Установка Symantec Anti-Virus 9.0 в корпоративной сети.

Symantec Antivirus CE 9.0 – продукт корпоративного уровня, который позволяет развернуть и сконфигурировать весь комплекс удаленно и автоматически в Windows-сетях любого масштаба. Его несомненными преимуществами являются полная автоматизация процесса установки и настройки, возможность мгновенного отражения изменений конфигурации на всех необходимых клиентах, а также грамотная защита от несанкционированного вмешательства в работу антивирусного монитора.

Если вы используете в сети компьютеры с NT-система­ми, то для установки и конфигурирования антивирус­ной защиты на всех компьютерах вам не придется от­ходить от своего компьютера - гибкие возможности удален­ной установки и настройки помогают сделать это быстро и непринужденно. При корректном выполнении всех инструк­ций процесс займет не более часа, даже если количество компьютеров измеряется сотнями. Среди возможностей кли­ентской части имеются стандартные для антивирусов функ­ции сканера, мониторинга в режиме реального времени, а также дополнительные возможности: онлайн-сканирование POP3/IMAP/SMTP трафика, работа с Exchange- и Lotus Domino-клиентами. Консоль администрирования выполнена в виде стандартной mmc. Недостатком продукта является отсутствие механизмов защиты от Ad-software, проявляюще­го в последнее время все большую активность. Продукт об­ладает множеством настроек, а его установка и первоначаль­ное конфигурирование не совсем тривиальный процесс, по­этому читателю будет полезно ознакомиться с подробным описанием процесса настройки.

Установка

Сначала устанавливаем сервер антивируса (их может быть несколько - для получения отказоустойчивости). Далее опи­сывается установка с фирменного дистрибутивного диска, включающего помощник установки компонентов. Если не сработал автозапуск, открываем файл Setup.exe, находящий­ся в корне дистрибутивного диска. В открывшемся меню вы­бираем «Install Symantec Antivirus -» Deploy Antivirus Server». Указываем вариант установки - новая или обновление пре­дыдущей версии, а также устанавливаемые компоненты:
-  Server Program;
-  Alert Management System.
Разумеется, что Server Program выбираем при первона­чальной установке в любом случае, а вот Alert Management Console – только по желанию. Данный компонент позволя­ет рассылать уведомления об обнаружении вируса – по почте, в виде PopUp-сообщений и пр. При установке ком­поненты «Alert Management Console» в меню пуск появится одноименный ярлык. Настройка рассылки таких оповеще­ний интуитивно понятна и не нуждается в дополнительном описании. Общее количество случаев нейтрализации опас­ных и подозрительных файлов даже в средних сетях очень велико, так как очень многие веб-ресурсы содержат такие объекты. Поэтому я удалил функцию Pop-Up оповещения уже через неделю после начала использования продукта. Мое сугубо субъективное мнение – данный компонент аб­солютно не нужен.
В следующем окне выбираем, на какой компьютер в сети необходимо установить сервер антивируса. Если вы обла­даете правами администратора на требуемый компьютер, то установку можно произвести по сети. То есть необяза­тельно осуществлять локальный вход на целевой компью­тер – установку можно произвести удаленно с любой NT-системы (используется RPC). Нажимаем «Next», при необ­ходимости меняем путь установки (по умолчанию – Program Files\SAV).
Задаем имя группы антивируса. Если в сети использу­ется несколько разных серверов SAV, с различными на­стройками, то имена их групп также должны отличаться. Если несколько серверов антивируса используется для по-
лучения отказоустойчивости, то имя их группы должно быть одним и тем же. При обнаружении в сети уже существую­щих серверов SAV, имена их групп появятся в списке, и для присоединения нового сервера к ним достаточно кликнуть по имени группы. При запросе пароля придумываем новый пароль администратора группы серверов антивируса, либо вводим пароль существующей группы, если мы присоеди­няем дополнительный сервер к уже существующей группе.
Далее выбираем тип запуска. Лучше, конечно, устано­вить «Automatic Startup». Пропускаем информационные со­общения в следующих окнах и начинаем установку. В про­цессе инсталляции будут выведены сообщения об ошиб­ках (если они будут), и при нормальном завершении статус изменится на Finished, а в поле «Action» появится сообще­ние о необходимости перезагрузить целевой компьютер. Как правило, на корректно настроенной системе ошибок не бывает (во всяком случае, я ни разу не сталкивался с этим). Если же ошибка все-таки появилась, то ее подроб­ное описание можно найти здесь же, в дополнительном окне описания ошибки.
После перезагрузки устанавливаем консоль админист­рирования (Symantec System Center – далее SSC). Ее так­же можно инсталлировать на любой компьютер сети. Ис­ключение составляют сервера в режиме сервера приложе­ний (терминалов) – на них установить консоль админист­рирования не удастся – сначала необходимо удалить служ­бу сервера терминалов, затем добавить консоль, и только после этого восстановить службы терминалов. На сайте технической поддержки Symantec данная несовместимость объясняется (по мнению специалистов компании) тем, что установка консоли администрирования на сервер приложе­ний представляет потенциальную опасность из-за возмож­ности получения удаленным пользователем контроля над приложением. Помимо этого возможны конфликты и отсут­ствие полноценного управления даже администратором системы из-за ограниченности работы в режиме удаленно­го рабочего стола с ID0. Я не могу претендовать на получе­ние статуса эксперта в области взаимодействия SSC и ОС, поэтому позволю себе воздержаться от комментариев. Про­ще всего добавить консоль администрирования на компь­ютер администратора, так как это всего лишь средство для конфигурирования удаленного сервера. Для установки за­ново запускаем Setup.exe в корне дистрибутивного диска, выбираем «Install Administrator Tools → Install Symantec System Center» (для работы SSC требуется Internet Explorer 5.5 и выше). Отмечаем необходимые компоненты. Если на предыдущем шаге мы отказались от Alert Management System, то и Alert Management System Console устанавли­вать не нужно. Оставляем все остальные компоненты – их назначение опишем позже. После завершения инсталля­ции необходимо снова перезагрузить компьютер.
На этом установка сервера завершена. Приступаем к конфигурированию сервера и созданию конфигурационных шаблонов для клиентов.

Настраиваем сервер

Запускаем SSC. Раскрываем в левой части консоли «Symantec System Center → System Hierarchy». Должны по­явиться имена обнаруженных групп. Если их несколько –
то в консоли отобразятся все найденные. Иначе кликаем правой клавишей мыши по значку «System Hierarchy», из контекстного меню выбираем «New → Server Group» и вво­дим имя созданной нами группы, а также ее пароль.
Будьте внимательны при конфигурировании целевой группы. Кликаем по требуемой группе правой клавишей и выбираем «Unlock Server Group». Потребуется ввести па­роль. Если не хочется вводить его в будущем – установите флажок «Save this Password». В открывшемся иерархичес­ком списке прежде всего кликаем по значку нашего сервера и в появившемся контекстном меню выбираем «Make Server a Primary Server» и подтверждаем смену роли. Если серве­ров антивируса несколько, то один из них будет Primary, а остальные – резервными для отказоустойчивости.
Изменения конфигурации как самого сервера, так и кли­ентов производятся путем вызова соответствующих консо­лей настройки. Все они сгруппированы в контекстное меню, вызываемое правой клавишей мыши – «All Tasks». В даль­нейшем описании словосочетание «кликните правой кла­вишей по объекту и выберите «All Tasks → Symantec Antivirus» по умолчанию опускается – будут указываться только пункты в этом меню. Все настройки в открываемых консолях относятся к тому объекту, по которому вы кликну­ли при выборе требуемой опции, поэтому клик правой кла­вишей мыши для вызова меню необходимо производить именно на указанном объекте.

Настраиваем наш основной сервер антивируса.
Управляем обновлениями: Virus Definition Manager

Настраиваем порядок и расписание получения обновлений нашим сервером. Выбираем «Update the Primary Server of this Server Group only» и нажимаем «Configure». При такой настройке только Primary Server будет получать обновле­ния из Интернета, а все остальные сервера получат их от него. Таким образом мы экономим внешний трафик. Для получения обновлений сервер антивируса должен иметь доступ к веб-ресурсам Symantec Corporation по портам HTTP (80) и FTP (20,21), либо необходимо настроить подключение через прокси-сервер, нажав кнопку «Source». Для автома­тического обновления устанавливаем флажок «Schedule for automatic updates» и, нажав справа кнопку «Schedule», за­даем расписание проверки обновлений. Устанавливаем «Daily → At <требуемое время>» и в «Advanced» указыва­ем время, через которое необходимо повторять неудачные попытки обновления (Handle missed events within), а также период случайного смещения расписания обновления («Randomization Options → Perform Update within plus or minus»). Выходим в меню «Virus Definition Manager».
Задаем способ получения обновлений клиентами. Вы­бираем «Update virus definitions from parent server» и, нажав «Settings», задаем период проверки клиентами обновлений на сервере. Значение 60 минут является гарантией того, что клиенты будут проверять наличие обновлений ежечас­но. Поскольку при такой настройке клиенты проверяют об­новления только на указанном внутреннем сервере, ника­кого трафика на внешнем канале они не создадут. Если в сети все компьютеры локальные, то устанавливаем фла­жок «Do not allow client to manually launch LiveUpdate», что-бы принудительно запретить клиентам запускать проверку обновлений через Интернет.
После того, как порядок обновлений сервера и клиен­тов настроен, подтверждаем изменения. Однако если име­ются пользователи с мобильными компьютерами, то луч­ше выделить их в отдельную группу и создать персональ­ные настройки для этой группы (в частности, разрешаю­щие ручное обновление, чтобы сотрудник, уехавший в ко­мандировку смог при необходимости вручную обновить свой антивирус). Даже если вы запретили клиенту запуск обнов­ления через LiveUpdate, все равно имеется возможность добавить новые сигнатуры. Для этого необходимо скачать с сайта производителя универсальное обновление «Intelligent Updater» в виде exe-файла. После запуска программа сама найдет установленные компоненты и обновит их.

Обновим антивирусные базы прямо сейчас: Update Virus Defs now

Выбираем данный пункт для немедленной проверки и за­качки главным сервером обновлений антивирусных баз че­рез Интернет. Будет выведен запрос подтверждения, и пос­ле этого базы начнут обновляться. Это может занять некото­рое время в зависимости от скорости вашего канала. Выде­лив нужный сервер, через некоторое время (первоначаль­ное обновление имеет размер от 5 до 8 Мб) нажмите <F5>. Статус должен смениться на нормальный (синяя галочка). Если этого не произошло – проверьте в чем дело – вызовите свойства сервера и в закладке Symantec Antivirus проверьте дату обновления. Она должна быть близка к текущей дате (разница в несколько дней допускается, так как SAV указы­вает только дату глобального обновления, не принимая в расчет добавления одиночных записей). Если обновление очень уж старое (больше 10 дней) – значит ваш сервер по каким-либо причинам не смог обновить базы. Проверьте на­стройки доступа вашего сервера в Интернете, а также логи шлюза – была ли предпринята сервером попытка обновить базы. Для более подробного анализа можно просмотреть даты изменения файлов с базой вирусов – она должна пока­зывать время последнего изменения, что позволит точнее проверить, когда произошло обновление.

Настраиваем параметры антивирусного монитора сервера: Server Auto-Protect options

Настроим работу сервера антивируса в режиме online-мо-ниторинга. Устанавливаем флаг «Enable Auto-Protect», вы­бираем типы файлов. Если выбрать «All types», то снижа­ется быстродействие, но повышается защищенность. Что­бы увеличить быстродействие, опытные администраторы, способные совершенно точно предсказать, в каких файлах могут содержаться вирусы, могут установить флаг «Selected» и, нажав кнопку «Extensions», добавить необходимые типы файлов.
Мастер позволяет автоматически добавить известные SAV типы «Programs» и «Documents», однако этого не все­гда оказывается достаточно. Например, рекомендуется до­бавить вручную к приведенному списку файлы с расшире­нием TMP, так как многие программы перед тем, как со­здать окончательный файл или добавить в базу информацию, сначала создают временный файл. Таким образом, имеется возможность сразу отловить вирусный файл. Очень полезна данная опция, например, для почтового клиента The Bat!, который при получении письма сначала помеща­ет его содержимое во временный файл. Если антивирус почтового сервера не смог обезвредить вирус (например, его описание еще не появилось в сигнатурах), то локаль­ный монитор сможет предотвратить заражение – такое пись­мо просто не будет получено с POP3-сервера. Имеется в виду, что на почтовом сервере и на локальных компьюте­рах установлены антивирусы разных производителей – и если описание вируса не успело появиться в сигнатурах на почтовом сервере, то есть надежда, что на локальных ком­пьютерах оно уже есть.
Правее настраиваются действия, которые необходимо производить при обнаружении зараженного файла. Как правило, оптимальным является попытка вылечить объект, а если это не удалось – просто удалить файл. Если у вас большая сеть, то помещать в карантин тысячи, скорее все­го, бесполезных файлов как минимум нерационально.
В меню «Advanced» задаются дополнительные парамет­ры сервера. «StartUp options» устанавливает порядок за­пуска (мы выбрали «System Start», однако при необходи­мости можно изменить этот параметр). «Changes requiring Auto-Protect reload» – действие, которое необходимо совер­шать при изменении параметров, требующих перезагруз­ки сервера антивируса. Можно выбрать «Wait until system restart», однако лучше применять изменения сразу: «Stop and reload Auto-Protect», так как сервера могут не перезаг­ружаться годами. В поле «Scan files when» указывается, когда именно необходимо сканировать требуемые файлы. Вариант «Accessed or modified» является наиболее опти­мальным, так как подразумевает максимальную защиту – проверка будет осуществляться при любом обращении к файлу, а значит ни скопировать, ни запустить зараженный файл будет невозможно (при соответствующих настройках действий с зараженными объектами – см.выше).
В секции «Automatic enabler» задается время, через ко­торое мониторинг будет автоматически включен, даже если его принудительно отключил администратор. Секция «Threat tracer» позволяет настраивать поиск и блокирова­ние сетевой активности вирусов в случае обнаружения та­ковой (используется встроенный Client-Firewall). В секции «Additional advanced options» задается уровень эвристики (средний – оптимален), а также контроль за флоппи-диско­водами. Так, при попытке завершения работы антивирус­ный монитор проверяет наличие дискеты в дисководе, и если она там есть – выдает соответствующее предупреж­дение, которое очень часто вводит в ступор пользователей (особенно бухгалтеров, которые часто оставляют ключевые дискеты клиент-банка). Эту проверку можно отключить, ус­тановив флаг «Do not check floppies upon system shutdown» под кнопкой «Floppies».
Вернемся в основное окно «Server Auto-Protect options». В секции «Options» можно разрешить или запретить выда­чу сообщения при обнаружении вируса, а также отредак­тировать текст этого сообщения. Как правило, в больших сетях проще это сообщение вообще отключить, иначе очень быстро надоест отвечать на тревожные звонки пользователей, которые будут со страхом сообщать, что у них «об­наружен вирус!». Здесь же задаются типы и расположение файлов, которые проверять не нужно. При возможном силь­ном торможении исключите из проверки файлы, которые скорее всего не будут содержать вирусов, но постоянно ис­пользуются. Например, файлы БД. В противном случае вы получите резкое замедление работы в этих базах. Поэтому например при использовании систем «1С:Предприятие» файловых версий не забудьте исключить из проверки фай­лы следующих типов: dbf, cdx, md, dd, ert, log, mlg. То же касается работы дизайнеров (файлы tiff, cdr, psd и другие), архитекторов, инженеров видеомонтажа и пр. В противном случае вам гарантированы жалобы на «торможение систе­мы», так как постоянный мониторинг, например, несколь­ких гигабайтных AVI-файлов почти завесит систему.
Однако в последнее время обнаруживаются совершен­но непредсказуемые уязвимости при обработке вроде бы «безвредных» файлов (например последние уязвимости, связанные с переполнением буфера в GDI с помощью бе­зобидного JPG-файла). Поэтому говорить о том, что в ка­ком-то конкретном формате файла вирусы жить не могут, мы не имеем права. Можно лишь надеяться, что не будет найдено новых ошибок в обработке этих «безопасных» форматов. Здесь необходимо руководствоваться отноше­нием показателя надежности к получаемому быстродей­ствию.
В опции «Drive types» снимите все галки, так как ни про­верка сетевых дисков, ни сканирование CD не даст вам ни­чего, кроме значительного замедления работы системы. Ак­центирую внимание, что отключение такой проверки абсо­лютно безопасно, если вы проверяете файлы при любом обращении к ним – при попытке скопировать или запустить такой файл он будет заблокирован. Таким образом опти­мальное быстродействие достигается за счет фоновой про­верки только тех файлов, к которым осуществляется обра­щение.
На этом конфигурирование антивирусного монитора сервера завершено и можно переходить к настройке кли­ентов. Конфигурация защиты клиентов аналогична сервер­ной, за некоторыми исключениями и дополнительными воз­можностями, о которых будет особо сказано далее.

Настраиваем параметры антивирусного монитора клиентов: Client Auto-Protect Options

В этом окне настраивается антивирусный online-мониторинг на клиентах. Суть настроек аналогична вышеописанным для сервера, однако присутствуют и новые опции (см. рис. 1).
Например, для клиентов помимо стандартной можно на­страивать различные виды защиты для систем документо­оборота и почты: Internet E-mail (перехват и сканирование трафика POP3/SMTP), Lotus Notes и Microsoft Exchange. При перехвате POP3-сессии клиент просто не получит письмо с зараженным файлом. Насколько это будет незаметно для пользователя – решать вам, включая или отключая опове­щение о вирусе, удаляя письмо вообще или вырезая из него только инфицированные вложения.
Практически у каждой опции присутствует пиктограмма «замочка», который имеет два положения – «открыто» и «зак-

рыто». Закрывая замочек около конкретной настройки, вы тем самым запрещаете пользователям изменять их. По умолчанию все замочки открыты, однако рекомендуется зак­рыть хотя бы критически важные – отключение защиты, из­менение типов файлов, действие, производимое над обна­руженными вирусами и пр.
В идеале лучше всего запретить пользователю любые изменения. Таким образом управлять настройками будет только Администратор, что является обязательным для кор­поративной системы защиты.
Итак, настраиваем защиту файловой системы аналогич­но серверной, запрещаем изменения настроек, при жела­нии отключаем оповещение пользователя о найденном ви­русе и переходим на следующую закладку – Internet E-mail. Разрешаем защиту и в отличие от файловой системы вы­бираем файлы всех типов – мало ли что пользователю пришлют по почте. Добавляем действия, производимые при обнаружении файла (лучше удалять), а также настраиваем оповещение пользователя об обнаруженном вирусе (здесь его можно и включить, чтобы не было вопросов в стиле «Где мой файл?»). Также имеется возможность изменять тему сообщения, в котором был обнаружен запрещенный объект, вставлять в текст письма предупреждение, отправлять пре­дупредительные письма отправителю и получателю. Помни­те, что посылать предупреждение отправителю не привет­ствуется, так как очень часто при рассылке вирусов исполь­зуется подстановка чужих адресов.
Помимо этого, нажав на кнопку «Advanced», настраи­ваем дополнительные параметры (см. рис. 2). ! «Scan files inside compressed files» – проверять файлы внутри архивов, а также архивы внутри на указанную глубину (по умолчанию – 3) . К сожалению, о том, какие типы архивов поддерживаются, ни в документации, ни на сайте производителя ничего не сказано. ! «Server port numbers» – порты, по которым происходит обмен почтой. Обычно они стандартны – 25 и 110, но при необходимости можно изменить.
- «Heuristic Detection» – включает эвристический анали­затор активности вирусов типа «червь». Отслеживает слишком большую активность и самостоятельные дей­ствия приложений.
- «Progress notifications» – в процессе обмена почтой SAV перехватывает трафик по указанным портам и выступа­ет посредником между почтовым сервером и клиентской почтовой программой. Флажки в этой области включают или выключают значок SAV-E-mail в трее, а также инди­катор выполнения проверки при отправке писем. Если не хочется показывать пользователям лишнюю инфор­мацию о сканировании почты – отключите эти флажки.
Аналогично настраивается мониторинг клиентов Lotus Notes и Microsoft Exchange.

На этом настройка защиты клиентов закончена. Не за­бывайте после каждого этапа переконфигурирования па­раметров защиты в окне «Client Auto-Protect Options» на­жимать кнопку «Reset All…» – она принудительно применя­ет настройки для подключенных клиентов. Несмотря на то, что дословный перевод «Reset…» – сброс, нажатие данной клавиши инициирует именно принудительное применение настроек. То есть сброс в текущее состояние.
Устанавливаем защиту от несанкционированного изменения настроек клиентской части: Client administrator only options

В данном окне настраиваются параметры отображения значка SAV в системном трее клиентских компьютеров, а также административный запрет на деинсталляцию анти­вируса. Таким образом при грамотной настройке даже ло­кальный администратор рабочей станции не сможет ни ос­тановить службу защиты, ни удалить продукт.
В закладке «General» также можно указать срок устаре­вания антивирусных сигнатур, по истечении которого будет выдаваться сообщение об их устаревании (полезно установить срок в 10 дней для того, чтобы контролировать посто­янное обновление баз данных и в случае сбоя получить пре­дупреждение). Можно также просмотреть статус клиентов в SSC - они отображаются в правой части консоли. В поле Status отображается текущее состояние клиента. При неудач­ном обновлении, обнаружении вирусов и пр. статус изме­нится. Именно поэтому служба AMS не является необходи­мой - все события можно просмотреть, используя SSC и кон­текстное меню, вызываемое кликом на интересующем кли­енте. На закладке Security реализуется упомянутая возмож­ность запрета пользователям остановки службы и деинстал­ляции продукта. При попытке удалить программу она запро­сит пароль. Пароль по умолчанию, устанавливаемый произ­водителем - «symantec». Рекомендую сразу его сменить.
Переходим к установке клиентской части на компьюте­ры сети. На клиенты с NT-системами ее можно произвести при помощи встроенной функции удаленного развертыва­ния (используется RPC). В случае невозможности удален­ной инсталляции (например, на клиентах Windows 9X/ME) придется произвести ее дистрибутива, который помещает­ся в сетевую папку VPHome (она автоматически становится доступна на сервере антивируса по сети). Путь к файлу ус­тановки в этом случае: \VPHOME\CLT-INST\WIN32\setup.exe.
Для удаленного развертывания в SSC заходим в меню Tools и выбираем NT Client install. Запустится мастер. Вы­бираем «Default location», в случае, если производим стан­дартную инсталляцию из серверного дистрибутива. В пра­вой части окна Select Computers выделяем целевой сервер, которому будет принадлежать этот клиент. В левой части выбираем необходимые компьютеры, выделяя их и нажи­мая «Add>» (хоть все сразу). После нажатия кнопки «Finish» запустится процесс подготовки необходимых файлов. Ак­центируем внимание на том, что показываемая вам полос­ка выполнения означает только копирование файлов на ис­ходный компьютер. Процесс установки может занять еще несколько минут. После этого рекомендуется перезагрузить все клиентские компьютеры.
Если где-то не применились настройки, необходимо сно­ва открыть в SSC «Client Auto-Protect Options» и нажать «Reset All…»
Мы рассмотрели простейшую инфраструктуру, в кото­рой все компьютеры принадлежат одной группе - главно­му серверу антивируса. В SAV CE 9.0 имеется возможность создавать различные настройки для разных групп компью­теров. Для этого в папке Groups создаются различные под-папки, в которые перемещаются требуемые клиенты. Пос­ле этого можно производить описанные настройки незави­симо над участниками каждой группы. Они применятся на всех ее участников.

Подводя итоги

Symantec Antivirus 9.0 Corporate Edition - один из самых популярных на сегодняшний день антивирусных продуктов корпоративного уровня. Несмотря на упомянутый в начале статьи недостаток, связанный с не самым лучшим уровнем обнаружения и удаления Ad-software, остальные его пре­имущества делают SAV 9.0 CE наиболее конкурентоспособ­ным решением для централизованной защиты рабочих станций и серверов.