Вирусы и средства борьбы с ними
         

Контрольные вопросы


    Какие фильтры будут установлены Антивирусом Касперского для Microsoft ISA Server при установке последнего на Microsoft ISA Server, работающий в режиме Proxy?Каким образом буду проверяться архивы при отключенном механизме распаковки архивов в Антивирусе Касперского для Microsoft ISA Server?По протоколу HTTP идет загрузка архива, содержащего инфицированный объект, поддающийся лечению и чистый файл. Что произойдет с таким архивом?В каком случае не формируется уведомление пользователю при обнаружении вредоносного объекта?



Методические указания к лабораторной работе


Антивирус Касперского для Microsoft ISA Server 2000 - система антивирусного контроля над файлами, передаваемыми по протоколам HTTP и FTP через брандмауэр Microsoft Internet Security and Acceleration Server.

Антивирус Касперского для MS ISA-серверов выполняет функции фильтра, который перехватывает данные, передаваемые по протоколам HTTP и FTP, выделяет из них контролируемые объекты, анализирует их на наличие вирусов и блокирует проникновение в локальную сеть зараженных файлов и веб-документов.

Приложение обеспечивает выполнение следующих функций:

Антивирусную проверку и обработку потоков данных, поступающих из сети ИнтернетГенерацию потока данных из вылеченных файлов для передачи клиенту, запросившему потокОбновление антивирусных баз через Интернет, как автоматическое согласно заданному расписанию, так и в ручном режимеСбор статистической информации о работе приложения и просмотр статистики через стандартные механизмы операционной системы WindowsУправление лицензионными ключами

Антивирус Касперского поддерживает следующие протоколы передачи данных:

HTTP 1.0 и 1.1 (RFC 2616)FTP (RFC 959, 2389, Extensions to FTP)FTP over HTTP



Настройка диагностики работы приложения


Антивирус Касперского для ISA Server позволяет проводить полную диагностику своей работы для любого из MS ISA-серверов, на которых он установлен, и фиксировать ее результаты в следующих файлах журналов:

Kavisa<ДАТА>.log - журнал Антивируса Касперского для Microsoft ISA Server, содержащий информацию о работе приложения в заданном объеме на определенную дату. В качестве <ДАТА> в названии файла приводится дата его создания в формате ГодМесяцЧисло. В случае если в момент дополнения журнала он будет открыт администратором на редактирование, Антивирус Касперского сформирует новый файл с дополнительным постфиксом к его имени.Viruslog<ДАТА>.log - журнал Антивируса Касперского для ISA Server, включающий информацию об обнаруженных вредоносных объектах.

Для любой из классификаций сообщений можно выбрать уровень детализации:

Не выводить - не записывать в журналы никакой информацииМинимальный - фиксировать в журналах только основные события (например, запуск и остановка приложения и т. д.)Средний - записывать помимо основных событий ряд дополнительных, характеризующих работу Антивируса более детально (например, сообщение об ошибке соединения с сервером обновлений)Максимальный - выводить в журналы максимально полную информацию о работе приложения, за исключением отладочных сообщенийОтладочный - записывать в журналы всю информацию, в том числе и отладочную

По умолчанию для всех сообщений установлен минимальный уровень детализации.



Настройка уведомлений пользователей


Если приложение обнаруживает в потоке данных инфицированный файл, который невозможно вылечить, соединение разрывается, и пользователь, запросивший эти данные, получает HTML-страницу с сообщением об обнаружении вируса.

Сообщения формируются только в том случае, если вредоносный объект был обнаружен Web-фильтром Антивируса Касперского или HTTP-фильтром Антивируса Касперского

Можно отредактировать сообщения, направляемые пользователю, на закладке HTTP диалогового окна Свойства Антивируса Касперского для ISA-сервера. Максимальная длина сообщения 10240 байт. Кодовая страница win1251.



Обновление антивирусных баз


Обновление антивирусных баз может выполняться автоматически с заданным периодом обновления или вручную администратором. Возможны два способа получения антивирусных баз:

через Интернет по FTP- или HTTP-протоколу с серверов обновлений Лаборатории Касперскогоиз локального или сетевого каталога



Управление обновлением антивирусных баз осуществляется на закладке Обновление диалогового окна Свойства Антивируса Касперского для MS ISA-сервера.



Поддерживаемые операционные системы


Антивирус Касперского функционирует совместно с продуктом Microsoft Internet Security and Acceleration Server 2000 с установленным Service Pack 2 или выше на следующих платформах:

Microsoft Windows 2000 Server с установленным Service Pack 4 или вышеMicrosoft Windows 2000 Advanced Server c установленным Service Pack 4 или выше



Принципы работы


Антивирус Касперского для Microsoft ISA Server производит антивирусную проверку трафика HTTP проходящего через ISA-сервер. Оптимизацию антивирусной проверки НТТР-трафика можно осуществить путем изменения следующих настроек:

Максимальное время проверки первого пакета данных в секундахМаксимальный интервал между отправками данных клиенту в секундахКоличество данных в процентах, не отправляемых клиенту до завершения проверкиРазрешить дозагрузку файлов

Антивирус Касперского для Microsoft ISA Server производит антивирусную проверку трафика FTP проходящего через ISA сервер. Оптимизацию антивирусной проверки FТР можно проводить с помощью изменения настройки Количество данных, полученных сервером до того, как первый пакет с данными отправляется клиенту.

Также существует возможность общей настройки антивирусной проверки путем включения или выключения следующих параметров:

Лечить объекты, если возможноПроверять архивыПроверять упакованные и исполняемые файлы



Рекомендуемая литература


Антивирус Касперского 5.5 для MS ISA Server 2000. Руководство Администратора.



Результат установки


Основные файлы Антивируса Касперского для Microsoft ISA Server помещаются в каталог, заданный при установке, по умолчанию - в папку Program Files\Kaspersky Lab\ Kaspersky Anti-Virus for ISA Server на системном диске. В этом каталоге также расположены служебные папки:

Bases - каталог хранилища антивирусных базLogs - каталог хранения журналов событийStoreDirTaskQueue - каталог хранения очереди объектов для проверкиTemp - каталог для временных файлов



Сбор и просмотр статистической информации


Просмотр и управление сбором статистической информации о работе Антивируса Касперского осуществляется через стандартные счетчики производительности Windows, доступные через консоль Производительность (Пуск, Настройка, Панель управления, Администрирование, Системный монитор)

Оценка работы приложения проводится по следующим параметрам:

всего вылеченных объектоввсего зараженных (невылеченных) объектоввсего испорченных объектоввсего непроверенных объектоввсего ошибок проверкивсего подозрительных объектоввсего прерванных провероквсего проверено объектоввсего чистых объектовдлина очереди заданияобъем обработанного Антивирусом Касперского трафика в килобайтахчисло обычных, прямых и сложных загрузок данных каждым из фильтров Антивируса Касперского (FTP- , HTTP- и Web-фильтр).

Чтобы выбрать, какие сведения будут отражаться в статистике, необходимо добавить соответствующие счетчики для объекта HTTP



Состав приложения


В состав приложения входят следующие компоненты:

Фильтры потоков - интегрируются в MS ISA-сервер как плагиныАнтивирусное ядро - устанавливается в систему как службаСредства администрирования - представляют собой встраиваемую оснастку. Управление Антивирусом Касперского для Microsoft ISA Server осуществляется через интерфейс, встроенный в ISA Management



Управление группами клиентов


В каждую группу включены клиенты внутренней сети, к которым могут быть применены одинаковые политики. Каждый клиент может входить в одну или несколько групп.

К клиентам группы default автоматически относятся все клиенты ISA-сервера, не внесенные ни в какую другую группу.

Если клиент входит одновременно в несколько групп, то для него производится антивирусная проверка в соответствии с группой, обладающей наименее строгими условиями проверки.



Управление лицензионными ключами


Управление лицензионными ключами осуществляется на закладке Лицензирование диалогового окна Свойства Антивируса Касперского для ISA Server. Лицензионный ключ необходим для полнофункциональной работы Антивируса Касперского для ISA Server. Если лицензионный ключ отсутствует или не соответствует данному приложению, Антивирус Касперского для ISA Server не будет работать. По истечении срока действия лицензии, Антивирус Касперского для ISA Server сохраняет свою функциональность за исключением возможности обновления антивирусных баз. Потоки данных по-прежнему подвергаются антивирусной фильтрации.



Установка


В процессе установки приложения автоматически определяется режим работы ISA-сервера. В руководстве к ISA-серверам описаны три возможных режима работы:

FirewallProxyIntegrated

В консоли MS ISA-сервера предусмотрен ряд стандартных фильтров, которые позволяют контролировать входящие потоки данных. Для протоколов HTTP это HTTP Redirector Filter. Протоколы FTP контролируются через FTP Access Filter (не используется в режиме Proxy). Антивирус Касперского для MS ISA-серверов использует настройки по умолчанию указанных фильтров, чтобы получать исходный поток данных для его последующей проверки.

Перед тем как устанавливать Антивирус Касперского для ISA-серверов, убедитесь, что стандартные фильтры HTTP Redirector Filter и FTP Access Filter не отключены или не перенаправляют потоки данных, минуя антивирусную фильтрацию. Это может привести к отключению антивирусной защиты сервера. Управление фильтрами потоков осуществляется через стандартное окно управления ISA Management.

Процедура установки Антивируса Касперского для Microsoft ISA Server на ISA-сервер выполняется стандартно, как для большинства приложений Windows. Можно выбрать как полную, так и выборочную установку продукта, а также восстановить некорректную установку Антивируса Касперского для Microsoft ISA Server.

Программа установки устанавливает Антивирус Касперского для Microsoft ISA Server в соответствии с текущим режимом работы ISA-сервера. Сразу же после установки приложение готово к запуску процесса проверки потоков данных, поскольку необходимые общие параметры уже заданы.

Средство управления - оснастка управления Антивирус Касперского для Microsoft ISA Server встраивается в ISA Management в секцию Extensions.

FTP-фильтр Антивируса КасперскогоWeb-фильтр Антивируса КасперскогоHTTP-фильтр Антивируса Касперского

Добавление тех или иных фильтров зависит от режима ISA - сервера.

В установленном приложении автоматически создается пользователь default, группа пользователей default и политика default, так как наличие хотя бы одной группы пользователей и одной антивирусной политики, назначаемой этой группе, является необходимым условием для функционирования Антивируса Касперского.



Уведомление администратора посредством ISA Server Alerts


Встроенные средства ISA Server Alerts позволяют различными способами (запись в системный журнал, уведомление почтовым сообщением и т.д.) информировать администратора о критических событиях, возникающих при работе какого-либо из установленных на ISA-сервере приложений. Для Антивируса Касперского для ISA-сервера также предусмотрен ряд важных событий, возникновение которых требует немедленной реакции администратора системы, например, событие До истечения срока действия лицензии осталось 14 дней. Набор таких событий пополняет существующий список событий ISA-сервера сразу после установки приложения на сервер. Способ доставки уведомления для каждого из событий можно настроить самостоятельно.



Внедрение политик антивирусной проверки


Для каждой группы клиентов может быть задана своя политика. В политиках определяются дополнительные параметры фильтрации входящего потока данных, которые позволяют задавать различные правила для разных групп клиентов и, тем самым, могут ускорить процесс антивирусной проверки.

Каждой группе может соответствовать только одна политика. Например, если группе Администраторы назначена политика Администраторы, то ей не могут соответствовать другие политики.



Запустите Internet Explorer, проверьте доступность


    Запустите Internet Explorer, проверьте доступность содержимого папки Test_virus_ISA по протоколам HTTP, FTP. Адрес веб-сервера и путь к папке Test_virus_ISA уточните у преподавателя.Откройте консоль ISA Management, секцию Monitoring, директорию Session и убедитесь, что веб-сессии проходят через ISA-сервер. Также убедитесь. что Internet Explorer настроен на работу через ISA-сервер.Установите локально Антивирус Касперского для ISA Server на Ваш ISA-сервер. Место расположения дистрибутива и ключевого файла уточните у преподавателя. Перезагрузите компьютер.Убедитесь, что установка Антивируса Касперского для ISA Server прошла успешно, в ISA Management в секции Extensions добавилась оснастка Антивирус Касперского. Запишите в протокол лабораторной работы, какие службы добавились, и какие процессы и фильтры запускаются при старте Антивируса Касперского для ISA Server.Ознакомьтесь с настройками Антивируса Касперского для ISA Server. Запишите в протокол лабораторной работы, какое количество экземпляров антивирусного ядра запускается одновременно по умолчанию, какие параметры антивирусной проверки можно задавать в Антивирусе Касперского для ISA ServerНастройте сбор статистики по работе Антивируса Касперского для ISA Server через стандартные счетчики Windows. Создайте и запустите счетчик Всего зараженных объектов. Перечислите в протоколе лабораторной работы все доступные счетчики, связанные с Антивирусом Касперского для ISA Server.Настройте получение уведомлений администратором средствами ISA Alert с параметрами по умолчанию для событий Антивируса Касперского для ISA Server. Запишите в протокол лабораторной работы доступные уведомления для Антивируса Касперского для ISA Server.Настройте параметры обновления антивирусных баз Антивируса Касперского для ISA Server на получение обновлений из указанного преподавателем источника. Произведите обновление антивирусных баз. Перечислите в протоколе лабораторной работы, какие данные можно задавать для получения обновления антивирусных баз.Запустите Internet Explorer, попытайтесь скачать файлы, содержащиеся в папке Test_virus_ISA и во вложенных в нее папках по протоколу HTTP.
    Проанализируйте файл журнала обнаруженных вредоносных объектов. Перечислите в протоколе лабораторной работы, какие файлы были вылечены.Запустите Internet Explorer, попытайтесь скачать файлы, содержащиеся в папке Test_virus_ISA и во вложенных в нее папках по протоколу FTP. Проанализируйте файл журнала обнаруженных вредоносных объектов. Перечислите в протоколе лабораторной работы, какие файлы были пропущены.Отключите Web-фильтр Антивируса Касперского и перезапустите службы ISA-сервер. Запустите Internet Explorer, попытайтесь скачать файлы, содержащиеся в папке Test_virus_ISA и во вложенных в нее папках по протоколам FTP и HTTP.Добавьте в группу default нового клиента - свой компьютер. Отредактируйте политику default таким образом, чтобы исключить машину на которой расположен веб-сервер из проверки Антивируса Касперского для ISA Server. Скопируйте все файлы из ресурса Test_virus_ISA по протоколу HTTP. Сохраните файл журнала, распечатайте его и предоставьте файл журнала при сдаче лабораторной работы. Перечислите в протоколе лабораторной работы, какие объекты и по каким признакам можно исключать из антивирусной проверки.Вручную перезапустите службу Антивирус Касперского для Microsoft ISA Server. Опишите в протоколе лабораторной работы, что произойдет при этом с Антивирусом Касперского для Microsoft ISA Server.