1.Поиск и обезвреживание угроз. Производится поиск как непосредственно вредоносных программ всех возможных типов (различных вирусов, включая вирусы, инфицирующие почтовые файлы и загрузочные записи дисков, а также троянских программ, почтовых червей и т. п.), так и нежелательных программ (рекламных программ, программ-шуток, программ автоматического дозвона). Подробнее о видах угроз см. Приложение А. Виды компьютерных угроз.
Для обнаружения угроз используются:
•сигнатурный анализ — метод проверки, позволяющий обнаружить уже известные угрозы, информация о которых содержится в вирусных базах;
•эвристический анализ — набор методов проверки, позволяющих обнаруживать угрозы, которые еще неизвестны;
•облачные технологии обнаружения угроз — производится обращение к сервису Dr.Web Cloud, собирающему свежую информацию об актуальных угрозах, рассылаемую различными антивирусными продуктами Dr.Web.
|
Эвристический анализатор может ложно реагировать на программное обеспечение, не являющегося вредоносным. Поэтому объекты, содержащие обнаруженные им угрозы, получают специальный статус «подозрительные». Рекомендуется помещать такие файлы в карантин, а также передавать на анализ в антивирусную лабораторию «Доктор Веб». Подробнее о методах обезвреживания угроз см. Приложение Б. Устранение компьютерных угроз. |
При проверке файловой системы по запросу пользователя имеется возможность как полной проверки всех объектов файловой системы, доступных пользователю, так и выборочной проверки только указанных объектов (отдельных каталогов или файлов, соответствующих указанным критериям). Кроме того, доступна возможность отдельной проверки загрузочных записей томов и исполняемых файлов, из которых запущены процессы, активные в системе в данный момент. В последнем случае при обнаружении угрозы выполняется не только обезвреживание вредоносного исполняемого файла, но и принудительное завершение работы всех процессов, запущенных из него. В системах, реализующих мандатную модель доступа к файлами с набором различных уровней доступа, сканирование файлов, недоступных на текущем уровне доступа, может производиться в специальном режиме автономной копии.
Все объекты с угрозами, обнаруженные в файловой системе, регистрируются в постоянно хранимом реестре угроз, за исключением тех угроз, которые были обнаружены в режиме автономной копии.
Утилита управления из командной строки Dr.Web Ctl, входящая в состав Dr.Web для файловых серверов UNIX, позволяет также выполнять проверку на наличие угроз файловых систем удаленных узлов сети, предоставляющих удаленный терминальный доступ через SSH или Telnet.
|
Вы можете использовать удаленное сканирование только для обнаружения вредоносных или подозрительных файлов на удаленном узле. Для устранения обнаруженных угроз на удаленном узле необходимо воспользоваться средствами управления, предоставляемыми непосредственно этим узлом. Например, на роутерах и прочих «умных» устройствах вы можете воспользоваться механизмом обновления прошивки, а на вычислительных машинах — подключитесь к ним (в том числе в удаленном терминальном режиме) и произведите соответствующие операции в их файловой системе (удаление или перемещение файлов и т. п.) или запустите антивирусное программное обеспечение (ПО), установленное на них. |
2.Мониторинг обращений к файлам:
•В файловой системе ОС. Отслеживаются обращения к файлам с данными и попытки запуска исполняемых файлов. Это позволяет обнаруживать и нейтрализовывать вредоносные программы непосредственно при попытках инфицирования ими файловой системы сервера. Помимо стандартного режима мониторинга имеется возможность включить усиленный («параноидальный») режим, в котором доступ к файлам будет блокироваться монитором до момента окончания их проверки (это позволяет предотвратить случаи доступа к файлу, когда он содержит угрозу, но результат его проверки становится известным уже после того, как приложение успело получить доступ к файлу). Усиленный режим мониторинга повышает уровень безопасности, но замедляет доступ приложений к еще не проверенным файлам.
|
Функция мониторинга файловой системы доступна только для ОС семейства GNU/Linux. Для других ОС из списка поддерживаемых не поставляется компонент, предоставляющий эту возможность. |
•В разделяемых каталогах Samba. Отслеживаются обращения локальных и удаленных пользователей файлового сервера к файлам как на запись, так и на чтение. Это позволяет обнаруживать и нейтрализовывать вредоносные программы непосредственно при попытках сохранения их в хранилище, что предотвращает их дальнейшее распространение по сети.
•На томах Novell Storage Services. Отслеживаются обращения пользователей файлового хранилища NSS к файлам на запись. Это позволяет обнаруживать и нейтрализовывать вредоносные программы непосредственно при попытках сохранения их в хранилище NSS, что предотвращает их дальнейшее распространение по сети.
|
Функция мониторинга томов Novell Storage Services доступна только для Novell Open Enterprise Server SP2 на базе операционной системы SUSE Linux Enterprise Server 10 SP3 или более поздней версии. Для других ОС из списка поддерживаемых компонент, предоставляющий эту возможность, не поставляется. |
4.Надежная изоляция инфицированных или подозрительных объектов, обнаруженных в файловой системе сервера, в специальном хранилище — карантине, чтобы они не могли нанести ущерба системе. При перемещении объектов в карантин они специальным образом переименовываются и могут быть восстановлены в исходное место (в случае необходимости) только по команде пользователя.
5.Автоматическое обновление антивирусного ядра, содержимого вирусных баз для поддержания высокого уровня надежности защиты от вредоносных программ.
6.Сбор статистики проверок и инцидентов, связанных с вредоносным ПО. Ведение журнала обнаруженных угроз. Отправка уведомлений об обнаруженных угрозах по SNMP внешним системам мониторинга и серверу централизованной защиты, если Dr.Web для файловых серверов UNIX работает в режиме централизованной защиты, а также облачному сервису Dr.Web Cloud.
7.Обеспечение работы под управлением сервера централизованной защиты (такого как Dr.Web Enterprise Server или в рамках сервиса Dr.Web AV-Desk) для применения на сервере единых политик безопасности, принятых в некоторой сети, в состав которой он входит. Это может быть как сеть некоторого предприятия (корпоративная сеть) или частная сеть VPN, так и сеть, организованная провайдером каких-либо услуг, например, доступа к интернету.