В настоящем документе рассматриваются аспекты настройки компонентов, входящих в продукт Dr.Web для файловых серверов UNIX, предназначенный для работы в ОС GNU/Linux, FreeBSD. Руководство адресовано лицу, отвечающему за антивирусную безопасность и настройку сетей, называемому в данном руководстве «Администратором».
Dr.Web для файловых серверов UNIX создан для защиты файловых серверов, работающих под управлением ОС семейства UNIX (GNU/Linux и FreeBSD) от вирусов и всех прочих видов вредоносного программного обеспечения, а также для предотвращения распространения через них угроз, разработанных для различных платформ.
Основные функции Dr.Web для файловых серверов UNIX:
1.Поиск и обезвреживание угроз. Производится поиск как непосредственно вредоносных программ всех возможных типов (различные вирусы, включая вирусы, инфицирующие почтовые файлы и загрузочные записи дисков, троянские программы, почтовые черви и т. п.), так и нежелательных программ (рекламные программы, программы-шутки, программы автоматического дозвона).
Для обнаружения угроз используются:
•Сигнатурный анализ. Метод проверки, позволяющий обнаружить уже известные угрозы, информация о которых содержится в вирусных базах;
•Эвристический анализ. Набор методов проверки, позволяющих обнаруживать угрозы, которые еще неизвестны.
•Обращение к сервису Dr.Web Cloud, собирающему свежую информацию об актуальных угрозах, рассылаемую различными антивирусными продуктами Dr.Web.
Обратите внимание, что эвристический анализатор может ложно реагировать на программное обеспечение, не являющегося вредоносным. Поэтому объекты, содержащие обнаруженные им угрозы, получают специальный статус — «подозрительные». Рекомендуется помещать такие файлы в карантин, а также передавать на анализ в антивирусную лабораторию «Доктор Веб».
При проверке файловой системы по запросу пользователя имеется возможность как полной проверки всех объектов файловой системы, доступных пользователю, так и выборочной проверки только указанных объектов (отдельных каталогов или файлов, соответствующих указанным критериям). Кроме того, доступна возможность отдельной проверки загрузочных записей томов и исполняемых файлов, из которых запущены процессы, активные в системе в данный момент. В последнем случае при обнаружении угрозы выполняется не только обезвреживание вредоносного исполняемого файла, но и принудительное завершение работы всех процессов, запущенных из него.
2.Мониторинг обращений к файлам:
•В файловой системе ОС. Отслеживаются обращения к файлам с данными и попытки запуска исполняемых файлов. Это позволяет обнаруживать и нейтрализовывать вредоносные программы непосредственно при попытках инфицирования ими файловой системы сервера.
•В разделяемых каталогах Samba. Отслеживаются обращения локальных и удаленных пользователей файлового сервера к файлам как на запись, так и на чтение. Это позволяет обнаруживать и нейтрализовывать вредоносные программы непосредственно при попытках сохранения их в хранилище, что предотвращает их дальнейшее распространение по сети.
•На томах Novell Storage Services. Отслеживаются обращения пользователей файлового хранилища NSS к файлам на запись. Это позволяет обнаруживать и нейтрализовывать вредоносные программы непосредственно при попытках сохранения их в хранилище NSS, что предотвращает их дальнейшее распространение по сети.
|
Обратите внимание, что функция мониторинга файловой системы доступна только для ОС семейства GNU/Linux, а функция мониторинга томов Novell Storage Services доступна только для Novell Open Enterprise Server SP2 на базе операционной системы SUSE Linux Enterprise Server 10 SP3 или старше. В других ОС компоненты, предоставляющие указанные функции, не поставляются. |
3.Надежная изоляция инфицированных или подозрительных объектов в специальном хранилище — карантине, чтобы они не могли нанести ущерба системе. При перемещении объектов в карантин они специальным образом переименовываются, и могут быть восстановлены в исходное место (в случае необходимости) только по команде пользователя.