Архитектура Сервера безопасности
Сервер безопасности Антивируса Касперского для MS Exchange Server, состоит из следующих основных подсистем:
Перехватчик почтовых сообщений - осуществляет перехват объектов, поступающих на Microsoft Exchange Server, и направляет их в подсистему антивирусной проверки. Компонент встраивается в процессы Microsoft Exchange Server по технологии VSAPI 2.0 и 2.5.Подсистема антивирусной проверки - осуществляет антивирусную проверку объектов. Компонент представляет собой несколько процессов, в каждом из которых находится по одному антивирусному ядру. Он также включает в себя хранилище временных объектов для проверки в оперативной памяти.Модуль внутреннего управления продуктом и контроля целостности - запускается отдельным процессом и является службой Microsoft Windows. Данная служба запускается автоматически и не зависит от состояния Microsoft Exchange Server (запущен, остановлен), что позволяет управлять Сервером безопасности, даже если Microsoft Exchange Server остановлен.
Фоновая проверка
Антивирус Касперского для MS Exchange Server осуществляет проверку хранящейся на сервере почты и содержимого общих папок. Проверяются все общие папки и защищаемые хранилища (mailbox storages). При этом обрабатываются сообщения, которые не были проверены с использованием текущей версии антивирусных баз. Программа проверяет тело сообщения и присоединенные к нему файлы в соответствии с общими параметрами антивирусной проверки. Если фоновая проверка хранилищ отключена, хранящиеся на сервере сообщения проверяются только при запросе их пользователем непосредственно перед доставкой.
Контроль вирусной активности
Антивирус Касперского для Microsoft Exchange Server позволяет фиксировать степень вирусной активности в проверяемом почтовом трафике, почтовых ящиках и общих папках Microsoft Exchange Server с помощью счетчиков вирусной активности и уведомлять об этом администратора. Вирусная активность определяется на основании данных антивирусной защиты Microsoft Exchange Server и позволяет фиксировать события следующих типов:
Обнаружен зараженный объектОбнаружен подозрительный объектОбнаружен поврежденный объектОдин и тот же вирус обнаружен несколько раз
При установке Сервера безопасности в объекте Счетчики вирусных эпидемий создается встроенный Счетчик вирусной эпидемии. Для реализации функции отсылки уведомлений Счетчика вирусных эпидемий устанавливается порог вирусной активности - максимально допустимое количество событий заданного типа (например, Обнаружен зараженный объект) в течение ограниченного временного интервала. Если вирусная активность превышает установленный порог, Сервер безопасности рассылает уведомление о данном событии на заданные почтовые адреса (обычно, на адрес администратора), с целью уведомления администратора о произошедшем событии.
Контрольные вопросы
- Какие пути доставки уведомлений существуют в Антивирус Касперского 5.5 для MS Exchange Server?Почему рекомендуется не отсылать уведомления о найденном вирусе отправителю инфицированного сообщения?Куда и в каком виде по умолчанию сохраняются файлы отчета?Что произойдет с Антивирусом Касперского для MS Exchange Server при нарушении целостности файлов антивирусных баз?
Методические указания к лабораторной работе
Антивирус Касперского для MS Exchange Server предназначен для антивирусной защиты почтовых ящиков и общих папок на Microsoft Exchange Server, а также для антивирусной проверки проходящего почтового трафика.
Исходя из назначения Антивирус Касперского для MS Exchange Server выполняет следующие основные функции:
Постоянную проверку входящих и исходящих сообщений, их атрибутов и вложенийПроверку по требованию хранилищ и общих папок (в фоновом режиме)Обнаружение и обезвреживание вредоносного кода в проверяемых объектахОбновление антивирусных баз и модулей приложения (автоматическое и по требованию)Уведомление отправителя, получателя и администратора о сообщении, содержащем вредоносный объектРегистрацию событий и запись информации о них в отчетыФиксирование возникновения эпидемий (увеличение количества инфицированных сообщений в общем потоке проверяемых сообщений за определенный промежуток времени) и уведомление о нихУправление лицензионными ключами (установка, удаление, проверка, автоматическая замена)
Настройка диагностики работы приложения
Антивирус Касперского для MS Exchange Server позволяет проводить полную диагностику своей работы и регистрировать зафиксированные события в журнале приложений операционной системы Windows и в собственных журналах. Журналы событий Антивируса Касперского для MS Exchange Server ведутся в двух форматах и в зависимости от формата имеют следующую структуру имен:
Kavscmesrv<ДАТА>.log - основной журнал событий приложения. В качестве <ДАТА> в названии файла приводится дата его создания в формате ГГГГММДД.
Если в момент заполнения журнала он недоступен для записи, например, открыт администратором на редактирование, Антивирус Касперского сформирует новый файл с дополнительным постфиксом к его имени.
kavscmesrv.raw<ДАТА>.log и store.raw<ДАТА>.log - журналы, содержащие информацию в неотформатированном виде. Событие регистрируется в raw-журнале, если по каким-либо причинам его не удалось записать в основной журнал.
Объем и полнота информации, выводимой в журналы, зависит от установленных в параметрах приложения уровней диагностики для каждого из модулей программы. Если модуль состоит из нескольких компонентов, уровень диагностики устанавливается для каждого компонента отдельно.
Предусмотрены следующие уровни диагностики:
Не выводить - не записывать в журналы никакой информации.Минимальный - фиксировать в журналах только основные события.Средний - записывать помимо основных событий ряд дополнительных, характеризующих работу Антивируса более детально.Максимальный - выводить в журналы максимально полную информацию о работе модуля, за исключением отладочных сообщений.Отладочный - записывать в журналы всю информацию, в том числе и отладочную
Обновления антивирусных баз. Источники обновлений
Источником обновлений могут выступать:
Сервера обновлений Лаборатории Касперского - в этом случае обновление происходит по протоколам HTTP/FTPHTTP-, FTP-сервер или сетевой каталог - источником является задаваемый сетевой ресурс, HTTP, FTP либо UNC
Загрузка обновлений происходит либо по расписанию, либо вручную. Настроить параметры доступа к сетевым HTTP/FTP ресурсам можно, нажав на гиперссылке Антивирусные обновления в панели результатов.
По нажатию открывается окно Настройка, в котором предлагается указать режим доступа к FTP ресурсам (пассивный либо активный), тайм-аут соединения (промежуток ожидания ответа на запрос к серверу), а также задать параметры настройки доступа к прокси-серверу.
Если управление работой установленных на компьютерах сети приложений Лаборатории Касперского осуществляется при помощи системы централизованного управления Kaspersky Administration Kit 5.0, то получаемые Сервером администрирования обновления антивирусных баз размещаются в папке общего доступа. В таком случае возможно использовать данную папку в качестве источника обновлений для Антивируса Касперского для MS Exchange Server.
Отчеты об антивирусной проверке
Отчет об антивирусной проверке проходящего почтового трафика, почтовых ящиков и общих папок Microsoft Exchange Server формируется автоматически, в соответствии с расписанием, или по запросу и может быть сохранен по умолчанию в каталоге Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Microsoft Exchange Server\reports, а также отправлен по электронной почте.
При установке Сервера безопасности создается встроенный шаблон отчета. На основании этого шаблона - Отчет об антивирусной проверке - формируется отчет о результатах антивирусной проверки почтового сервера первого числа каждого месяца за прошедшие 30 дней.
Поддерживаемые операционные системы
Антивирус Касперского для MS Exchange Server может быть интегрирован в следующие версии Microsoft Exchange Server:
Microsoft Exchange 2000 Server Enterprise Edition с установленным Service Pack 2 или вышеMicrosoft Exchange 2000 Server Standard Edition с установленным Service Pack 2 или вышеMicrosoft Exchange Server 2003 Enterprise Edition или вышеMicrosoft Exchange Server 2003 Standard Edition или выше
Консоль управления Антивируса Касперского для Microsoft Exchange Server может быть установлена на следующие операционные системы:
Microsoft Windows 2000 с установленным Service Pack 4 или вышеMicrosoft Windows XPMicrosoft Windows Server 2003
Производительность антивирусной защиты
Антивирус Касперского для MS Exchange Server предоставляет возможность регулировать производительность работы приложения в зависимости от объема и характера проходящего через Exchange-сервер почтового трафика и системных характеристик компьютера: объема оперативной памяти, быстродействия, количества процессоров. Настройка параметров производительности может осуществляться как в автоматическом режиме, так и вручную
Работа с инфицированными и подозрительными объектами
Во избежание потери важной информации, перед выполнением каких бы то ни было действий с зараженными объектами, будь то попытка лечения или удаление, они помещаются в специальное резервное хранилище, откуда при необходимости могут быть извлечены.
Результаты установки
Основные файлы Антивируса Касперского для Microsoft Exchange Server помещаются в каталог, заданный при установке, по умолчанию - Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Microsoft Exchange Server на системном диске, в этом каталоге также расположены служебные папки:
BackUp - каталог хранения резервных копий антивирусных базBases - каталог хранилища антивирусных базLogs - каталог хранения журналов событий Антивируса Касперского for MS Exchange ServerQB - каталог резервного хранилищаReports - каталог хранилища отчетовStore - служебный каталог, в котором сохраняются файлы, размер которых больше 1 Мб, для дальнейшей антивирусной проверкиTmp - каталог хранилища временных файлов
Состав и принцип работы
Антивирус Касперского для MS Exchange Server состоит из следующих компонентов:
Сервер безопасности - обеспечивает антивирусную функциональность и обновление антивирусных баз, удаленное управление, настройки, а также выполняет функции хранения информацииКонсоль управления - модуль управления, выполнен в виде компонента расширения к Microsoft Management Console (MMC), обеспечивающего доступ к административным сервисам приложения Антивирус Касперского для MS Exchange Server, позволяет осуществлять удаленную настройку и управление серверной частью Антивируса
Уровни защиты
В Антивирусе Касперского для Microsoft Exchange Server предусмотрены следующие уровни защиты:
Стандартная антивирусная защита - защита от всех известных вредоносных программ. Данный уровень установлен по умолчанию.Расширенная антивирусная защита - защита от всех известных вредоносных программ и потенциально опасных программИзбыточная антивирусная защита - защита от всех известных вредоносных программ, потенциально опасных программ и хакерских утилит
Установка
Процесс инсталляции Антивируса Касперского для MS Exchange Server аналогичен процессу инсталляции продуктов Лаборатории Касперского для Microsoft Windows. Сразу после запуска дистрибутива запускается мастер установки приложения, с помощью которого производится пошаговая установка Антивируса Касперского для MS Exchange Server. В процессе установки пользователю предлагается: ознакомиться и согласиться с условиями лицензионного соглашения, осуществить выбор типа установки: полная или выборочная, а также установить лицензионный ключ к данному приложению. В случае выбора полной установки (по умолчанию) происходит установка Сервера безопасности и Консоли управления. Выборочная установка используется в случаях, когда необходимо установить только средство управления - Консоль управления.
Завешается работа мастера установки Антивируса Касперского для MS Exchange Server предложением включить антивирусную защиту сервера автоматически сразу после завершения установки, либо сделать это позже вручную - через Консоль управления Антивирусом. По умолчанию в качестве защищаемых хранилищ будут выбраны все сформированные на сервере хранилища. Если в установленном лицензионном ключе указано максимальное количество защищаемых почтовых ящиков меньшее, чем сформировано в хранилищах сервера, перед запуском антивирусной защиты необходимо снять защиту с части хранилищ.
Уведомления
Приложение Антивирус Касперского для MS Exchange Server предоставляет возможность оповещать об обнаруженных при антивирусной проверке зараженных объектах.
Предусмотрено уведомление о событиях следующих типов:
обнаружен зараженный объектобнаружен подозрительный объектобнаружен поврежденный объект
Для каждого типа событий формируется уведомление соответствующего типа.
Запустите почтовые клиенты на рабочей
- Запустите почтовые клиенты на рабочей стации и файловом сервере. Обменяйтесь тестовыми почтовыми сообщениями, чтобы убедиться в работоспособности Microsoft Exchange Server и почтовых клиентов.Установите Антивирус Касперского для MS Exchange Server на почтовый сервер. Место расположения дистрибутива и ключевого файла уточните у преподавателя.Перезагрузите почтовый сервер. Откройте консоль управления Антивирусом Касперского для MS Exchange Server и подключитесь к Серверу безопасности Антивируса Касперского для MS Exchange Server, который установлен на Вашем почтовом сервере. Запишите в протокол лабораторной работы службы, процессы, папки, которые добавились после установки Антивирус Касперского для MS Exchange Server.Ознакомьтесь с настройками Сервера безопасности доступными по гиперссылке Общие параметры. Перечислите модули системы и доступные им уровни диагностики, запишите название защищаемого хранилища почтовых ящиков и название защищаемого хранилища общих папок.Ознакомьтесь с настройками Сервера безопасности доступными по гиперссылке Антивирусная защита. Запишите в протокол лабораторной работы, какие действия возможны с зараженными объектами, подозрительными объектами, защищенными / поврежденными объектами, также укажите, какие действия выполняются по умолчанию над этими объектами.Ознакомьтесь с настройками Севера безопасности доступными по гиперссылке Антивирусные обновления. Запишите в протокол лабораторной работы, какие данные о антивирусных базах можно узнать по этой гиперссылке.Настройте параметры обновления антивирусных баз Антивируса Касперского для MS Exchange Server на получение обновлений из указанного преподавателем источника. Произведите обновление антивирусных баз. Запишите в протокол лабораторной работы, какие данные на закладке Параметры соединения можно задавать для получения обновлений антивирусных баз.Настройте и активируйте получение уведомлений О зараженном объекте таким образом, чтобы почтовое уведомление приходило получателю и отправителю, а сообщение NET SEND приходило на рабочую станцию.