`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Symantec Endpoint Protection 11: комплексная защита

Статья опубликована в №42 (610) от 6 ноября

+13
голоса

Хотя новый продукт Symantec для централизованного обеспечения безопасности на рабочих местах фактически продолжает линейку Client Security, он представляет собой не простое обновление и не случайно в процессе разработки даже носил специальное кодовое имя – Гамлет. Но прежде всего нужно сказать, что он следует стратегии Security 2.0, объявленной компанией около года назад, и в связи с этим претерпел целый ряд архитектурных и технологических изменений.

Symantec Endpoint Protection 11 комплексная защита

Именно в духе Security 2.0 новый Symantec Endpoint Protection (SEP) 11 теперь реализует многоуровневую комбинированную защиту, в том числе и проактивную, основанную на использовании поведенческих (эвристических) анализаторов. Фактически клиентская часть SEP состоит из нескольких модулей – антивируса, антишпиона, персонального брандмауэра со средствами предотвращения вторжений и пр., однако они тесно интегрированы между собой и фактически представлены единой программой, которая, несмотря на это, получилась весьма компактной и занимает в оперативной памяти компьютера (в состоянии покоя) всего 24 МБ.

Тесное взаимодействие компонентов совершенно необходимо в свете поставленной задачи, особенно для обеспечения проактивной защиты, поскольку современное вредоносное ПО все чаще нацеливается не на нанесение мгновенного ущерба ПК или его владельцу, а на длительную тайную работу по сбору информации или в качестве составной части бот-сети. Соответственно, оно всеми силами прячется от традиционных сканеров, а симптомы его присутствия могут быть самыми разнообразными.

Разработчики немало потрудились для того, чтобы объединить в своем продукте все доступные технологии. И их усилия тем более заслуживают похвалы, поскольку многие из этих технологий созданы разными компаниями, приобретенными Symantec в последнее время. К примеру, сетевой блок (брандмауэр и предотвращение вторжений) основывается на решениях Sygate, а эвристический анализатор – Whole Security. Проактивные механизмы также умеют выявлять руткиты и другое подобное ПО, для чего используется Veritas Mapping Service, обеспечивающая низкоуровневое считывание информации с жесткого диска.

Symantec Endpoint Protection 11 комплексная защита
Администратор SEP 11 может следить за обстановкой и в своей сети, и во всем мире

Важное отличие SEP 11 от многих аналогичных решений – средства контроля за использованием периферийных устройств и работой приложений. Данная функциональность предназначена для централизованного применения и потому не отражена в интерфейсе клиентской программы. Для ее активизации администратор в своей консоли должен настроить соответствующие политики, после чего они вступят в действие на рабочих местах. Список поддерживаемого оборудования весьма широк, в него включены практически все накопители и интерфейсы, посредством которых можно осуществлять перенос файлов, в том числе USB, Bluetooth, IrDA.

Контроль за приложениями также довольно сильно отличается, скажем, от встроенных в Windows механизмов на основе групповых политик. По умолчанию в нем определены всего несколько правил, к примеру запрещающих запуск ПО со съемных носителей или сетевых ресурсов, однако с помощью специального мастера можно создать дополнительные, указав имя процесса и сформировав список ограничений (на доступ к папкам, ключам реестра, библиотекам и исполняемым файлам, пр.).

Кстати, упоминавшаяся выше административная консоль также претерпела существенные изменения. Она устанавливается вместе с серверным компонентом (на любой современной Windows-платформе), для своей работы требует Internet Information Server (IIS) и, по сути, является единственным инструментом, необходимым для выполнения любых задач настройки системы и мониторинга происходящего в ней. Возможно, архитектурно это и не самый лучший вариант (к примеру, Microsoft отказалась от веб-технологий в последней версии WSUS), однако проверенный и достаточно надежный.

Symantec Endpoint Protection 11 комплексная защита
Клиентская программа объединяет в себе все защитные механизмы, в том числе и те, что не отражены в ее интерфейсе. Кстати, на момент написания обзора SEP 11 уже был локализован на русский язык

Управление клиентскими машинами выполняется на основе политик, которые предоставляются для всех компонентов. В них можно изменять любые параметры, доступные через стандартный интерфейс, а также определять возможность их корректировки самими пользователями. Кроме того, таким же образом описываются централизованные исключения и правила функционирования системы обновлений LiveUpdate. Для последней, кстати, по-прежнему предоставляется LiveUpdate Administrator, с помощью которого можно развертывать локальные LiveUpdate-серверы (по аналогии с WSUS) для применения в разветвленной корпоративной инфраструктуре – данный компонент также основывается на веб-технологиях, требует наличия IIS и Java-машины, а для своих целей дополнительно задействует Tomcat и PostgreSQL в минимальных конфигурациях. Поэтому во многих случаях лучше обходиться без такого довольно тяжеловесного решения, к примеру за счет использования так называемых Group Update Providers, в роли которых могут выступать обычные клиентские машины. Впрочем, все подобные тонкости весьма подробно описаны в руководстве администратора объемом, ни много ни мало, 700 страниц.

Завершая описание консоли SEP 11, следует отметить, что она взаимодействует с Active Directory, поддерживает ролевое распределение полномочий администраторов, а также позволяет расширять список объектов, используемых в различных политиках и правилах, в том числе аппаратных устройств, сетевых служб, файлов, которые определяются соответствующими характеристиками (системными GUID, протоколами и портами, контрольными суммами). Кроме того, она обеспечивает развитые средства как оперативного контроля, так и построения отчетов. А домашняя страница являет собой нечто вроде приборной доски, дающей представление об обстановке не только внутри системы, но и во всем мире – за счет информации от глобальной службы Symantec. Таким образом, пожалуй, единственное существенное нарекание к инструментам администрирования SEP 11 – отсутствие возможности оперативного переключения клиентского ПО из неуправляемого в управляемый режим и обратно.

Сама Symantec позиционирует SEP 11 на компании от SMB и выше. Для корпораций в составе решения имеется ряд дополнительных компонентов вроде уже упоминавшегося LiveUpdate Administrator или централизованного «карантинного» сервера. Более важно, однако, что SEP 11 фактически включает еще один продукт – Network Access Protection (NAP) 11, хотя лицензию на него необходимо приобретать отдельно. Его назначение – защита локальной сети от подключения компьютеров, не соответствующих внутренним правилам безопасности. Последние могут подразумевать наличие антивируса и персонального брандмауэра (не обязательно производства Symantec), актуальных баз вирусных сигнатур, критичных «заплаток» к ОС и пр. При обнаружении несоответствия в подключении может быть отказано, либо автоматически выполнены необходимые обновления. Основывается данный механизм на все тех же политиках (Host Integrity Policy) и опциональных программных компонентах, которые называются Enforcers и предназначены для развертывания в точках входа в сеть (к примеру, «между» VPN-сервером и сетью или «перед» DHCP-сервером). Кроме того, допускается интеграция NAP 11 с аппаратными и программными решениями аналогичного назначения от Cisco, Microsoft и пр.

+13
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT