Как будем выбирать?
Современный офис может насчитывать не один десяток, а то и сотню компьютеров,
не говоря уже о наличии нескольких серверов, играющих самую разную роль:
почтовый, файловый, коллективной работы и так далее. Использование обычных
антивирусов, которые мы привыкли видеть на десктопах, в таких условиях крайне
затруднительно. Ведь управление домашними версиями производится непосредственно
с рабочего места, а пробежаться по нескольким сотням компьютеров, чтобы
проверить, например, как накатилось обновление, физически невозможно
(использование средств удаленного администрирования здесь тоже не вариант).
Доверить эту операцию пользователю — значит подвергнуть сеть опасности и свести
на нет все усилия по защите. Да и фактически так мы лишаем себя части хлеба,
каждый же должен выполнять свою работу. Именно поэтому рынок антивирусных
корпоративных систем развивается по своим законам, и борьба за заказчика ведется
очень серьезная, ведь антивирь обычно выбирают один раз и потом дружат с ним
многие годы.
Корпоративные решения строятся по схеме "клиент-сервер", процесс управления
на всех этапах от установки до обновления баз и сбора данных о работе агентов
производится с удаленной консоли. Серверная часть содержит базу данных SQL, при
этом для небольших сетей обычно хватает возможностей, заложенных во встроенной
базе, поставляемой бесплатно вместе с дистрибутивом. В целях экономии
интернет-трафика обновление антивирусных клиентов производится с внутреннего
сервера. На этом общее между корпоративными антивирусами заканчивается. Каждая
реализация имеет свои особенности: поддержка ОС и платформ для сервера и
клиентов, привязка к специфическому ПО (например, IIS или SQL Server),
функциональность клиентских модулей, локализация. И, конечно же, есть отличия в
цене и специфике лицензирования. Во всех этих вопросах мы и попробуем
разобраться. В сегодняшний обзор в качестве подопытных попали:
- Kaspersky Open Space Security (KOSS,
kaspersky.ru) — линейка
продуктов Лаборатории Касперского для защиты корпоративных сетей любого
масштаба и сложности;
- Dr.Web Enterprise Suite (ES,
drweb.com) — решение для защиты рабочих станций и файловых серверов
Windows, почтовых серверов Unix на предприятиях любого размера;
- ESET NOD32 Smart Security Business Edition (SSBE,
esetnod32.ru) —
комплексная защита серверов и рабочих станций Windows и Linux;
- avast! Enterprise Suite (avast.com/ru-ru)
— линейка продуктов для защиты рабочих станций Windows, Windows и Linux
серверов, а также продуктов Kerio Mail/WinRoute;
- Symantec Endpoint Protection (SEP,
symantec.com/ru) —
дальнейшее развитие Symantec AntiVirus Corporate Edition с улучшенными
функциями предотвращения угроз.
Именно эти решения находятся в ТОП при поиске на специализированных ресурсах.
Комплектация и возможности
Kaspersky Open Space Security
Линейка KOSS состоит из нескольких продуктов (около 20), обеспечивающих
защиту самых разнообразных ресурсов: рабочих станций (Windows XP — Se7en
32/64-bit, Linux), смартфонов (Symbian), интернетшлюзов, почтовых (Sendmail,
Qmail, Postfix, Exim, Exchange, Lotus) и файловых серверов (Windows, Linux,
NetWare). Все они подчиняются единой консоли управления Kaspersky Administration
Kit.
Администратор самостоятельно собирает мозаику из компонентов, необходимых для
защиты систем и сервисов. Но при этом процесс их отбора и подсчета суммы
лицензии очень прозрачен, поэтому неприятных сюрпризов удается избежать.
Лицензия рассчитывается из количества выбранных компонентов, тип компонента на
цену не влияет. Клиент антивируса Касперского для Windows/Linux Workstation,
устанавливаемый на рабочие места пользователей, обеспечивает комплексную защиту
и включает в себя антивирус, IDS/IPS, антифишинг, контроль трафика и подключение
внешних устройств. Кроме этого, в KOSS реализована поддержка Cisco NAC и
Microsoft NAP (подробнее о технологии защиты сетевого доступа NAP смотри в
статье "Сетевой коп",
опубликованной в ][ 12.2008).
Dr.Web Enterprise Suite
Недавно анонсированный Dr.Web ES 5.0 позиционируется как универсальное
средство для защиты рабочих станций и файловых серверов Windows (Win95 — Win7,
клиенты только 32-bit, серверы 32/64-bit), а также почтовых серверов Unix (Linux,
FreeBSD до 7.1, Solaris). Наличие в списке устаревших версий ОС часто является
решающим аргументом при выборе этой разработки в организациях, где таких систем
много, а апгрейд нежелателен или невозможен. Соответственно, невысоки и
системные требования, необходимые для работы агента Dr.Web на компьютерах
пользователей. Все компоненты (агент и сервер) разворачиваются с одного
дистрибутива, что заметно упрощает процесс установки. Управление производится
при помощи локализованных консоли управления и/или веб-интерфейса. Последний
появился в версии 5.0 и сделан с учетом возможной работы неподготовленного
пользователя. В зависимости от вида лицензии, агент будет обеспечивать различную
функциональность. Для лицензии "антивирус" получаем антивирус, антируткит и
антишпион, при наличии лицензии "комплексной защиты" добавляются антиспам,
веб-антивирус и офисный контроль (управление доступом к сетевым и локальным
ресурсам). Дополнительно может устанавливаться NAP Validator, обеспечивающий
проверку соответствия политикам NAP.
ESET NOD32 Smart Security Business Edition
Разработка от ESET является комплексным решением, предназначенным для защиты
как рабочих станций, так и серверов. Возможности клиентской части антивируса
совпадают с оснащением NOD32, который мы привыкли видеть на десктопах. Основой
является модуль ThreatSense, использующий сигнатурный и эвристический/проактивный
анализ для защиты от вирусов, руткитов и шпионских модулей. Также в стандартную
поставку входит фильтр почты и веб-страниц. Модуль ThreatSense может
интегрироваться в некоторые почтовые клиенты (MS Outlook, Thunderbird, The Bat!
и другие). В версии Smart Security к указанным выше модулям добавляются
персональный файер и антиспам. Файервол, проверяя сетевые соединения, определяет
и блокирует некоторые типы атак, отслеживает изменения в исполняемых файлах и в
случае расхождения запрещает соединение до принятия решения пользователем. В
качестве клиентских систем могут выступать 32 и 64-битные версии Windows от 2000
до Se7en (включая и редакцию Server), а также Linux/BSD/Solaris и Novell Netware.
Централизованное управление осуществляется с консоли ESET Remote Administrator.
avast! Enterprise Suite
Продукт компании ALWIL Software, занимающейся разработкой известного
антивируса avast! Free antivirus. Основу корпоративной версии составляет
антивирус avast! Professional Edition (или NetClient Edition для использования с
утилитой управления ADNM), который предназначен для защиты рабочих станций
от вирусов, руткитов и шпионского ПО. Кроме этого, в клиенте реализована
проверка входящей и исходящей почты, P2P и IM-трафика, блокировка потенциально
опасных скриптов на веб-страницах. Модуль Network Shield, входящий в состав
клиента, обеспечивает защиту от некоторых сетевых атак. Поддерживаются все не
серверные версии Windows от 95 до Vista, в том числе и 64-битные редакции.
Установщик автоматически определяет разрядность ОС. Для защиты остальных
компонентов сети используются соответствующие приложения, устанавливаемые
отдельно: сервера Windows (с плагинами Exchange, ISA, Sharepoint и т.д.) и Linux/Unix,
модули поддержки Kerio и PDA. Управление осуществляется централизованно с
консоли avast! Distributed Network Manager (ADNM).
Symantec Endpoint Protection
SEP — потомок знаменитого Norton Antivirus. Пакет обеспечивает защиту рабочих
станций, ноутбуков и серверов, работающих под управлением 32/64-битных Win 2k —
Se7en (клиентские и серверные), Linux, Novell Open Enterprise Server (OES/OES2)
и VMWare ESX. Клиент, устанавливаемый на рабочие станции и сервера, имеет полный
набор модулей защиты: антивирус, антишпион, файервол, IPS и контроль приложений.
Инструмент VxMS (Veritas Mapping Service) позволяет обнаруживать руткиты;
проактивный модуль Proactive ThreatScan анализирует поведение приложений и в
случае обнаружения отклонений блокирует выполнение опасного кода. Администратор,
дирижируя политиками из консоли Symantec Endpoint Protection Manager, управляет
не только настройками сканирования и обновления модулей, но и доступом
пользователей к файлам, каталогам и программам, контролирует целостность
системы, записи реестра. По отдельной лицензии предлагается модуль Network
Access Control, проверяющий системы на соответствие установленным политикам и на
основе их состояния разрешающий доступ к ресурсам сети. Теперь рассмотрим, что
необходимо для развертывания и управления представленными антивирусами. Здесь
также есть свои особенности.
Развертывание и управление
Kaspersky Open Space Security
Начнем с продукта Лаборатории Касперского. Централизованное управление
осуществляется при помощи инструмента Kaspersky Administration Kit, в состав
которого входит консоль управления (локализованная), агент управления
(устанавливается на каждую систему) и сервер администрирования. На последнего,
собственно, и возлагаются все функции по управлению работой агентов, сбор
информации об их состоянии, обновление антивирусных баз и хранение настроек.
Причем в сети может работать несколько связанных между собой серверов
администрирования, поэтому очень легко распределить нагрузку серверов в больших
разветвленных сетях. Все управление производится с единой консоли. Для установки
программ администратор копирует дистрибутивы на сервер, а затем распространяет
на остальные системы; также предлагается традиционный (ручной) вариант
установки.
Для развертывания сервера понадобится компьютер под Win 2k/2k3/2k8/XP/Vista,
а также база данных MS SQL Server, MSDE/Express или MySQL. Установочный пакет
самодостаточен, поэтому MSDE и все необходимые библиотеки будут инсталлированы
из одного файла.
Обрати внимание на наличие в списке десктопных версий ОС — это позволяет в
небольших сетях использовать под сервер малонагруженную рабочую станцию.
Для удобства администрирования большим количеством систем используется
концепция логической сети, в которой каждая группа систем имеет свои настройки.
По умолчанию ее конфигурация совпадает с физической, но это необязательно —
можно легко выделить системы в группу по определенному критерию. Также хочется
отметить наличие мастеров первоначальной настройки и удаленной установки,
которые позволяют с ходу произвести нужные настройки и развернуть систему
защиты, не разбираясь с интерфейсом консоли.
Dr.Web Enterprise Suite
Как отмечалось ранее, разработчики Dr.Web пошли несколько другим путем; их
продукт — это единое решение, включающее сервер и агент. Серверная часть состоит
из антивирусного сервера, консоли администратора и SQL сервера. Назначение
компонентов совпадает с Kaspersky Administration Kit. В сети можно развернуть
несколько серверов, объединенных в иерархическую структуру и взаимодействующих
между собой. Управление осуществляется из единой консоли (локальной или веб),
куда также выводится информация о состоянии агентов.
Серверная часть построена с использованием Java, и сегодня возможна установка
на Windows 2k/XP/2k3/2k8, Linux, FreeBSD и Solaris. В качестве СУБД подключается
встроенная IntDB база данных (подходит для сетей малого и среднего размера) или
MS SQL Server CE, Oracle (либо любая другая через ODBC), в Linux поддерживается
PostgreSQL.
Сама консоль управления с четвертой версии практически не изменилась.
Некоторые задания, чтобы не искать их в списке, можно вызывать из контекстного
меню щелчком по иконке в трее. Веб-интерфейс в базовых операциях заметно удобнее
консоли, особенно для сбора данных о состоянии агентов. Чтобы к нему
подключиться, следует ввести в браузере адрес сервера и порт 9080/9081 (HTTP/HTTPS).
Браузер должен поддерживать выполнение Java.
ESET NOD32 Smart Security Business Edition
Для централизованного администрирования продуктов ESET используется Remote
Administrator (ERA), состоящий из сервера (ERAS) и консоли управления (ERAC),
поставляемых отдельными дистрибутивами. Их основное назначение совпадает с
решениями, описываемыми ранее. Сервер обеспечивает непосредственное управление
клиентами и сбор данных, дополнительно может являться зеркалом обновлений. В
сети может быть установлено несколько ERAS, которые реплицируют настройки на
основной сервер.
Локализованная консоль позволяет управлять удаленной установкой антивируса,
предварительно определив конфигурации для пакетов; предписывать настройки,
отправляемые клиентам; создавать политики и получать отчеты. Клиенты,
установленные обычным образом, подключаются в "Настройки - Дополнительные
настройки - Разное - Удаленное администрирование". Просто отмечаем флажок
"Подключиться к ESET Remote Administrator Server" и указываем адрес и порт (по
умолчанию 2222) сервера. Через некоторое время клиент появится в окне консоли
ERAC. Администратор определяет, какие данные клиент передает на сервера
автоматически, а какие — только по запросу. Редактор конфигураций позволяет
указать любые установки для решений ESET с возможностью экспорта в файл
XML-формата, они могут быть использованы для резервирования настроек, импорта в
ERAC или конфигурирования локального клиента. Предусмотрен импорт групп из
Active Directory. Следует отметить наличие ESET SysInspector, который помогает
собрать данные о системе (драйвера, приложения, сетевые соединения и т.д.), и
ESET SysRescue, предназначенного для создания спасательного диска с антивирусом
NOD32 (понадобится WAIK, подробнее о нем смотри в статье "Самосборные
окна" в ][ 01.2009). Возможностей у ERAC очень много, поэтому придется
потратить какое-то время на изучение его особенностей.
Для установки ERAS понадобится компьютер под Windows от NT4 до 2k8/Se7en
(работает как служба), для консоли список ОС аналогичен, только отсутствует NT4.
В качестве базы данных по умолчанию предлагается встроенная MS Access, как
вариант — MS SQL Server, Oracle или MySQL. Удобно, что лицензия для ERAS не
требуется (лицензируются только клиентские системы), поэтому при необходимости
можно совершенно свободно развернуть любое их количество.
avast! Enterprise Suite
Сердцем консоли управления антивирусами avast! ADNM является Management
Server, к которому подключаются клиенты для получения обновлений и новых
политик. Чтобы установить такой сервер, понадобится компьютер с 32/64-битной
версией WinNT/2k/XP/2k3/Vista/2k8. В больших сетях возможно использование
нескольких MS со своими SQL'ными базами данных. При этом предусмотрено два
варианта взаимодействия: репликация настроек или использование центрального (dedicaded)
сервера. Установочный дистрибутив включает MSDE 2000 (достаточно для сети до
1000 систем), вместо него можно использовать полноценный MS SQL Server 2k/2k5 (в
том числе и 2k5 Express Edition). Также администратор может выбрать один из двух
методов взаимодействия сервера с клиентскими системами: PUSH и POP. То есть,
когда сервер управляет клиентами принудительно, опрашивая их состояние, или
клиенты сами периодически подключаются к серверу за настройками. Сервер работает
в качестве сервиса (AMS service, AvEngine.exe) и, по сути, является
дополнительным прослушивателем HTTP/S протокола (подключается к процессу
httpd.exe). Использование стандартного порта упрощает администрирование и доступ
через закрытые файером сети. Программа установки интуитивно понятна и
локализована. В большинстве случаев достаточно указать вариант "Нормальная", и
все необходимое будет установлено автоматически, включая пакеты для поддержки
русского языка. На этапе запроса лицензии нажимаем "Демо" — нужные лицензии
будут сгенерированы автоматически. Также на этапе установки создается зеркало
антивирусных баз, за основу берется офсайт avast! или уже имеющийся сервер
управления. По умолчанию устанавливается учетная запись Administrator с
паролем admin.
Symantec Endpoint Protection
Система управления Symantec Endpoint Protection также состоит из трех
компонентов: Manager (сервер), Console и Database. В сети может работать
несколько Manager'ов, обменивающихся политиками с родительским сервером. В
качестве ОС для установки серверной части подходят Win2k/XP/2k3/2k8 (32/64-bit).
Консоль управления, помимо этих систем, может быть установлена на Vista/Se7en. В
комплекте с программой установки идет встроенная SQL'ная база данных (на основе
Sybase), которую рекомендуется использовать при подключении до 100 клиентов (она
ставится автоматом при выборе режима инсталляции "Простой"). При наличии
большего количества систем рекомендуется задействовать полнофункциональный
SQL-сервер — MS SQL Server 2kSP4/2k5SP2/2k8. Для работы серверной части
потребуется наличие роли IIS, которую необходимо установить до развертывания
Manager. Все компоненты собраны в единый архив (весом 510 Мб), который доступен
на офсайте. Скачать его можно только при помощи специального Java-приложения,
запускающегося автоматически при нажатии ссылки (и регистрации). Сам процесс
установки не должен вызвать проблем, будет понятен даже новичку. Кроме этого
есть очень удобные мастера и инструменты. Так, мастер переноса и развертывания,
который стартует сразу после инсталляции, помогает быстро установить антивирус
на клиентских системах, перенести группы и политики с родительских серверов SEP.
В больших сетях вручную рассортировать клиентские системы весьма непросто —
здесь на помощь приходят инструменты Symantec'овской консоли. В критериях отбора
систем можно задавать до 30 параметров: имя компьютера, IP-адрес, частота CPU,
версия BIOS и так далее.
Итоги
Как видим, представленные решения отличаются по многим параметрам, и в первую
очередь бросается в глаза разные функциональные возможности клиентских модулей,
список поддерживаемых ОС и особенности управления. Поэтому перед выбором своего
решения следует внимательно оценить имеющиеся ресурсы, а затем выбрать
наиболее приемлемый вариант.
|