после проверки перемещаются в исходящую на Samba и, наоборот, из входящей на Samba в исходящую на FTP. Необходимо организовать запуск данного скрипта из crontab через определенное время. Чтобы передать файл из грязной сети в чистую, пользователю достаточно скопировать файлы по FTP в свою входящую папку. Подождав примерно несколько минут (зависит от количества перемещаемых файлов), он может использовать эти файлы, уже проверенные на вирусы из общего ресурса на Samba в чистой сети, подключившись по терминальной сессии.

Плюсом такого решения является возможность создать такой вот импровизированный антивирусный шлюз, обладая начальными знаниями по UNIX-системам и элементарными навыками написания shell-скриптов. Примеры команд для проверки каталогов при помощи ClamAV можно посмотреть в [5]. Также к плюсам можно отнести отсутствие необходимости устанавливать дополнительные модули к пакетам, такие как mod_clamav и samba-vsan.

Избавляемся от пиратского ПО

Помимо проблем с законом использование пиратского программного обеспечения несет в себе еще одну угрозу: практически всегда присутствует вредоносное ПО. Будем реалистами – в нашем жестоком мире никогда ничего не делается просто так. Неужели кто-то всерьез полагает, что какой-то добрый дядечка или бескорыстный юноша будет создавать crack для взлома программы, писать программу генерации ключей (или напрямую выкладывать в сеть подборку регистрационных номеров) просто из любви к ближнему? Практически всегда пиратская копия программы или средство для ее взлома содержит троянчик, который делает разные интересные вещи. Например, отсылает содержимое адресной книги в спамерскую базу. Или выискивает скэшированные номера кредитных карточек и передает их куда следует. Или. Да мало ли каких пакостей можно ожидать после того, как самостоятельно, по доброй воле на компьютер была установлена программа весьма сомнительного происхождения.

Несколько рекомендаций, чтобы провести данный переход с наименьшими финансовыми и моральными потерями.

Для начала необходимо провести инвентаризацию ПО, чтобы установить, что действительно необходимо, а без чего можно обойтись. Имеет смысл более внимательно присмотреться к используемому программному обеспечению применительно к нуждам бизнеса. Например, в одной компании весь документооборот был построен на макросах MS Office. Регулярно какой-то из макросов сбоил, и пользователи бегали с жалобами в ИТ-отдел. Не проще ли в этом случае приобрести нормальную систему документооборота, а пользователям для мелких нужд вроде написания заявления на отпуск использовать OpenOffice.org или даже WordPad?

Используйте бесплатные аналоги платного ПО. Например, MS Office можно заменить на бесплатный вариант OpenOffice.org, Adobe PhotoShop – на GIMP и т.д.

Помимо ликвидации возможных источников распространения вредоносного ПО избавление от пиратского ПО, как правило, приводит к резкому сокращению количества программ, установленных на рабочих местах пользователей. А это, в свою очередь, уменьшает количество объектов заражения (в данном случае – исполняемых файлов, библиотек и т.д.), что ведет к уменьшению риска заражения.

В принципе, мы рассмотрели большинство методов снижения вирусной опасности для ИТ-структуры. Теперь настало время поговорить о возможности восстановления системы в случае, если наши меры по какой-то причине не возымели действия и вирус все таки пробрался в систему и причинил весьма ощутимые разрушения.

Что еще можно сделать? Виртуализация

Продолжая разговор о системах копирования с целью быстрого восстановления, нельзя не упомянуть такое замечательное средство, как виртуализация, то есть использование виртуальных машин вместо физических. По этой теме сказано и написано множество материалов, так что расписывать все прелести и некоторые недостатки в рамках статьи по антивирусной защите не имеет смысла. Но об одной детали упомянуть стоит. Это возможность делать быстрые резервные копии и снимки (snapshots) и быстро восстанавливать виртуальную машину. Особенно актуально это в компаниях, работающих в режиме 24/7. Вывести из работы критически важный для бизнеса сервер не всегда удается. Необходимо согласовывать downtime, на это уходит время, в течение которого вирус будет заражать другие системы. Но имеется возможность в изолированной среде восстановить резервной копии чистую версию той же виртуальной машины, после чего погасить зараженную виртуальную машину и вывести в сеть восстановленную. Как правило, это занимает гораздо меньше времени, чем разыскать всех ответственных менеджеров и согласовать с ними время недоступности сервиса.

Еще одно замечательное средство – виртуализация десктопов. Продукт Citrix XenDesktop позволяет при необходимости предоставить виртуальную рабочую станцию, только что сформированную из заранее подготовленного образа с сохранением всех пользовательских настроек.

Любой врач скажет, что болезнь лучше предотвратить, чем лечить. Профилактика заражений компьютерными вирусами как нельзя лучше подходит под этот постулат. Не просто установить антивирусную программу, а создать отказоустойчивую систему, не боящуюся заражения. При этом не стоит отказываться и от обычных средств борьбы с вредоносным ПО – надежным антивирусным программным обеспечением.