Самоучитель системного администратора. 5-е издание

Безопасность 
459 
Защита от вредоносных программ 
Часто с целью кражи или уничтожения информации совершаются попытки уста-
новки на компьютер какой-нибудь вредоносной программы. Этих программ на-
столько много, что для исключения таких ситуаций создан специальный класс про-
грамм — программ защиты хоста. 
Программы защиты хоста позволяют заблокировать запуск вредоносных программ, 
а также исключить установку троянов и руткитов (вредоносного кода, который мо-
жет использоваться для кражи данных). Обычно весь вредоносный код вместе
с троянами и руткитами называется 
malware-программами
— от английского 
malicious software. 
На рис. 9.10 представлена программа Symantec Endpoint Protection, которая, поми-
мо функций антивирусной защиты, включает современный межсетевой экран и 
средства обнаружения атак и вторжений. Программа способна обнаруживать кла-
виатурные шпионы, блокировать хосты, осуществляющие атаки, маскировать опе-
рационную систему (подменять типовые ответы на контрольные пакеты IP). В ней 
содержатся опции, включавшиеся ранее только в специализированные програм-
мы, — например, защита от подмены MAC-адреса, интеллектуальный контроль 
протоколов DHCP, DNS, обнаружение руткитов и т. д. 
П
РИМЕЧАНИЕ
Руткит
(rootkit) — программа, использующая технологии маскировки своих файлов и 
процессов. Эта технология широко применяется, и не только злоумышленниками. На-
пример, антивирусная программа Kaspersky Antivirus использует эту технологию для 
сокрытия своего присутствия при чтении NTFS-данных. 
Рис. 9.10. 
Интерфейс программы Symantec Endpoint Protection 

460 
Глава 9 
В корпоративной среде для централизованного управления защитой всех рабочих 
станций можно использовать программу Symantec Endpoint Protection Manager 
(рис. 9.11). Помимо централизованного управления программа поддерживает раз-
вертывание программы Symantec Endpoint Protection на рабочих станциях. 
Рис. 9.11. 
Интерфейс программы Symantec Endpoint Protection Manager 
Использовать в корпоративной среде индивидуальные версии антивирусных про-
грамм нецелесообразно — они пригодны только для небольших предприятий. Кор-
поративные же решения, подобные Symantec Endpoint Protection Manager, позволя-
ют настроить единые правила защиты (например, профили для работы в локальной 
сети и в публичной с автоматическим переключением при смене места нахождения 
и т. п.), снизить объем загружаемых обновлений (обновления будут получены из 
Интернета только один раз, а потом просто распространены по локальной сети), 
централизованно настроить опции антивирусной защиты) и т. п. 
Symantec Endpoint Protection Manager — не единственное корпоративное решение. 
Аналогичные решения есть у Dr.Web (Dr.Web Enterprise Security Suite), у Лабора-
тории Касперского (Kaspersky Endpoint Security для бизнеса) и у других разработ-
чиков средств защиты информации. 
При необходимости защиты конфиденциальной информации в процессе выбора 
средства защиты обращайте внимание на наличие сертификата ФСТЭК. Как прави-

Безопасность 
461 
ло, разработчики предлагают как обычные, так и сертифицированные версии. По-
следние стоят дороже. Если вы уже приобрели лицензионную версию программы, 
то, как правило, вам предоставляется возможность докупить сертифицированную 
версию или пакет сертификации, — как, например, у Касперского (причем, нужно 
отметить, что цена пакета сертификации более чем лояльная). 
График обновления антивирусных баз 
В последнее время вирусы в мире распространяются очень быстро — на второй-
третий день после начала распространения они захватывают большинство сущест-
вующих компьютерных систем. Как правило, обновления антивирусных баз появ-
ляются через несколько часов после обнаружения вирусов, поэтому имеет смысл 
настроить автоматическое обновление антивирусных баз несколько раз в сутки, — 
скажем, каждые 5 часов. Однако не каждая антивирусная программа позволяет на-
строить точный (и малый) интервал времени обновления баз данных — предлага-
ются варианты: раз в день, раз в неделю и т. д. Так что выбирайте минимальный 
предлагаемый интервал обновления. Например, из приведенных вариантов — еже-
дневное обновление. 
Внимательность пользователя 
Во многом уровень безопасности системы зависит от сознательности и вниматель-
ности пользователей. Пользователям не следует переходить по сомнительным 
ссылкам, в том числе в электронных письмах, нельзя также открывать любые вло-
женные в письма файлы. Таким путем можно предотвратить один из самых часто 
используемых способов распространения компьютерных вирусов — по электрон-
ной почте. 
Среди сотрудников предприятия надо распространить инструкции по предотвра-
щению инфицирования вирусами. Вот один из вариантов такой инструкции — вы 
можете дополнить ее в зависимости от специфики вашего предприятия: 
запрещается как-либо вмешиваться в работу антивирусных программ; 
П
ОЯСНЕНИЕ
Как правило, такого вмешательства можно избежать, если соответствующим образом 
настроить систему и саму антивирусную программу. Тем не менее, интерфейс про-
граммы может предоставлять выбор различного режима работы программы, в том 
числе и отключение антивирусной защиты. Ни в коем случае нельзя разрешать поль-
зователям изменять режимы работы антивируса. 
запрещается переходить по ссылкам в социальных сетях: «ВКонтакте», «Одно-
классники» и пр., какими бы текстами они ни заманивали. Сами социальные
сети не содержат вирусов, однако они могут содержать ссылки, ведущие на 
страницы с вирусами; 
нельзя открывать файлы, отправленные вам в качестве вложений. Если кто-либо 
должен отправить вам файл вложением по электронной почте, пусть он вас ка-
ким-то образом предупредит (например, по телефону, через Skype, другие какие-
либо мессенджеры или по электронной почте — в предварительном письме); 

462 
Глава 9 
нельзя переходить по ссылкам, содержащимся в электронном письме, особенно 
от неизвестного адресата. Однако даже компьютер ваших коллег может быть 
инфицированным, поэтому — никаких ссылок! Как и в случае с вложениями — 
если вам должны отправить ссылку, пусть сначала предупредят об этом; 
все съемные диски (CD/DVD, USB) перед использованием размещенной на них 
информации нужно проверять антивирусом, даже SD-карты фотоаппаратов! 
запрещается загружать и запускать так называемые Portable-версии программ. 
П
ОЯСНЕНИЕ
Подразумевается, что сотрудники работают в системе с правами обычного пользова-
теля и устанавливать программы стандартным способом они не могут. Зато они могут 
скачать Portable-версии программ, которые, как правило, распространяются на сайтах, 
содержащих пиратское ПО. Часто бывает, что вместе с таким ПО распространяются и 
вирусы, «зашитые» или в саму программу, или в генератор ключа для нее. 
Выполнение этих простых правил поможет существенно снизить риск инфициро-
вания системы. 
Обезвреживание вирусов 
Если компьютер оказался поражен вирусом, то следует сначала обновить базу дан-
ных антивирусной программы, если она установлена. В большинстве случаев после 
этого она сама сможет обезвредить вирус. 
Некоторые вирусы блокируют запуск антивирусных программ (если вирус уже 
внедрился в систему с устаревшей базой данных о вирусах). В этом случае нужно 
постараться выяснить название вируса, загрузить утилиту, которая позволит устра-
нить внесенные им в систему изменения, после чего можно будет загрузить обнов-
ления антивирусной программы и выполнить полную проверку системы. Для выяв-
ления имени вируса следует воспользоваться сканированием системы — например, 
с флешки или посредством онлайнового антивирусного сервиса. Практически все 
крупные производители антивирусных продуктов создали подобные службы. На-
пример: 
Symantec Security Check: 
http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym
; 
Trend Micro: 
http://housecall.trendmicro.com/housecall/start_corp.asp
; 
Panda: 
http://www.pandasecurity.com/activescan/index/
, 
и многие другие. 
При работе в составе локальной компьютерной сети можно воспользоваться также 
возможностью антивирусных программ осуществлять проверку сетевых ресурсов. 
Если антивирусная программа на компьютере не установлена, то следует первона-
чально провести его проверку на вирусы, используя заведомо «чистое» программ-
ное обеспечение. Как правило, все антивирусные пакеты имеют версии программ 
для сканирования и лечения системы, которые можно запустить в режиме команд-
ной строки. Эти версии можно бесплатно загрузить с соответствующего сайта изго-

Безопасность 
463 
товителя. При проверке необходимо быть уверенным, что в памяти компьютера 
отсутствуют вирусы. Для этого система должна быть загружена, например, с заве-
домо «чистой» флешки или с компакт-диска. Вот примеры таких программ: 
Dr.Web CureIt: 
http://www.freedrweb.com/cureit
/ — поможет, если Windows еще 
запускается и относительно нормально работает; 
Dr.Web LiveDisk: 
http://www.freedrweb.ru/livedisk
/ — загрузочный диск. Пре-
имущество этого способа в том, что вирус на жестком диске будет находиться
в незапущенном состоянии и не только не сможет вам помешать, но и не будет 
дальше размножаться. Следует загрузить LiveDisk на неинфицированный ком-
пьютер, записать образ на «болванку» и загрузиться с него на инфицированной 
системе; 
AVZ: 
http://www.z-oleg.com/secur/avz/download.php
— содержит различные 
дополнительные средства, которые помогут «вычислить» вирус, если это не по-
лучается сделать с помощью антивирусной программы. Опытные администра-
торы быстро вникнут, как использовать эту программу, а начинающим пользо-
вателям лучше использовать CureIt; 
AdwCleaner: 
https://ru.malwarebytes.com/adwcleaner/
— средство очистки от 
рекламного программного обеспечения. Порой такое ПО досаждает не меньше 
вирусов. 
После ликвидации вирусов нужно установить/переустановить (если она была по-
вреждена вирусом) антивирусную программу и обновить ее антивирусную базу 
данных. 
Защита от вторжений 
Антивирусные программы проверяют файлы, сохраняемые на носителях, контро-
лируют почтовые отправления и т. п. Но они не могут предотвратить атак, бази-
рующихся на уязвимостях служб компьютера. В таких случаях опасный код содер-
жится в передаваемых по сети данных, а не хранится в файловой системе компью-
тера. 
Программы защиты хоста включают и модули, контролирующие передаваемые по 
сети данные. Если такой модуль обнаруживает сигнатуру, которая применяется для 
атак с использованием ошибок операционной системы или прикладных программ, 
то он блокирует соответствующую передачу данных. 
Так же, как и антивирусные базы данных, состав этих сигнатур нуждается в посто-
янном обновлении с центрального сервера. Обычно обновление осуществляется 
единой операцией. 
Программы-шпионы: «троянские кони» 
В Интернете широко распространена практика установки на компьютер пользова-
теля определенных программ без его ведома. Иногда их действия просто надоедли-
вы — например, перенаправление стартовой страницы обозревателя на определен-
ные ресурсы Сети в целях рекламы последних. Иногда такие программы собирают 

464 
Глава 9 
с локального компьютера и отсылают в Сеть информацию — например, о предпоч-
тениях пользователя при посещениях сайтов. А иногда и передают злоумышленни-
ку данные, вводимые пользователем при работе с сайтами интернет-банкинга. 

Download 19,93 Mb.

Do'stlaringiz bilan baham: