Централизованное управление системой антивирусной защиты

Современные системы антивирусной защиты представляют собой достаточно сложные и динамичные программные комплексы. Одно только это определение уже говорит о том, что сегодня управление такими системами — само по себе непростая задача, требующая все больше усилий от ИТ-персонала. Магистральный путь решения проблемы — централизованное управление с максимальной автоматизацией вспомогательных операций. При этом для заказчика возможны несколько подходов.

Можно использовать для установки и обновления антивирусных продуктов универсальные средства, например, Microsoft Systems Management Server. В этом случае обновления размещаются на выделенном сетевом ресурсе, доступ к которому имеют все клиенты в сети. Тогда проблема, скажем, уведомлений администратора о ходе эксплуатации ПО будет напрямую зависеть от возможностей антивируса, устанавливаемого на рабочих станциях. О централизованной отчетности также с высокой вероятностью придется забыть.

Можно пойти по другому пути и использовать средство централизованного управления, предоставляемое непосредственно производителем антивирусного ПО. Это существенно сократит трудозатраты на внедрение и обслуживание системы антивирусной защиты в рамках сети и позволит легко разграничить права и обязанности между разными сотрудниками — одни обслуживают сеть, другие занимаются антивирусной защитой. Пример реализации такого подхода — пакет ПО для управления антивирусной защитой Kaspersky Administration Kit от «Лаборатории Касперского» (www.kaspersky.ru).

Для того чтобы подобные средства управления действительно облегчали жизнь администраторам антивирусной безопасности, они должны удовлетворять всем требованиям конкретной сети. Применительно к продукту массового потребления это означает обладать определенным набором функционала и быть достаточно универсальными и гибкими. Вот как это реализуется в Kaspersky Administration Kit.

Жизненный цикл системы защиты можно разделить на три больших этапа: проектирование, внедрение и сопровождение. Соответственно задачи и методы их решения удобнее описывать применительно к конкретному этапу.

На этапе проектирования определяется, как будет выглядеть логическая сеть: где расположен «Сервер администрирования» (или серверы), как компьютеры будут распределены в группы администрирования, каковы будут настройки для этих групп и т. д. Основные вопросы этого этапа: наполнение групп, обнаружение новых компьютеров, настройка клиентских антивирусов.

Мастер первоначальной настройки Kaspersky Administration Kit способен самостоятельно создать структуру логической сети: все компьютеры, обнаруженные «Сервером администрирования», будут автоматически помещены в группу администрирования с именем, эквивалентным имени рабочей группы или домена Windows. Кроме того, клиенты могут автоматически распределяться в группы администрирования на основании принадлежности к организационному подразделению Active Directory либо к одной из IP-подсетей, создаваемых автоматически или же администратором. Kaspersky Administration Kit позволяет не только автоматически обнаруживать новые компьютеры в сети, но и переносить их в группы администрирования согласно заданным критериям и автоматически же устанавливать на них необходимое ПО.

Параметры в политике могут быть обязательными и необязательными. Сделав какой-либо параметр обязательным, администратор лишает пользователя возможности изменить его локально, а также добивается единообразия настроек клиентских компьютеров в группе — все обязательные параметры применяются на всех клиентах, подпадающих под действие политики. Предотвратить вредную активность пользователей позволяют и такие способы, как пароль на изменение настроек и остановку клиентского антивируса, сокрытие значка антивируса в системной панели, пароль на удаление антивируса.

На этапе внедрения на каждой рабочей станции должны быть установлены два компонента: «Антивирус Касперского» и «Агент администрирования», отвечающий за передачу информации между «Антивирусом» и «Сервером администрирования». Отметим, что ситуация, когда антивирус устанавливается в чистую сеть (не содержащую других антивирусных средств), встречается редко. Администратор может создать отчет об обнаруженных в сети конфликтующих приложениях и даже деинсталлировать эти приложения при помощи специальной задачи Kaspersky Administration Kit. Для удаленной установки кроме традиционных средств RPC и сценариев запуска Kaspersky Administration Kit добавлена еще одна возможность — устанавливать систему с помощью средств «Агента администрирования».

Этап сопровождения начинается с момента сдачи системы в эксплуатацию. Тем самым подразумевается, что логическая сеть уже создана, компьютеры распределены по группам, для клиентов заданы необходимые настройки, а на сами клиенты установлены «Агенты администрирования» и «Антивирус Касперского», разработаны схемы управления, обновления и т. д.

К регулярным действиям администратора по сопровождению системы относятся поддержание актуальности антивирусных баз в логической сети, отслеживание всех произошедших вирусных инцидентов, отслеживание режимов функционирования «Антивируса Касперского», поддержание актуальности состава логической сети, периодическое резервирования данных «Сервера администрирования», а также подготовка и подача сводных отчетов о состоянии логической сети. Нерегулярные действия — это обновление версий «Антивируса» и «Агента администрирования», восстановление систем после сбоя, удаление или добавление новых компьютеров в логическую сеть и т. п. Все перечисленные операции легко выполняются системой Kaspersky Administration Kit при помощи событий, уведомлений о событиях, сводных отчетов, наконец, путем просмотра состава логической сети в «Консоли администрирования».

Kaspersky Administration Kit позволяет обнаруживать зараженные компьютеры или компьютеры с устаревшими антивирусными базами при помощи выборок компьютеров и создавать задачу для клиентов из выборки. Он также обеспечивает регистрацию вирусной атаки, что помогает отследить начало эпидемии в сети и принять меры по борьбе с ней на основе групповой политики.