Методы комплексной антивирусной защиты сети

[Iskam]

FileServer - это прекрасно, не спорю. все кандидаты имеют и плюсы и минусы, но в репрезентативной выборке работают все нормально.

Однако, ставим перед сервером другую задачу. Например, крутить БД. В чём отличие? Да в том, что масса пользователей юзает одни и те же (увесистые) файлы (известное количество) в весьма напряжённом режиме, ну, это в отличие от "помойки", где на порядки меньше операций записи.
Тот же KAV раздувает системный кэш до безобразных значений (при том, что сама "запись" весьма к нему требовательна). Что делать? Вносить, безусловно, базы в списки исключений или там всякие доверенные зоны создавать. Тогда на выходе имеем, в общем то, по простому говоря сервер, на котором антивирус ничего не делает.. ну, там, может явные сетевые угрозы предотвращает...
К чему это приводит? К тому, что при создании контрольных точек для оси и базы (точки любого вида, даже штатные виндовые) мы рискуем засадить туда вирей.
Кто виноват? Что делать? И кому на руси жить хорошо?

Вот три вопроса ))))

[PLAstic]

Цитата: Сообщение от Iskam Вот три воп

Ты просто не умеешь их готовить. Я не знаю, как другие AV, но каспер по-умолчанию файлы данных не проверяет. Незачем. А открой секрет, зачем проверять dbf от 1С или sql-базы, если вирус туда записаться не может? По-умолчанию надо мониторить создание файлов и их модификацию по маске - исполняемые файлы. И не будешь же ты шарить системные папки? Ну а тогда откуда в них возьмутся вирусы? RPC у тебя закрыт, SQL injection тоже - ты же какой-никакой админ и догадался если не WSUS настроить, то хотя бы критические апдейты ставить?
Итого, в твоём посте описана фантастика.

[Iskam]

to PLAstic
блин, долго описывал свою матчасть и софт, но за это время пропала авторизация на сайте. повторять сей подвиг сил нет. )))
Простой вопрос: как ваша ("твоя" можно?) схема уляжется вот в следующие два обстаканятельства?
1. ads девятка (не 1С ниразу, а нормальная такая erp со своими тараканами насчёт клиентских частей)
2. NAS (не один канал, с одним там и правда можно на уровне того же wss или linux разрулить просто, а куча соединений в общей сети)

[PLAstic]

Цитата: Сообщение от Iskam 1. ads девятка (не 1С ниразу, а нормальная такая erp со своими тараканами насчёт клиентских частей) 2. NAS (не один канал, с одним там и правда можно на уровне того же wss или linux разрулить просто, а куча соединений в общей сети)

По первому пункту хоть самописная прога. Объясни мне, как вирус будет заражать данные? Кстати, я нашёл только это.
По второму, возможно, имелись ввиду сетевые хранилища. Тогда это забота той ОС, которая накатывается на них. У некоторых из них есть возможность заливки "нормальной" ОС на платформе никсов, куда ты и сможешь поставить какой-нибудь антивирус. Тот же каспер кое-что имеет под никсы. Можно настроить периодический скан по сети, но это будет тормозить скорость работы железки. На самом деле, использование таких сложноконтролируемых сетевых хранилищ - сложный и отдельный вопрос. Не надо искать у меня ответы на все вопросы. Мой ответ клиенту: хотите их использовать - используйте в ущерб безопасности.

[Iskam]

Цитата: Сообщение от PLAstic По первому пункту хоть самописная прога. Объясни мне, как вирус будет заражать данные? Кстати, я нашёл только это.

вирус данные не заражает, безусловно ))). просто есть довольно сложная серверная часть двигателя (это не ad-system, а advantage database server с родными базами adt). Так вот, обращал внимание, что при заражении именно утилиты освобождающей базы монопольно зажатые, часто возникает нарушение целостности. Я видимо не совсем корректно в первом своём посте объяснил, ну да ладно... Выкручиваться приходится прямыми исключениями (в случае с виндовыми платформами) и запретом для всех юзеров, включая system, прав на запись и изменение екзешников. Менее геморройного способа пока не нашёл, а хотелось бы.

Второе - да, сетевые хранилища. И казалось бы чего туда вообще антивирус то ставить? Там одни данные, а их, я совершенно согласен, заразить нельзя (пока по крайней мере я про такие вирусы не слышал, хотя достаточно будет какой нибудь гадости объявить монопольные права на файл базы и уже светит реальный кердык...). Но, говоря по простому, это ведь для клиента обычная шара, верно? А как, например, ведёт себя тот же sality... Он долбится в шару и если таких клиентов много, - нагибает интерфейс. тогда решение сводится не к централизованной защите, а наоборот, к локальной защите каждой станции, ведь изначально в них дело. такая вот палка о двух концах получается.
И я не ищу, конечно, ответов на все вопросы ))) Такими решениями заниматься должны не админы, не внедренцы, а, как говорил недавно мне STTR, архитекторы хранилищ. да где ж таких взять? вот и приходится долго и нудно по крупицам искать информацию, чтоб не сесть в лужу невзначай ))))

[PLAstic]

Цитата: Сообщение от Iskam Так вот, обращал внимание, что при заражении именно утилиты освобождающей базы монопольно зажатые, часто возникает нарушение целостности.

А откуда у тебя на сервере вирус? Ты работаешь за ним или пускаешь по терминалу пользователей? На сервере по определению активного вируса быть не может. Могут быть раскиданы тела вируса по шарам, но их ещё активировать надо умудриться.

Добавлено через 17 минут
Я как-то проходил курсы у каспера... Так вот, они рекомендуют использовать не одну линию защиты, а несколько. Примеры.
1. Откуда могут взяться вирусы? Из инета. Ставим АВ на почтовик и прокси. Периметр защищён. Тут приходит бухгалтер с дискеткой и получается - периметр стоит, а внутри вирусня. Поэтому защита периметра - мера важная, но должна быть не единственная.
2. Защищаем раб.станции. Пользователь ради повышения быстродействия ("да у меня отчёт долго формировался") выключает АВ и в систему проникает вирус. И, например, начинает атаковать DNS-сервера в инете или спам рассылать. Поэтому защита конечных устройств - мера тоже не самодостаточная.

Итак, в идеале у нас должны быть защищены следующие службы и компьютеры:
* Почтовик
* Прокси
* Файл-сервера
* Клиентские рабочие станции
* Должна быть система своевременных уведомлений админа о сбоях/выгрузках/заражениях и прочих событиях.
О последнем подробнее. Есть такая полезная фича как Kaspersky Admin Kit, который ставится на клиентов и пересылает на свой сервер все эвенты, которые нам интересны. Через него можно, в частности, отслеживать эпидемии и своевременно блокировать заражённые компьютеры.

В результате получаем ситуацию, при которой даже на незащищённых NAS'ах угроза засорения шарингов вирусами сведена к минимуму.