12.12.2013 - ESET NOD32. Централизованное развертывание и управление в корпоративных сетях

Пост посвящен обзору технологий централизованного внедрения, настройки и управления антивирусными продуктами семейства ESET в корпоративных сетях.

У одного из наших новых клиентов, который совсем недавно доверил нам на обслуживание свои компьютеры, локальную сеть и ИТ-инфраструктуру в целом, встала задача централизованного управления антивирусными продуктами. А закуплен был у него, как, я думаю, уже понятно из названия поста ESET NOD 32.

Бытует мнение, что продукты линейки ESET плохо управляются, и вообще не предназначены для корпоративных сетей (а парк клиента за малым 100 машин), и что Kaspersky наше все! Нет, мы безусловно любим продукты лаборатории Касперского (парнерами которой, мы собственно и являемся), но для нас это был некий вызов - получится ли? Поэтому наш специалист приступил к изучению продукта...

ESET NOD32 — антивирусный пакет, выпускаемый словацкой фирмой ESET. Первая версия была выпущена в конце 1987 года.

ESET NOD32 — это комплексное антивирусное решение для защиты в реальном времени. ESET NOD32 обеспечивает защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, фишинг-атаки. В ESET NOD32 используется патентованная технология ThreatSense, предназначенная для выявления новых возникающих угроз в реальном времени путём анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ. При обновлении баз используется ряд серверов-зеркал, при этом также возможно создание внутрисетевого зеркала обновлений, что приводит к снижению нагрузки на интернет-канал. Для получения обновлений с официальных серверов необходимы имя пользователя и пароль, которые можно получить, активировав свой номер продукта на странице регистрации регионального сайта.

Наравне с базами вирусов NOD32 использует эвристические методы, что может приводить к лучшему обнаружению ещё неизвестных вирусов.

Большая часть кода антивируса написана на языке ассемблера, поэтому для него характерно малое использование системных ресурсов и высокая скорость проверки с настройками по умолчанию.

Архитектура

   ERA Server (ERAS) - Серверный компонент ERA запускается как служба в следующих операционных системах на базе Microsoft: Windows® NT: 2000, XP, 2003, Vista, 7 и 2008. Основной задачей этой службы является сбор сведений на клиентах и отправка им различных запросов. Эти запросы, к числу которых относятся задачи настройки, запросы удаленной установки и т. д., создаются с помощью консоли ERA Console (ERAC). ERAS — это промежуточная точка между ERAC и клиентскими компьютерами, место, в котором выполняется обработка, сохранение или изменение всех сведений перед их передачей клиентам или консоли ERAC.

    ERAC — это клиентский компонент ERA, который обычно устанавливается на рабочей станции. Администратор с помощью этой рабочей станции удаленно управляет решениями ESET, установленными на отдельных компьютерах-клиентах. С помощью консоли ERAC администратор может подключаться к серверу ERA по TCP-порту 2223.

Политики

Для управления в корпоративной среде, предусмотрен механизм управления клиентскими решениями – политики. Окно редактирования политик представленно ниже. 

 

Правила политики

Инструмент «Правила политик» позволяет администратору автоматически назначать политики клиентским рабочим станциям более удобным способом. Правила применяются сразу после подключения клиента к серверу. Они имеют более высокий приоритет, чем у "Политика сервера" или назначения, заданные вручную. Политика сервера применяется только в случае, если клиент не подпадает под текущие правила.

 

Данное правило политики говорит о том что, любой подключенный клиент с параметром «FROM Главный сервер», применит политику «stavpb1»

Управление клиентскими решениями 

Создание MSI пакета с определенной конфигурации

Существует возможность управления пакетами ESET на ERAS, можно заранее предопределить структуру XML-файла который будет сохранен вместе с MSI-пакетом. После установки измененного пакета, будут применены настройки сконфигурированные ранее. После добавления пакета в меню «Пакет» и редактирования структуры XML в меню «Извлечение или выбор файла конфигурации для этого пакета», в меню «Пакет» жмем сохранить, далее в «Создание или выбор содержимого пакета» жмем «Сохранить как» и выбираем тип файла «MSI-файл установки ESET с конфигурацией».

Примечание. При добавлении конфигурации в установочный MSI-файл цифровая подпись этого файла больше не будет действительной.

Сервер обновлений

С помощью консоли ERA Console можно активировать сервер обновления в локальной сети — зеркало сервера ERA Server. Сервер затем можно использовать для обновления рабочих станций сети. Включение зеркала позволяет уменьшить объем данных, передаваемых через подключение к Интернету.

Выполните указанные ниже действия:

1)   В консоли ERA Console выберите команду «Сервис»> «Параметры сервера…» и откройте вкладку «Обновления».

2)   В раскрывающемся меню «Сервер обновлений» выберите команду «Выбирать автоматически» и установите интервал обновления в 60 минут. Укажите «Имя пользователя обновления» (EAV-***), нажмите кнопку «Установить пароль...» и введите или вставьте из буфера обмена пароль, полученный с именем пользователя.

3)   Выберите команду «Создать зеркало обновления». Оставьте путь по умолчанию для дублируемых файлов и порт сервера HTTP (2221). Для параметра «Аутентификация» оставьте значение «Нет».

4)   Откройте вкладку «Дополнительно» и нажмите кнопку «Изменить дополнительные параметры…». В дереве параметров выберите ERA Server > «Настройка» > «Зеркало» > «Создать зеркало для выбранных компонентов программы». Нажмите кнопку «Изменить» справа и выберите компоненты программы для загрузки. Выберите все языковые версии компонентов, которые будут использоваться в данной сети.

5)   На вкладке «Обновления» нажмите кнопку «Обновить сейчас», чтобы создать зеркало.

 

Далее в разрешениях на папке с обновлениями, нужно дать доступ «Чтение» для пользователя, от имени которого клиенты будут обновлять (доменного или локально). Его можно указать в политике в «Защита рабочих станций – Обновления»

Установка клиентских решений

 Установку продуктов ESET можно осуществить одним из четырех способов:

• удаленная установка с помощью ESET Remote Administrator Server  и ESET Remote Administrator Console;
• установка при помощи групповых политик безопасности и при помощи специально написанных скриптов (Logon-script);
• установка по электронной почте. В этом случае пользователю нужно только запустить установку агента, полученного по электронной почте;
• локальная установка.

Пример удаленной автоматической установки

Первым дело должны быть открыты соответствующие порты на наших клиентах и сервере. На сервере служба ERAS должна работать от имени доменного администратора.

Создадим установочный пакет с предопределенной конфигурацией, для этого:

1)   Нажмем кнопку добавить и выберем нужный нам пакет

2)   В поле «Пакет» жмем «Сохранить как» и задаем имя 

3)   В поле «Изменение или выбор файла конфигурации этого пакета» нажмем «Изменить» и зададим ряд параметров, в нашем случае это:

Подключаться к серверу удаленного администрирования

Интервал подключения (параметр 0, означает что подключение будет производить каждые 10 сек)

Адрес основного сервера

Пароль основного сервера 

4)   Сохраняем и закрываем окно редактирования конфигурации

5)   В поле «Пакет» жмем «Сохранить»

6)   Далее выбираем нужный ПК или несколько ПК, первым делом «Диагностика автоматической установки»

 

Нормальный результат

7)   Далее выбираем «Автоматическая установка Windows»

8)   Выбираем пакет и жмем «Далее»

 

Экспорт установщика ESET в папку или сценарий входа

С помощью текстового редактора или другого инструмента строку, вызывающую файл einstaller.exe можно вставить в сценарий входа. Также агент einstaller.exe можно отправлять в виде вложения в сообщении электронной почты с помощью почтового клиента. Независимо от используемого способа убедитесь в том, что используется правильный файл einstaller.exe.

Для запуска агента einstaller.exe вошедшему в систему пользователю не обязательно иметь права Администратора. Агент получает требуемые имя пользователя, пароль и домен учетной записи Администратора с сервера ERAS. В ходе удаленной установки происходит обратное подключение к серверу ERAS и агент (einstaller.exe) использует параметры из настроек «Установить вход по умолчанию для электронной почты и сценария входа» в контекстном меню.

Укажите в сценарии входа путь к файлу einstaller.exe:

1)   На вкладке «Удаленная установка «нажмите кнопку «Экспорт в папку или в сценарий входа» и выберите тип и название пакета, который нужно установить.

2)   Нажмите кнопку "…" справа от поля «Папка», выберите папку, в которой будет храниться и будет доступен в сети файл einstaller.exe, и нажмите кнопку «ОК».

3)   Убедитесь в том, что в поле «Общий ресурс» указан правильный путь; при необходимости исправьте его.

4)   Нажмите кнопку "…" справа от поля «Папка сценария», чтобы выбрать папку, в которой находится сценарий, и при необходимости измените маску («Файлы»).

5)   В разделе «Файлы» выберите файл, в который нужно вставить строку, вызывающую файл einstaller.exe.

6)   Нажмите кнопку «Экспорт в сценарий входа», чтобы вставить строку.

7)   Местонахождение строки можно изменить, нажав кнопку «Изменить>>», и сохранить, нажав кнопку «Сохранить».

 

Установить вход по умолчанию для электронной почты и сценария входа

 

Функциональные возможности Endpoint Security 5

Защита от вредоносных программ. В ESET реализованы антивирусный сканер и монитор. Помимо традиционных сигнатурных методов обнаружения в них используется проактивная защита (система обнаружения вторжений, HIPS) и эвристический анализ (технология ThreatSense), обеспечивающий защиту от новых угроз. Также для защиты от новых угроз используются «облачные» технологии (ESET Live Grid), которые анализируют подозрительные файлы, полученные от пользователей продуктов ESET, а также предоставляет пользователям информацию о репутации приложений. Для обнаружения и нейтрализации руткитов, которые не были выявлены проактивной защитой, используется технология Anti-Stealth.

Защита сети. Фаервол осуществляет анализ сетевых подключений, сканирование сетевого трафика и защиту от сетевых атак. Для различных сетей можно создавать отдельные профили безопасности.

Контроль устройств. Позволяет ограничивать работу пользователей с различными типами внешних устройств (блокировать, запрещать чтение или запись). Можно блокировать работу как конкретных устройств, так и всех устройств определенного типа.

Веб-антивирус. Обеспечивает сканирование веб-страниц и загружаемых файлов на наличие вредоносного кода. Также обеспечивается защиты от фишинговых сайтов.

Веб-фильтрация. Обеспечивается как простое блокирование опасных сайтов из «черного» списка, так и ограничение пользователей к веб-сайтам по набору категорий.

Защита электронной почты. Осуществляется сканирование почтовых протоколов на наличие вредоносных программ, а для обеспечения работы с почтой в популярных почтовых приложениях используются подключаемые модули. Анти-спам позволяет фильтровать нежелательные сообщения.

   

Ряд технологий ESET

ESET Live Grid — интеллектуальная облачная технология пятого поколения, на которой базируются антивирусные решения ESET NOD32.

ESET Live Grid представляет собой единый аналитический центр, осуществляющий управление всеми рабочими процессами антивирусной программы:

• анализ параметров работы компьютера
• оперативное отслеживание подозрительных процессов в системе
• автоматическая передача потенциально опасных программ в вирусную лабораторию ESET
• проверка репутации и уровня риска каждого запущенного приложения.

Для сравнения

ESET Smart Security использует минимальное количество ресурсов после того, как система переходит в режим ожидания, позволяя тем самым сэкономить значительное количество ресурсов для осуществления важных системных задач.

Среднее потребление ресурсов во время бездействия системы (MБ/с) Выборочные производители антивирусных программ (не полный список)

 

Скорость сканирования показывает возможность антивирусной программы осуществлять проверку большого количество данных за минимальный промежуток времени. Согласно результатам независимых тестирований, ESET являются лучшими по этому показателю.

Данные, полученные по результатам сканирования по требованию (МБ/с). Выборочные производители антивирусных программ (не полный список)

 

Приведенный график показывает качество обнаружения новых вредоносных программ. Высокая оценка в данном виде исследования говорит о способности антивирусного продукта обеспечить защиту в режиме реального времени.

Уровень обнаружения (%)
Выборочные производители антивирусных программ (не полный список)

 

Ежедневно киберпреступники создают тысячи новых угроз, поэтому крайне важной является способность антивирусного продукта обнаруживать и обезвреживать неизвестные виды вредоносных программ до того, как они смогут причинить вред системе.

Проактивное обнаружение (%)
Выборочные производители антивирусных программ (не полный список)

 

Решения ESET NOD32 обладают наибольшим количеством наград независимой лаборатории Virus Bulletin VB100, что подтверждает точное обнаружение всех типов угроз на высокой скорости.

Выше приведенная статистика актуальна на 2011 год.

 Поддерживаемые платформы

• Windows 8
• Windows 7
• Windows Vista
• Windows XP/MCE
• Windows 95/98/ME
• Windows Mobile
• MS-DOS
• Linux
• Novell
• PalmOS
• Symbian
• Mac OS X
• Android

Продукция ESET 6-й серии — единственый АВ-продукт, полностью поддерживающий интеграцию в Windows 8 и сканирующий Metro-приложения.

 

 Плюсы

 

1. В новой версии продукта был реализован ряд новых компонентов и технологий для обеспечения безопасности. Был добавлен контроль устройств, веб-фильтрация по категориям и «облачные» технологии ESET Live Grid, была существенно доработана система защиты от внешних вторжений (HIPS).
2. Контроль устройств позволяет ограничивать функционирование как конкретных устройств, так и устройств, относящихся к одному из заранее предопределенных классов. Администратор может полностью запретить работу с устройством или наложить запрет только на запись или только на чтение. Все правила можно налагать как на определенного пользователя, так и на группу пользователей.
3. Веб-фильтрация по большому набору категорий позволяет накладывать гибкие ограничения на деятельность сотрудников в сети Интернет. Например, всегда блокировать сайты для взрослых или новостные сайты.
4. «Облачные» технологии. Технология ESET Live Grid позволяет централизованно получать от всех пользователей антивирусов ESET информацию о новых угрозах и предоставлять им сведения о репутации используемых файлов и запущенных процессов.
5. Большой набор сервисных инструментов, позволяющих получать информацию обо всех событиях, действиях программы, обнаруженных угрозах.
6. Большое количество режимов работы различных компонентов защиты, которые в зависимости от уровня опытности пользователя позволяют «гибко» настроить защиту компьютера.
7. Минималистичный пользовательский интерфейс. Основные функции: проведение сканирования файловой системы, обновление антивирусных баз, работа с дополнительными инструментами вынесены на панель инструментов и выполняются достаточно просто. Основные компоненты, которые в корпоративном антивирусе чаще всего настраиваются администратором и редко нужны пользователям, вынесены в настройки.
8. «Сквозная» идеология. Разделение всех компонентов и функций ESET Endpoint Security 5 на три группы: защита компьютера, сети и Интернета в пользовательском интерфейсе, настройках и документации. Данное разделение не бесспорно, но его наличие позволяет легче ориентироваться в программе.

 

Минусы

 

1. Несмотря на большой набор компонентов защиты, в ESET Endpoint Security 5 пока не реализована возможность работы по белым спискам доверенных приложений (Application Whitelisting).
2. Также в продукте пока нет таких полезных функций как мониторинг и уязвимостей в прикладном ПО на защищаемых компьютерах.
3. Ошибки и неточности в локализации программы. Например, обозначения способов реагирования на обнаруженные угрозы термином «очистка»; обозначение первоначального положения окна программы термином «макет программы» и т.д.
4. Наличие противоречий в информационной модели программы. Например, компонент «Защита документов» помимо защиты документов Microsoft Office, проверяет элементы Microsoft ActiveX, отображения состояния защиты производится и в разделе «Состояние защиты» и в разделе «Настройки» и т.д.
5. Отсутствие единого инструмента для работы с отчетами. Результаты работы ESET Endpoint Security 5 разнесены по нескольким инструментам, между которыми приходится постоянно переключаться.

 

Ну а лично мне, нравится минимальная загрузка системы, как для серверов так и для клиентских станций.

Как видно продукт компании ESET подходит для использования в корпоративном сегменте не хуже (а местами и лучше) конкурентов. Наша компания будет применять его в своей практике ИТ аутсорсинга!

Все люди, мир Вам!