|
|
|||||||||||||||||||||||||||||
|
Обзор Kaspersky Endpoint Security 8 для WindowsИсточник: anti-malware Михаил Картавенко, Ольга Минаева
"Лаборатория Касперского" представила новое решение для комплексной многоуровневой защиты рабочих станций и серверов под управлением Windows - Kaspersky Endpoint Security 8 и инструмент централизованного управления системой защиты - Kaspersky Security Center. В первой части нашего обзора мы рассмотрим Kaspersky Endpoint Security 8, который устанавливается на рабочие станции и файловые серверы в корпоративной сети.
ВведениеВ данном обзоре мы рассмотрим корпоративное решение Kaspersky Endpoint Security 8 для рабочих станций и файловых серверов, работающих под управлением операционной системы Windows. Данное решение устанавливается в локальной сети на рабочие станции и файловые серверы. Набор инсталляций Kaspersky Endpoint Security 8 в локальной сети управляется системным администратором из специального средства администрирования - Kaspersky Security Center, который позволяет "гибко" настраивать работу каждого компонента защиты на каждой защищаемой конечной точке. При этом, параметры работы Kaspersky Endpoint Security 8 можно настраивать непосредственно и на локальной машине в случае предоставления администратором таких прав отдельным пользователям в сети. Решение Kaspersky Endpoint Security 8 построено на идеологии, в соответствии с которой все компоненты разбиты на два больших класса - компоненты защиты (антивирусные технологии) и компоненты контроля (контроль рабочего места). "Компоненты защиты" обеспечивают защиту от вредоносных программ и безопасность работы в сети. А компоненты контроля регулируют работу пользователя с программами, подключаемыми устройствами и работу в Интернете. Все это позволяет говорить об обеспечении комплексной защиты компьютеров в локальной сети предприятия. В Kaspersky Endpoint Security 8 реализована так называемая "гибридная" защита, при которой традиционные антивирусные технологии работают одновременно с "облачными", что существенно увеличивает скорость реагирования на новые угрозы. "Облачные" технологии реализованы в виде репутационного сервиса Kaspersky Security Network (KSN), который представляет собой набор онлайн-служб и сервисов, обеспечивающих возможность использования базы знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения. Kaspersky Security Network позволяет провести оценку репутации файлов и URL и, на основании полученной информации, заблокировать доступ к вредоносному контенту или ограничить действия подозрительных приложений. По сравнению с персональными продуктами в корпоративных продуктах доступна расширенная функциональность для работы с "облаком". Во-первых, данные из Kaspersky Security Network используются для создания белых списков приложений. С их помощью можно распределять известные приложения по категориям и настраивать правила для работы с каждой категорией программ в соответствии с корпоративной политикой безопасности. Во-вторых, Kaspersky Security Center позволяет проводить "тонкую" настройку использования "облачных" технологий в каждом конкретном компоненте обеспечения безопасности. По сравнению с предыдущими корпоративными решениями в Kaspersky Endpoint Security 8 были добавлены новые и получили развитие уже задействованные компоненты. Были добавлены компоненты "Контроль программ" и "Веб-контроль", стали использоваться "облачные" технологии, переработан пользовательский интерфейс. Также были расширены возможности проактивной защиты, сетевого экрана и компонента контроля устройств. В данной работе мы проведем обзор функциональных возможностей, пользовательского интерфейса и особенностей работы продукта Kaspersky Endpoint Security 8, который в начале октября был выпущен на рынок. Системные требованияДля работы с Kaspersky Endpoint Security 8 компьютер должен удовлетворять следующим общим системным требованиям:
Минимальные требования к компьютеру зависят от операционной системы, под управлением которой он работает. Подробная таблица приведена ниже. Таблица 1. Требования к аппаратуре для работы на разных операционных системах
Функциональные возможностиВ Kaspersky Endpoint Security 8 реализованные следующие основные возможности. Компоненты защиты:
Компоненты контроля:
Неотъемлемой частью многих перечисленных компонент являются "облачные" технологии. Результаты работы "облака" используются в таких компонентах как файловый антивирус, веб-антивирус, контроль запуска программ, контроль активности программ, а также в работе проактивной защиты. Компоненты, входящие в Kaspersky Endpoint Security 8 для установки на рабочие станции и файловые серверы, различаются. Инсталлятор сам определяет операционную систему на которую устанавливается и устанавливает необходимые компоненты. Также следует упомянуть, что для установки на рабочие станции и файловые серверы используются различные лицензии. Таблица 2. Различия компонентов при установке Kaspersky Endpoint Security 8 на разные рабочие станции и файловые серверы
Подготовка к использованиюKaspersky Endpoint Security 8 можно установить как локально, так и удаленно. Локальная установка производится непосредственно на компьютере двумя способами. Первый - это установка в интерактивном режиме, с использованием мастера установки программы. Второй способ - "тихая установка", запускается с использованием командной строки и не требует активного участия пользователя. Удаленная установка может быть произведена с рабочего места администратора при помощи средства управления Kaspersky Security Center или с помощью групповых доменных политик Microsoft Windows Server. Для локальной установки нужно запустить инсталляционный файл программы, после чего появится приветственное окно мастера установки. Рисунок 1. Начальное окно мастера установки Kaspersky Endpoint Security 8 Далее нам нужно ознакомиться с лицензионным соглашением и согласиться с участием в репутационном сервисе Kaspersky Security Network (KSN), который позволяет обеспечивать защиту компьютера при помощи "облачных" технологий. В корпоративных продуктах "Лаборатории Касперского", в отличие от персональных, не ведётся сбор пользовательских данных, передаётся исключительно MD5 файлов, поэтому данную технологию можно включать даже скептикам использования "облака". Рисунок 2. Подтверждение участия в программе Kaspersky Security Network Далее предъявляется окно выбора типа установки: полной или выборочной. При выборочной установке необходимо отметить желаемые для установки компоненты и указать папку на одном из разделов жесткого диска, в которую будет установлена программа. Рисунок 3. Выбор компонентов для установки На последнем этапе установки можно защитить процесс установки, что позволит корректно установить Kaspersky Endpoint Security 8 в случае, если компьютер уже заражен, и вредоносные программы пытаются препятствовать установке антивируса. Также можно добавить путь к исполняемому файлу антивируса в системную переменную %PATH%, что позволит легко запускать его при помощи командной строки в любом рабочем каталоге. Рекомендуется установить оба флажка. После этого запускам процесс установки. Рисунок 4. Дополнительные настройки установки Kaspersky Endpoint Security 8 После установки нужно зарегистрировать Kaspersky Endpoint Security 8. Это можно сделать при помощи ключа активации, кода активации, автоматически (через Интернет) или просто отложить активацию. Рисунок 5. Активация Kaspersky Endpoint Security 8 После этого нужно перезагрузить операционную системы. На этом установка закончена. Рисунок 6. Завершение установки Работа с продуктомОсновное окно программы состоит из двух инструментальных панелей "Центр защиты" и "Настройки". Рисунок 7. Главное окно Kaspersky Endpoint Security 8 При помощи инструментальной панели "Центр защиты" можно управлять запуском различных компонентов защиты, получать информацию об их работе, а также запускать процессы проверки компьютера на наличие вредоносных программ. Для пользователей локального компьютера "Центр защиты" является основным инструментом для работы. В "Центре защиты" все компоненты программы разделены на три группы: компоненты контроля, компоненты защиты и функции управления задачами. Разделение на группы отражает сквозную для программы модель разделения её компонентов на два больших класса - контроль и защита. Предложенная иерархия позволяет пользователю достаточно быстро сформировать для себя "ментальную" модель продукта, что увеличивает продуктивность работы с программой и уменьшает количество совершаемых непроизвольных ошибок. Рисунок 8. Структура инструментальной панели "Центр защиты" Доступ к основной функциональности программы осуществляется через инструментальную панель "Настройки", которая позволяет задавать параметры работы всех компонентов защиты, а также параметры проверок, отчетов, хранилища и т. д. Настройка может осуществляться как непосредственно пользователем, так и системным администратором при помощи специальной консоли Kaspersky Security Center. Рисунок 9. Структура инструментальной панели "Настройки" В верхней части окна находится кнопка "Репутационный сервис KSN", открывающая окно, в котором можно включить работу "облачных" технологий и просмотреть статистику их работы. Собственно, работа с "облаком" происходит автоматически, и не требует от пользователя никаких решений, кроме как решения о включении или отключении работы данной технологии. Рисунок 10. Программное окно для включения работы "облачных" технологий Доступ к отчетам, карантину, справке и поддержке работы программы можно получить при помощи соответствующих команд, расположенных по окантовке главного окна. Последовательно рассмотрим основные компоненты Kaspersky Endpoint Security 8. Контроль рабочего места Компоненты контроля рабочего места позволяют настраивать правила доступа к приложениям, отслеживать работу приложений, а также контролировать доступ к устройствам и веб-ресурсам. Контроль запуска программ позволяет производить аудит использования приложений и разрешать/блокировать их запуск. Контроль запуска осуществляется при помощи набора правил, которые можно создать на основе локального списка программ или категорий программ, получаемых из "облака". Рисунок 11. Настройка контроля запуска программ Можно добавлять новые, а также изменять и удалять уже существующие правила. Каждое правило включает в себя набор условий для его срабатывания, а также группы пользователей, для которых данное правило необходимо применять. Условием, по которому правило может сработать, может быть путь к директории с исполняемым файлом программы, метаданные (например, имя исполняемого файла или его производитель), хеш исполняемого файла или принадлежность к заранее созданным спискам программ, обладающих общими признаками (например, браузеры). Условия могут быть как исключающие, так и разрешающие, в зависимости от цели создания правила. Интеграция с Active Directory позволяет применять созданные правила как для отдельных пользователей, так и для уже существующих групп пользователей. Это касается не только правил для контроля программ, но и правил во всех остальных компонентах Kaspersky Endpoint Security 8. Рисунок 12. Создание правила контроля запуска программ По умолчанию созданы три правила контроля: разрешить все, разрешить доверенные программы и разрешить программы из "золотой категории". К доверенным относятся программы наиболее известных производителей программного обеспечения (например, Microsoft, Adobe), а к "золотой категории" относятся программы, которые необходимы для запуска и нормальной работы операционной системы. Контроль активности программ позволяет регистрировать действия, совершаемые программами в системе, и накладывать на действия программ ограничения на основе их принадлежности к одной из групп доверия. Для каждой группы доверия задан набор правил, которые регламентируют доступ программ к персональным данным пользователя, ресурсам операционной системы, а также ресурсам сети. Применение данного компонента позволяет предотвратить действия программ, опасные для операционной системы. Рисунок 13. Настройка контроля активности программ Существуют четыре группы программ: "доверенные", "слабые ограничения", "сильные ограничения", "недоверенные". Критериям для отнесения программы к одной из групп является - наличие цифровой подписи и/или наличие записи в базе доверенных программ Kaspersky Security Network. Для программ из доверенной группы практически нет ограничений, при уменьшении уровня доверия к программам на их действия накладывается все большее число ограничений. При первом запуске программы начинает работать сигнатурный и эвристический анализ, а также "облачные" технологии. По результатам их работы и происходит отнесение к одной из групп. При этом группа, к которой относится программа, может быть в любой момент изменена. Рисунок 14. Правила контроля программ Контроль активности программ позволяет управлять правами программ для доступа к различным системным и пользовательским ресурсам (например, к файлам и папкам, ключам реестра, сетевым адресам и т. д.). "По умолчанию" задан набор защищаемых категорий ресурсов и самих ресурсов, который может быть дополнен администратором. Рисунок 15. Защищаемые ресурсы Мониторинг уязвимостей позволяет проверять на наличие уязвимостей программы в режиме реального времени, а также при их запуске. Задача поиска уязвимостей состоит в диагностике безопасности операционной системы и поиске в программном обеспечении уязвимостей, которые могут быть использованы для распространения вредоносных объектов или кражи персональных данных. Поиск уязвимостей может быть включен всегда (установка флажка "Включить мониторинг уязвимостей" в соответствующей ветке), запускаться по расписанию или вручную (ветка "Поиск уязвимости" в категории "Задачи по расписанию"). Найденные уязвимости отражаются в мониторе активности программ, который можно вызвать из окна настройки компонента "Контроль активности программ". Рисунок 16. Монитор активности программ В нем можно получить информацию об источнике уязвимости, уровне ее важности (критичная, важная или предупреждение) и рекомендации по ее устранению. После выполнения рекомендованных действий соответствующей уязвимости присваивается статус "Исправленная". В зависимости от типа проблемы может потребоваться установка обновлений для операционной системы, изменение настроек программ или установка дополнительных патчей на программы. Рисунок 17. Найденные уязвимости в окне "Отчеты и хранилища" Контроль устройств позволяет регулировать доступ к устройствам хранения информации (жесткие диски, съемные носители информации, CD/DVD-диски), передачи информации (например, модемы), перевода информации из цифровой в материальную форму (например, принтеры), а также к интерфейсам, с помощью которых внешние устройства подключаются к компьютеру (например, USB, FireWire). Также регулирование прав доступа к тем или иным устройствам можно настраивать на уровне ID и серийных номеров устройств. Рисунок 18. Контроль устройств Можно создать список доверенных устройств, доступ к которым разрешен в любое время. Рисунок 19. Добавления доверенных устройств Как для блокируемых, так и для доверенных устройств можно указать пользователей/группы пользователей, на которых распространяются правила, и временные интервалы использования правил. Временные интервалы можно независимо задавать для чтения с устройства и для записи на него. Рисунок 20. Настройка правил доступа к устройствам Использование данного компонента позволяет организовать учет аппаратных средств хранения/приема/передачи информации, а также уменьшить риски несанкционированного копирования и перемещения данных за пределы компании. Веб-контроль позволяет установить ограничения на доступ к веб-ресурсам для разных групп пользователей. По сути, веб-контроль выполняет функции фильтрации контента при работе в Интернете. Это позволяет уменьшать расход трафика в организации и рабочее время сотрудников, которое они тратят на личные цели в рабочее время (например, общение в социальных сетях, скачивание фильмов и т. д.). Рисунок 21. Настройка веб-контроля Для настройки доступа к веб-ресурсам нужно создать набор необходимых правил. Для формирования правил доступны следующие инструменты:
Рисунок 22. Создание правила доступа к веб-ресурсам Рисунок 23. Наложение ограничений для типов посещаемых сайтов и загружаемых файлов Для каждого правила указываются пользователи, на которых оно распространяется, действие правила (разрешающее, запрещающее или предупреждающее) и расписание работы правила (всегда или в определенные промежутки времени). Если пользователь не согласен с результатом блокировки, то он может сформулировать жалобу для системного администратора. Текст жалоб, сообщений о блокировки и предупреждений можно настроить самостоятельно, для этого нужно нажать кнопку "Шаблоны..." и задать шаблон сообщения с объяснением причин блокировки или текстом жалобы. Например, несоответствие посещаемой страницы корпоративной этике или запрещение использование Интернета в рабочее время в личных целях. Рисунок 24. Пример окна предупреждения Прежде чем применять созданные правила, можно предварительно протестировать результат их работы. Для этого используется окно "Диагностика правил", которое можно вызвать из окна компонента нажатием на кнопку "Диагностика...". Антивирусная защита Антивирусные компоненты позволяют проверять файловую систему компьютера, почтовые сообщения, работу в Интернете и передачу мгновенных сообщений на наличие вредоносных программ. Файловый антивирус предназначен для проверки файловой системы на наличие вредоносных программ. Компонент отслеживает любые обращения к файлам, и после этого начинает проверку файлов на наличие вирусов и иных программ, представляющих угрозу для системы. Файловый антивирус может работать в режиме монитора или проводить проверку как всей файловой системы, так и ее компонентов при запуске в ручную и по расписанию. На панели "Центр защиты" доступ к файловому антивирусу осуществляется в группе "Управления защитой". Контекстное меню данного компонента позволяет производить следующие действия: включить/выключить работу, проводить настройку, просмотреть отчеты о работе; просмотреть файлы, помещенные в карантин и в "резервное хранилище", получить справку по использованию компонента. Рисунок 25. Контекстное меню с действиями над файловым антивирусом Настройки файлового антивируса позволяют выбрать уровень безопасности (низкий, рекомендуемый, высокий) и настроить различные параметры работы: действия при обнаружении угроз, типы проверяемых файлов, использование эвристического анализа, использование методов оптимизации проверки (например, при повторной проверке проверять только новые или измененные файлы). Рисунок 26. Окно для настроек файлового антивируса Почтовый антивирус проверяет все входящие и исходящие почтовые сообщения на наличие в них вирусов и иных программ, представляющих угрозу системе. Компонент может проверять сообщения, отправляемые по протоколам POP3, SMTP, IMAP, MAPI и NNTP. Для удобства работы пользователей предусмотрены специальные "плагины", которые позволяют встраивать функцию проверки почты в наиболее распространенные почтовые клиенты - "MS Outlook" и "The Bat!". Рисунок 27. Окно для настроек почтового антивируса Веб-антивирус проверяет входящий и исходящий трафик по протоколам HTTP и FTP на наличие вирусов или иных вредоносных программ, а также проверяет ссылки на принадлежность к подозрительным или фишинговым веб-адресам. В зависимости от уровня угрозы программа может заблокировать веб-страницу или выдать предупреждение о ее опасности. При настройке веб-антивируса можно выбрать уровень безопасности, "глубину" эвристического анализа для различных типов проверок и задать набор доверенных сайтов, которые не нужно проверять. Рисунок 28. Настройка веб-антивируса IM-антивирус проверяет трафик, передаваемый программами для мгновенного обмена сообщениями (интернет-пейджерами). При обнаружении в сообщениях ссылок на вредоносные программы, а также опасные или фишинговые сайты, компонент заменяет такие ссылки сообщениями об обнаруженной угрозе. Следует обратить внимание, что проверка проводится только для следующих систем обмена сообщениями - ICQ, MSN, AIM, Mail.Ru Агент и IRC. Защита сети Для защиты сети используются компоненты "Сетевой экран" и "Защита от сетевых атак". Сетевой экран обеспечивает защиту личных данных пользователя от угроз, которые возникают при работе в локальной сети или сети Интернет. Данный компонент фильтрует всю сетевую активность согласно заданным сетевым правилам. Рисунок 29. Программное окно для настройки сетевого экрана Настройка сетевого экрана заключается в задании сетевых правил двух типов (сетевых правил программ и сетевых пакетных правил), а также определения типа доступных сетей. Таким образом, сетевой экран обеспечивает защиту как на сетевом, так и на прикладном уровне. Все сетевые правила представляют собой набор разрешающих или запрещающих действий, которые должны быть выполнены при обнаружении попытки сетевого соединения. Сетевые правила программ позволяют ограничивать сетевую активность программ по определенным портам выбранного протокола передачи данных. Все запускаемые программы автоматически разделяются на четыре группы доверия, по тем же принципам, что и в компоненте "Контроль активности программ". С уменьшением уровня доверия на сетевые операции программ налагается все большее количество ограничений. Рисунок 30. Программное окно для работы с сетевыми правилами контроля программ Для каждой группы доверия или программы можно изменить имеющиеся правила или создать новые. Создавая новое правило можно задавать совершаемое действие (разрешить или заблокировать), контролируемый протокол (TCP, UDP, ICMP, ICMPv6, IGMP или GRE), направление контроля (входящий или исходящий трафик), сетевой адрес, а для TCP и UDP протоколов задавать контролируемый порт. Рисунок 31. Создание сетевого правила программ Сетевые пакетные правила предназначены для задания ограничений на сетевые пакеты независимо от программ, которые их передают. Ограничения накладываются на сетевую активность по определенным портам выбранного протокола передачи данных. Сетевые пакетные правила имеют более высокий приоритет, чем сетевые правила программ. При пересечении области действия различных правил выполняться будут именно сетевые пакетные правила. При этом приоритеты любых правил могут быть изменены. Рисунок 32. Программное окно для работы с сетевыми правилами контроля программ Также сетевой экран контролирует все сетевые соединения. Каждому сетевому соединению автоматически присваивается один из трех статусов: публичная, локальная или доверенная сеть. В зависимости от уровня доверия сети на действия в ней накладываются соответствующие ограничения. Рисунок 33. Задание статуса сети Помимо указанных инструментов в сетевой экран входит монитор сети, доступ к которому можно получить из контекстного меню данного модуля в панели "Центр защиты". Монитор позволяет получать информацию об активности приложений в сети (как основного процесса, так и его потоков), открытых портах, количестве трафика и IP-адресах удаленных компьютеров, заблокированных компонентом "Защита от сетевых атак". Рисунок 34. Мониторинг сетевой активности Рисунок 35. Использование сетевого трафика Компонент "Защита от сетевых атак" позволяет отслеживать во входном трафике активность, характерную для сетевых атак. При обнаружении сетевой атаки Kaspersky Endpoint Security 8 блокирует сетевую активность атакующего компьютера. Для данного компонента можно настраивать только время блокирования атакующего компьютера (по умолчанию это 60 минут) и задать список исключений (по IP-адресам). Рисунок 36. Задание исключений для компонента "Защита от сетевых атак" Компонент "Мониторинг системы" обеспечивает проактивную защиту и отслеживает активность программ в операционной системе, для использования этих данных в других компонентах Kaspersky Endpoint Security 8. Работа данного компонента основывается на сравнении действий в шаблонах опасного поведения (BBS, Behavior Stream Signatures) с действиями программ. Если обнаруживается совпадение, то данная программа помещается на карантин. При необходимости пользователь может изменить действие "по умолчанию" - вместо помещения в карантин работа подозрительной программы либо будет блокироваться, либо пользователь даст разрешение ее работы, несмотря на предупреждение. Данные мониторинга также могут использоваться для отката действий, произведенных вредоносными программами. Рисунок 37. Настройка мониторинга системы Отчеты и хранилища Информация о работе как Kaspersky Endpoint Security 8, так и каждого его компонента регистрируется и доступна в окне "Отчеты и хранилища" на вкладке "Отчеты". Можно просмотреть системный аудит, в котором представлены все события, и события каждого компонента. Рисунок 38. Программное окно для работ с отчетами Все события, в зависимости от важности разделены на три большие группы: информационные, важные и критические. События можно отсортировать по важности или времени их возникновения. В Kaspersky Endpoint Security 8 реализованы три типа хранилищ:
Рисунок 39. Карантин Если файл не может быть обработан или вылечен, то его можно послать сотрудникам "Лаборатории Касперского" на исследование. Поддержка Kaspersky Endpoint Security 8 сопровождается многоуровневой системой обучения и поддержки. Программа снабжена программной справкой и дублирующим ее бумажным руководством с подробным описанием всех компонентов программы и действий по работе с ними. Единственным минусом справки и руководства является отсутствие иллюстраций, что несколько затрудняет работу. При нажатии на кнопку "Поддержка" в главном окне Kaspersky Endpoint Security 8 появляется соответствующее окно, из которого можно перейти к базе часто задаваемых вопросов (интерактивная справка), базе знаний по программе или форуму пользователей. При возникновении сложной проблемы, решение которой не удалось найти при помощи предыдущих способов, можно записать трассировку работы программы и загрузить ее на сервер технической поддержки. Окно для настройки и записи трассировки можно вызвать из окна поддержки. Рисунок 40. Программное окно "Поддержка" Рассмотрев в данном обзоре компоненты Kaspersky Endpoint Security 8 и их настройки, в следующем обзоре рассмотрим средство управления Kaspersky Security Center и управление с его помощью Kaspersky Endpoint Security 8 . ВыводыОдной из главных особенностей Kaspersky Endpoint Security 8 является применение так называемой "гибридной" защиты, в которой традиционные антивирусные технологии работают одновременно с "облачными". Помимо традиционного набора антивирусных компонентов в Kaspersky Endpoint Security 8 включены компоненты контроля рабочего места - контроль программ, контроль устройств и веб-контроль. В зависимости от стоящих перед системным администратором задач, для всех компьютеров в локальной сети могут быть применены как общие, так и индивидуальные настройки каждого из компонентов защиты. Положительно можно оценить "сквозную" для всего пользовательского интерфейса идеологию доступа к компонентам защиты. Однако отнесение компонентов "Сетевой экран" и "Защита от сетевых атак" в группу "Антивирусных технологий" вызывает вопросы. Все компоненты можно было бы выделить в отдельную группу "Защита сети". Плюсы:
Минусы:
Пожелания:
Продукт получает итоговую оценку 9,5 из 10 баллов. Продукт получает награду Approved by Anti-Malware.ru Ссылки по теме
|
|