|
|
|||||||||||||||||||||||||||||
|
Обзор ESET NOD32 Smart Security Business Edition 5.Источник: anti-malware Михаил Картавенко
ESET NOD32 Smart Security Business Edition 5 - это новый инструмент для защиты корпоративных рабочих станций, который обеспечивает комплексную защиту от различных видов угроз. В него входит клиент для защиты рабочих станций ESET Endpoint Security 5 и инструмент для централизованного администрирования всех защищаемых компьютеров ESET Remote Administrator Console 5. В первой части обзора мы рассмотрим клиентский компонент ESET Endpoint Security 5.
ВведениеESET NOD32 Smart Security Business Edition 5 включает в себя клиентский компонент ESET Endpoint Security 5, обеспечивающую комплексную защиту рабочих станций в организации, и ESET Remote Administrator 5, предназначенную для централизованного управления всеми защищаемыми компьютерами. Традиционно для корпоративных продуктов обзор будет разбит на две части. В первой части мы рассмотрим компоненты защиты, реализованные в ESET Endpoint Security 5, а во второй - инструменты для управления защитой сети, реализованные в ESET Remote Administrator 5.
Системные требованияДля работы с ESET Endpoint Security 5 компьютер должен удовлетворять следующим системным требованиям. Минимальные требования: процессор - частота не менее 400 МГц; Рекомендованные требования:
оперативная память - не менее 512 Мб; место на жестком диске - не менее 320 Мб.
Microsoft Windows Server 2008 R2/ 2008/ 2003 /2000 (32-bit и 64-bit версии); Microsoft Windows Small Business Server 2003/ 2003 R2/ 2008/2011; Linux (RedHat, Mandrake, SuSE, Debian, FreeBSD 4.X, 5.X и 6.Х, NetBSD 4); Sun Solaris 10; Mac OS X 10.5.x (Leopard), 10.6.x (Snow Leopard), 10.7.x (Lion).
Функциональные возможностиВ пятой версии продукта был реализован ряд новых компонентов и технологий для обеспечения безопасности. Был добавлен контроль устройств, веб-фильтрация по категориям и "облачные" технологии ESET Live Grid. Также был существенно доработана система защиты от внешних вторжений (HIPS) Появилось возможность откатывать обновления, если при их загрузке возникли ошибки, появился режим "презентаций", который позволяет не отвлекать пользователей сообщениями при работе с полноэкранными приложениями (просмотре видео и презентаций, компьютерных играх и т.д.). В новой версии расширился набор служебных программ, позволяющих более подробно анализировать работу антивируса. К ним относятся такие инструменты как "Статистика", "Мониторинг", "Запущенные процессы", "Сетевые подключения" и "Предоставить файл на анализ".
Также ESET Endpoint Security 5 позволяет организовать защиту виртуальных сред. Все программы ESET Endpoint Security 5 в корпоративной сети централизованно управляются при помощи ESET Remote Administrator. Администратор может разворачивать защиту на все компьютеры в сети, настраивать расписание проверок и источники обновления антивирусных баз, задавать настройки работы всех компонентов безопасности, при этом можно задавать как частные настройки для отдельных пользователей, так и правила для всех пользователей в сети.
Подготовка к использованиюУстановку ESET Endpoint Security можно осуществить одним из четырех способов:
установка при помощи групповых политик безопасности и при помощи специально написанных скриптов (Logon-script); установка по электронной почте. В этом случае пользователю нужно только запустить установку агента, полученного по электронной почте; локальная установка.Локальная установка проходит в интерактивном режиме, с использованием мастера установки программы. Установка достаточно проста и похожа на установку большинства программ. Для начала следует запустить инсталляционный файл, после чего появится окно мастера установки.
Рисунок 1. Окно мастера установки ESET Endpoint Security 5
Далее нужно ознакомиться с лицензионным соглашением, после чего выбрать строку о принятии условий. Затем следует выбрать обычную или пользовательскую установку. Далее нужно указать место для установки программы. После чего можно выбрать компоненты программы, которые будут установлены.
Рисунок 2. Выбор компонентов программы
Для получения регулярных обновлений для продукта следует ввести имя пользователя и пароль, и если на компьютере используется прокси-сервер, то произвести его настройку. После этого нужно настроить параметры автоматического обновления и, при желании, включить защиту конфигураций программы при помощи пароля. На следующем шаге предлагается принять участие в сообществе ESET Live Grid, которое используется для сбора данных о новых угрозах. Полученные данные используются для работы "облачных" сервисов для быстрого реагирования на вновь обнаруженные угрозы.
Рисунок 3. Участие в ESET Live Grid
Далее нужно выбрать режим обнаружения потенциально нежелательных приложений и режим фильтрации. После того как все настройки будут заданы запустится процедура установки.
Рисунок 4. Выбор режима фильтрации
Работа с продуктомГлавное окно программы ESET Endpoint Security 5 состоит из панели инструментов и информационной панели. В панели инструментов пользователь может получить доступ к основным функциям антивируса, а информационная панель содержит элементы управления конкретными функциями. Все функции в панели инструментов снабжены контекстной справкой. Пользовательский интерфейс антивируса выполнен в минималистичном стиле. Основные функции - проведение сканирования файловой системы, обновление антивирусных баз, работа с дополнительными инструментами - вынесены на панель инструментов и выполняются достаточно просто. Работа с основными компонентами, которые в корпоративном антивирусе чаще всего настраиваются администратором и редко нужны пользователям, вынесена в настройки.
Рисунок 5. Главное окно ESET Endpoint Security 5
Для удобства пользователей, все компоненты безопасности в ESET Endpoint Security 5 отнесены к одной из трех групп: безопасность компьютера, сети и Интернета. При этом данная идеология присутствует и в пользовательском интерфейсе, и в настройках, и в документации. В разделе "Состояние защиты" отображается состояние каждой из групп компонентов, количество проверенных антивирусом объектов и часто используемые действия. Если какой-либо компонент безопасности отключен, или была найдена вредоносная программа, то в разделе появится предупреждение об этом. Также пиктограмма раздела "Состояние защиты" и пиктограмма в верхнем правом углу окна станут красными. Это достаточно удобно, так как наличие угрозы пользователь сможет увидеть в любом окне ESET Endpoint Security 5.
Рисунок 6. Панель "Состояние защиты" ESET Endpoint Security 5
В разделе "Сканирование ПК" пользователь может запустить проверку файловой системы. ESET Endpoint Security 5 содержит два сценария проверки: "Smart сканирование" (сканирование с настройками "по умолчанию") и выборочное сканирование.
Рисунок 7. Панель "Сканирование ПК" ESET Endpoint Security 5
Пользователь может создавать свои сценарии (в ESET Endpoint Security 5 они называются "профилями") сканирования. Для всех сценариев можно задавать большой набор параметров сканирования: проверяемые объекты, время проверки, тип реагирования на найденные угрозы ("уровень очистки"), работа модуля проактивной защиты ThreatSense и т.д.
Рисунок 8. Профили конфигурации
При обнаружении вредоносных программ выводится окно с описанием угрозы и действия, которое нужно произвести.
Рисунок 9. Окно предупреждений
Раздел "Обновление" позволяет провести обновление антивирусных баз, а так же устранить неполадки, которые могли возникнуть при обновлении. Существует несколько типов обновлений:
Рисунок 10. "Обновление"
ESET Endpoint Security 5 также можно настроить таким образом, чтобы он выполнял функции зеркала обновлений для других клиентов в локальной сети организации. Раздел "Настройка" позволяет задать параметры работы всех компонентов защиты и пользовательского интерфейса ESET Endpoint Security 5. Переходя в данный раздел, пользователь видит в информационной панели состояние каждого компонента антивируса. Это несколько нарушает логику работы с антивирусом, так как данная информация больше соответствует разделу "Состояние защиты".
Рисунок 11. Панель "Настройка"
При нажатии на название группы компонентов происходит переход к окну, в котором можно вызвать настройки каждого компонента. В группу "Компьютер" входят такие компоненты как: антивирусный монитор ("Защита в режиме реального времени"), контроль устройств, контроль приложений ("Система предотвращения вторжений") и анти-руткит ("Защита Anti-Stealth").
Рисунок 12. Настройка инструмента "Компьютер"
Защита компьютера"Защита документов" проверяет документы Microsoft Office и файлы, закачиваемые браузером Internet Explorer, на наличие вредоносных скриптов. Технология Anti-Stealth позволяет обнаруживать и удалять активные руткиты, не обнаруженные проактивной защитой. В антивирусный монитор входит технология ThreatSense, которая представляет собой проактивную защиту и включает эвристический и поведенческий анализ. Администратор может задать использование одного или нескольких методов проверки файлов, с которыми производится работа.
Рисунок 13. Задание методов работы технологии ThreatSense
В работе технологии ThreatSense и остальных технологий антивирусного сканера и монитора используется "облачная" технология компании ESET, которая называется Live Grid. Она позволяет получать информацию о репутациях процессов и файлов как через специальный сервис ESET Endpoint Security 5, так и через контекстное меню. Live Grid антивирус отправляет подозрительные файлы администратору и/или в сервисный центр ESET, что позволят быстро создавать защиту от новых угроз и останавливать вирусные эпидемии.
Рисунок 14. Настройка ESET Live Grid
Из минусов в настройках следует отметить редкие проблемы с русской локализацией. Например, наличие такого термина как "очистка", который сложно ассоциировать с его содержанием. Под очисткой в ESET Endpoint Security 5 понимаются действия, которые будут совершаться при обнаружении вредоносной или подозрительной программы. Существует три вида действий: запрос действий у пользователя ("Без очистки"), удаление или лечение файлов, а при невозможности - запрос действий у пользователя ("Стандартная очистка") и автоматическое удаление ("Тщательная очистка").
Рисунок 15. Уровни очистки ThreatSense
Контроль устройств позволяет автоматически проверять и блокировать работу компьютера с различными типами устройств. Это может быть полезно, если администратору нужно ограничить возможности конкретного пользователя или группы пользователей по выносу из организации данных или внедрению вредоносных файлов.
Рисунок 16. Настройка инструмента "Контроль устройств"
Администратор может заблокировать работу как с конкретным устройством (например, с личной флеш-картой сотрудника X), так и со всем устройствами данного типа на компьютере сотрудника X или всех сотрудников. Также можно не полностью заблокировать работу с устройством, а запретить только чтение или запись. ESET Endpoint Security 5 поддерживает ограничения на различные виды приводов для работы с оптическими дисками, устройства с интерфейсом USB и FireWire, устройства обработки изображений, модемы, устройства для чтения карт памяти и т.д.
Рисунок 17. Редактор правил в ESET Endpoint Security 5
В группу защиты компьютера также входит система обнаружения вторжений (HIPS), которая осуществляет поведенческий анализ действия процессов и приложений. HIPS может работать в одном из четырех режимов: "автоматический режим" (разрешение всех операций, кроме заданных производителем), "интерактивный режим" (запрос действий у пользователя), "режим на основе политики" (блокирование операций) и "режим обучения".
Рисунок 18. Система обнаружения вторжений
Работа с HIPS представляет собой создание набора правил, которые отвечают за предоставление приложениям доступа к определенным файлам, реестрам и т.д. В правилах задаются критерии их срабатывания, действия при обнаружении вторжения, возможности доступа к различным файлам и частям реестра. Правильная настройка правил HIPS позволяет увеличить безопасность защищаемых компьютеров.
Рисунок 19. Настройка правил HIPS
Защита сетиК защите сети относится персональный фаервол, который занимается фильтрацией сетевого трафика по заданным правилам.
Рисунок 20. Настройка защиты сети в ESET Endpoint Security 5
Фаервол может работать в одном из пяти режимов:
Рисунок 21. Режимы работы фаервола в ESET Endpoint Security 5
Если в процессе работы используется несколько локальных сетей или точек доступа в Интернет, то можно создавать профили с настройками под каждую сеть. Также можно настраивать зоны доступа - группы сетевых адресов, на которых распространяются определенные правила. Например, задать доверенную зону, в которой будут разрешаться все сетевые соединения. Защита Интернета и электронной почтыК данной группе относятся такие компоненты как: веб-антивирус, защита электронной почты и анти-спам.
Рисунок 22. Настройка инструмента "Интернет и электронная почта"
При обнаружении вредоносного кода веб-антивирус блокирует доступ к веб-страницам или загрузку файлов из сети. Веб-антивирус также блокирует доступ к фишинговым сайтам для предотвращения кражи личной информации и реквизитов платежных систем. Для защиты почты используется проверка всех входящих и исходящих сообщений, передаваемых по протоколам POP3, POP3s, IMAP и IMAPs. Также можно использовать подключаемые модули для популярных почтовых клиентов: Microsoft Outlook, Outlook Express, Windows Mail, Windows Mail Live и Mozilla Thunderbird. Также для защиты почты можно использовать анти-спам, который позволит отфильтровать нежелательные сообщения.
Рисунок 23. Настройка раздела "Защита почтового клиента"
В ESET Endpoint Security 5 реализовано два инструмента для веб-фильтрации: "белые" и "черные" список блокируемых URL-адресов и фильтрация по категориям. Использование веб-фильтрации позволяет уменьшить время, которые сотрудники тратят на использование Интернета для личных целей и увеличить продуктивность их работы.
Рисунок 24. Настройка фильтрации веб-страниц по категориям
Служебные программыВ разделе "Служебные программы" содержится большой набор сервисов (в ESET Endpoint Security 5 они называются модулями), которые позволяют расширить возможности анализа обнаруженных угроз и администрирование защиты.
Рисунок 25. Панель "Служебные программы"
Все представленные в данном разделе инструменты можно условно разделить на две части - инструменты для анализа результатов защиты и инструменты для дополнительной диагностики системы. "Файлы журнала" представляют собой инструмент для работы с отчетами. В журналах администратор может увидеть все выполняемые программой действия, обнаруженные угрозы, результаты сканирования и результаты работы каждого компонента ESET Endpoint Security 5.
Рисунок 26. Инструмент "Файлы журнала"
Для создания и настройки заданий ESET Endpoint Security 5 используется "Планировщик". К заданиям относятся такие действия как сканирование, обновление базы данных, обслуживания журналов, контроль устройств, контроль доступа в Интернет и т.д. При добавлении нового задания указывается его имя, тип, частота запуска и действия, предпринимаемые в случае, если задача не была запущена.
Рисунок 27. Инструмент "Планировщик"
Помимо запуска по расписанию ESET Endpoint Security 5 позволяет выполнять задания по возникновению различных событий - входе пользователя в систему, при обнаружении вирусов, при обновлении антивирусных баз и т.д.
Рисунок 28. События для запуска задач
"Статистика" дополняет работу с отчетами и отображает состояние защиты компьютера при помощи круговой диаграммы. Пользователь или администратор могут просмотреть статистику работы антивирусного сканера и монитора, веб-антивируса и компонента для защиты почты.
Рисунок 29. Инструмент "Статистика"
В "Карантине" хранятся подозрительные и вредоносные файлы, которые помещаются туда после их обнаружения в ходе сканирования или работы других компонентов защиты, а также при явном указании пользователя на подозрительный файл. В случае, если в карантин попал неопасный файл, его в любой момент времени можно восстановить по исходному пути. Подозрительные файлы можно оставлять в карантине для их проверке после выхода новых обновлений антивирусных баз.
Рисунок 30. Инструмент "Карантин"
"Мониторинг" - инструмент, измеряющий активность работы файловой системы и обменов по сети. Объем переданных/принятых или записанных/прочитанных данных отображается на графике. Для удобства просмотра результатов мониторинга можно менять период отрисовки новых данных от 1 секунды до 1 часа.
Рисунок 31. Инструмент "Мониторинг"
Инструмент "Запущенные процессы" отображает выполняемые программы и позволяет следить за корректностью их работы, что может помочь опытным пользователям обнаруживать работу подозрительных приложений. Также на основе работы "облачных" технологий ESET Live Grid пользователь получает развернутую информацию о репутации приложений.
Рисунок 32. Инструмент "Запущенные процессы"
Инструмент "Сетевые подключения" показывает списки активных и неактивных соединений. Это позволяет управлять работой всех приложений, которые устанавливают исходящие сетевые соединения.
Рисунок 33. Инструмент "Сетевые подключения"
Удобной функцией является отправка подозрительных файлов на анализ в лабораторию ESET. Для этого используется инструмент "Предоставить файл на анализ". При передаче нужно указать тип проблемы - подозрительный файл или ложное срабатывание.
Рисунок 34. Инструмент "Передача файлов"
Также программа позволяет получить образ оперативной памяти (так называемый "дамп памяти"), который можно послать в службу технической поддержки для поиска ошибок ESET Endpoint Security 5. Утилита "ESET SysInspector" представляет собой регистратор событий операционной системы, который может помочь выявить причины ее подозрительного поведения и определить, вызвано ли это поведение действиям вирусов. В зависимости от уровня опасности все приложения в данном списке относятся к одному из 9 уровней: от 1 (безопасно, зеленый цвет) до 9 (опасно, красный цвет). В программном окне данного инструмента содержатся данные о журналах с отчетами: время создания журнала; имя пользователя, создавшего журнал; состояние создания журнала и т.д. Пользователь может просмотреть существующие журналы, провести сравнение двух существующих журналов между собой, удалить журнал и т.д. Также можно сделать эталонный "снимок" системы, чтобы при возникновении подозрений на заражение сравнить новый "снимок" с эталонным и увидеть изменения.
Рисунок 35. Утилита "ESET SysInspector" в ESET Endpoint Security 5
Утилита "ESET SysRescue" позволяет создать загрузочный диск с ESET Endpoint Security 5 для проверки независимо от операционной системы. Удаленное администрированиеНазначение ESET Endpoint Security 5 состоит в защите компьютеров в локальной сети. При разворачивании защиты на компьютеры в сети, администратор может задавать настройки всех компонентов защиты ESET Endpoint Security 5 и задачи, которые он будет выполнять.
ВыводыВ заключение обзора ESET Endpoint Security 5 подведем итоги. В целом, программа вызвала положительные впечатления: простой пользовательский интерфейс, большое количество инструментов для облегчения обучения и понимания работы программы, большой набор сервисных функций. К минусам стоит отнести проблемы с локализацией и нарушения логики декларируемой информационной модели программы. Плюсы
Минусы
Ссылки по теме
|
|