Symantec Client Security 2.0: в центре и на местах

29 июль, 2004 - 23:00Игорь Дериев
Корпоративные средства безопасности, как правило, ассоциируются у нас с серверными продуктами -- брандмауэрами, специальными антивирусами, основная задача которых состоит в защите "сетевого периметра". Если не считать централизованных систем распространения программных заплаток (вроде SUS), то клиентские машины нередко выпадают из этой схемы, корпоративная политика безопасности (наличие антивируса, порядок обновления и т. д.) затрагивает их только на этапе инициализации. Уследить же за последующими действиями пользователей не так-то просто, если, конечно, не обращаться к совершенно драконовским мерам.

Symantec Client Security 2.0 в центре и на местахДанная проблема не нова, и потому не случайно большинство компаний--разработчиков антивирусов выпускают и корпоративные продукты с "клиент-серверной" архитектурой, подразумевающей локальную установку ПО и централизованный контроль за ним. Однако многие инциденты последних лет убедительно доказывают, что для полноценной защиты одного антивируса недостаточно, как минимум, его стоит дополнить каким-нибудь сетевым "сторожем", а лучше -- полноценным персональным брандмауэром, контролирующим входящий и исходящий трафик. Для рынка потребительских продуктов это постепенно становится нормой жизни, корпоративный же сегмент более консервативен. Тем не менее и здесь происходят определенные сдвиги.

Symantec, по-видимому, одной из первых пришла к мысли о том, что корпоративная защита должна быть не менее комплексной, чем индивидуальная, в результате чего и появился пакет Symantec Client Security (SCS) -- благо компания имеет в своем арсенале все необходимые, причем достигшие определенной зрелости, технологии. Сегодня мы хотим познакомить читателя со второй версией этого продукта, а присутствие в названии слова Client обязывает нас в первую очередь обращать внимание именно на клиентскую сторону.


Антивирус

Symantec Client Security 2.0 в центре и на местах
Symantec Client Security 2.0 в центре и на местах
Live Update Administrator позволяет загружать обновления для любых приложений Symantec
Symantec Client Security 2.0 в центре и на местах
Через административную консоль можно настроить любой параметр антивируса на клиентской машине, а кпопки с замочком используются для запрета последующих изменений
В основе SCS 2.0 фактически лежит продукт, имеющий более долгую историю -- Symantec Antivirus Corporate Edition, о чем говорит и номер его версии 9.0. Даже после беглого знакомства нетрудно догадаться, что он и играет главную роль: в некоторых сценариях развертывания на клиентские машины устанавливается только антивирус, с ним же работает и большинство специальных инструментов -- видимо, персональные брандмауэры лишь начинают прокладывать себе дорогу в корпоративную среду.

Как ни странно, только в нынешней версии Symantec Antivirus Corporate Edition (вернее, его клиентская часть) фактически сравнялся по функциональности со своим аналогом для потребительского рынка -- Nor-ton Antivirus 2004. Из наиболее важных новшеств стоит выделить полноценный контроль электронной почты на уровне POP3/SMTP-протоколов (в том числе и эвристические алгоритмы выявления e-mail-"червей") и борьбу с невирусными видами угроз, к которым традиционно относят "троянцев", spyware и некоторые другие вредоносные либо просто сомнительные программы.

Однако, учитывая, что персональные и корпоративные продукты выпускаются компанией фактически "в противофазе" (при уже ставшем привычным годичном цикле обновления), интересные решения в них появляются попеременно. К примеру, Symantec Antivirus Corporate Edition предоставляет гораздо большее число тонких настроек, среди которых, скажем, глубина проверки архивов при сканировании почтовых вложений или указание нестандартных портов почтового сервера. Новая функция Threat Trace предназначена для выявления червеподобных программ, распространяющихся через открытые разделяемые ресурсы. При этом антивирус попытается автоматически выявить источник угрозы и заблокировать его на уровне брандмауэра (вот еще один признак того, что два защитных механизма в конце концов должны слиться воедино). Насколько нам известно, нечто подобное присутствует в текущей бета-версии Norton Antivirus 2005.

Но корпоративные программы имеют и гораздо более веские козыри: благодаря своей архитектуре и управляемости они позволяют действительно сформировать, внедрить и контролировать единую антивирусную политику. Администратор из своей консоли Symantec System Center может унифицировать настройки для различных групп пользователей (которые не обязаны совпадать с доменными структурами), запретить их изменение, а также отключение соответствующих служб, инициировать необходимые проверки вручную либо по расписанию. Кстати, централизованное обновление антивирусных баз включено в пакете по умолчанию -- в духе push-технологий оно выполняется, как только новые сигнатуры поступают к серверному компоненту (благодаря чему также экономится Internet-трафик).

При необходимости же обновлять не только антивирусные базы, но и сами программные модули администратор может развернуть локальный аналог сервера LiveUpdate. В целом такая схема напоминает взаимодействие SUS и Windows Update, хотя имеются и кое-какие отличия. Собственно LiveUpdate Administrator позволяет только загружать необходимые компоненты с центрального сервера Symantec, а обеспечение доступа к ним клиентских программ фактически ложится на плечи администратора. Зато это дает большую гибкость -- локальная служба LiveUpdate будет не только работать по протоколам FTP и HTTP, но и напрямую обращаться к обычным сетевым ресурсам. Последний вариант наиболее заманчив, однако для его организации потребуется приложить дополнительные усилия. Кроме того, в отличие от SUS сервер LiveUpdate не имеет встроенного механизма "санкций" на -использование программных обновлений, что может оказаться неприемлемым именно в корпоративной среде, где важна не только безопасность, но и стабильность функционирования клиентских компьютеров.


Брандмауэр

Symantec Client Security 2.0 в центре и на местах
Конструктор политик брандмауэра, кроме всего прочего, позволяет ограничивать права пользователей по управлению программой
Второй компонент клиентской безопасности также не является чем-то абсолютно новым -- фактически это тот же брандмауэр, что входит в Norton Internet Firewall/Security, в отличие от антивируса сохранен даже интерфейс. Соответственно и функциональность он предоставляет в целом аналогичную: применяется механизм правил, реализован контроль за взаимодействием программных компонентов на разных уровнях, имеются сторож конфиденциальной информации и даже (что несколько странно для корпоративного продукта) блокиратор рекламы. В общем, каждый, кто когда-либо знакомился с подобными продуктами под маркой Norton, попадает в совершенно привычную среду. Из относительных новшеств можно выделить разве что специальный раздел настроек, позволяющий без дополнительных усилий закрывать определенные порты, и инструменты для импорта/экспорта конфигураций.

Последние как раз и представляют наибольший интерес в плане централизованного администрирования. Дело в том, что непосредственно в Symantec System Center до настроек Symantec Client Firewall добраться нельзя, да и вообще список доступных инструментов и опций весьма беден. С чем это связано -- с особенностями функционирования и архитектурой данного компонента (что вряд ли) либо с продолжающимся поиском наиболее удачного механизма управления, неизвестно. Так или иначе, но в корпоративных масштабах персональные брандмауэры администрируются исключительно с помощью "политик" -- специальных файлов, содержащих все необходимые программные параметры. Их можно, к примеру, экспортировать из эталонных инсталляций (в формат xml) и затем растиражировать по рабочим станциям. Но гораздо большие возможности предоставляет инструмент Symantec Client Firewall Administrator.

Symantec Client Security 2.0 в центре и на местах
Клиентский модуль брандмауэра выглядит совершенно традиционно
Оформленная в несколько нехарактерном для продукции Symantec стиле, эта программа позволяет регулировать буквально любые аспекты функционирования брандмауэра, в том числе и те, до которых конечные пользователи не могут добраться в принципе. К таковым, к примеру, относятся так называемые pRulez (p -- от potential, потенциальные), т. е. правила, автоматически формируемые при первом запуске известных программ. Впрочем, в нынешнем виде данный механизм имеет один очень существенный недостаток. Дело в том, что такое правило привязывается лишь к имени исполняемого файла и номерам версий, что по нынешним временам слишком самонадеянно, -- конечно же, необходимо подсчитывать контрольную сумму по тому или иному алгоритму. Именно поэтому большинство экспертов по безопасности рекомендуют запрещать автоматическое создание правил в персональных брандмауэрах Symantec, и это, кстати, также можно указать в файле политик, а заодно определить права пользователя на доступ к программным настройкам, вплоть до полного запрета менять что-либо.

Распространяются политики (в том числе и в виде дополнений и изменений к предыдущим) или в индивидуальном порядке -- вручную с помощью специальной утилиты, или централизованно из консоли Symantec System Center, однако в этом случае обслуживанию подлежат исключительно группы компьютеров -- для отдельных рабочих станций данная функция недоступна.


В помощь сисадмину

Symantec Client Security 2.0 в центре и на местах
Symantec Client Security 2.0 в центре и на местах
Гибкая система оповещений не оставит сисадмина в неведении относительно каких­либо важных событий
Безусловно, любой корпоративный пакет предполагает присутствие специальных административных инструментов, призванных упростить жизнь сисадмину, -- для централизованного управления, развертывания и других трудоемких задач. В SCS 2.0 их предостаточно, причем три мы уже так или иначе упоминали:
  • LiveUpdate Administrator -- применяется для организации локальной службы LiveUpdate;
  • с помощью Client Firewall Ad-ministrator создают политики для управления брандмауэрами;
  • System Center вообще играет особую роль, поскольку фактически представляет собой рабочее место администратора. Об особенностях конфигурирования с его помощью локального ПО мы уже говорили, кроме того, он обеспечивает доступ к различным журналам и протоколам, а новая функция Log forwarding позволяет осуществлять контроль за происходящим на клиентских машинах.
Дополнительно в поставку SCS 2.0 входят еще два инструмента, предназначенные для взаимодействия с серверным антивирусным компонентом:
  • Central Quarantine Server создает централизованное хранилище инфицированных объектов, не поддающихся "лечению". На наш взгляд, такие файлы следует сразу же удалять (но уж во всяком случае не хранить на рабочих компьютерах), однако если речь идет о документах, зараженных макровирусами, то, конечно же, администратору стоит попытаться извлечь из них полезную информацию. Кроме того, централизованный "карантин" можно использовать для сбора статистики и выявления наиболее опасных каналов поступления угроз.
  • Alert Management System позволяет организовать достаточно гибкую систему оповещения о различных событиях -- обнаружении вирусов, обновлении программ и т. п. Поддерживаются практически любые пути передачи информации, в том числе по стандартной системе сообщений Window, по электронной почте, на пейджер. В качестве реакции на определенные события допускается назначать выполнение произвольных программ, что делает возможности данной системы практически неисчерпаемыми.
Заключение

Конечно, чем масштабнее продукт, тем сложнее составить о нем представление с чужих слов. Но в том-то и дело, что в основу SCS положены прекрасно известные программы -- антивирус и персональный брандмауэр, архитектура, возможности и ограничения которых не секрет для специалистов. Вся "корпоративность" в данном случае заключается в наличии инструментов централизованного управления -- освоить их достаточно несложно, хотя многое, безусловно, зависит от тех задач и нюансов, с которыми придется столкнуться конкретному сис-админу в конкретной ситуации.

Конечно, нынешняя версия SCS далеко не идеальна. Механизм управления персональным брандмауэром пока выглядит несколько "навесным", некоторые операции требуют ручного труда, вплоть до правки реестра. Отдельно Symantec Antivirus Corporate Edition выглядит гораздо более цельным и отлаженным, но ведь он уже добрался до отметки 9.0. Вероятно, Symantec еще не удалось определить окончательное место Client Firewall в системе корпоративной безопасности, и данные трудности, несомненно, носят объективный характер. Ведь персональный бранд-мауэр не может функционировать совершенно незаметно, определенные решения должен принимать сам пользователь -- и здесь аспекты безопасности вступают в некоторое противоречие с удобством работы.

Тем не менее главная идея SCS -- объединение возможностей антивируса и персонального брандмауэра -- нам кажется очень правильной и своевременной. Это именно то решение, к которому постепенно подходит вся индустрия ПО, а Symantec его предлагает уже сегодня. Детали же со временем обязательно отрегулируются...