Управление установленными на рабочих станциях и серверах средствами безопасности — важная задача, и она приобретает особое значение при появлении новых угроз. В процессе подготовки предлагаемого обзора я протестировал пять продуктов, обеспечивающих централизованное управление настольными системами и серверами на основе политик. Чтобы получить единообразные условия тестирования, я попросил всех поставщиков предоставить мне не только антивирусные программы, но и консоли управления. При подготовке данного обзора я оценивал главным образом интерфейсы управления и не исследовал каждый продукт с точки зрения его эффективности при выполнении основной задачи — защиты настольных систем. В этой статье речь пойдет о серверной архитектуре, используемой поставщиками для администрирования управляемыми клиентами, о средствах масштабирования для управления большими парками систем и о реализованном в каждом продукте подходе к организации управления клиентами таким образом, чтобы облегчить назначение политик настройки клиентских приложений, а также их развертывание.
В контексте предлагаемого обзора я определяю политики как настройки, управляющие функциями тех или иных прикладных программных средств. В одних продуктах политиками называются именованные группы настроек, которые можно копировать или назначать как единый объект; в других индивидуальные настройки наследуют свойства по иерархии домена либо доменов и субдоменов. Кроме того, возможна реализация политик на базе сочетания двух упомянутых методов.
F-Secure Policy Manager
Пакет F-Secure Policy Manager в сочетании с приложениями из комплекта F-Secure Anti-Virus Enterprise Suite управляет средствами безопасности оконечных точек по всему предприятию. Программное обеспечение можно устанавливать на серверах и рабочих станциях, функционирующих под управлением различных версий Linux, а также Windows. Я установил Policy Manager с пакетом F-Secure Client Security 7, входящим в состав комплекта Anti-Virus Enterprise Suite.
Архитектура
Policy Manager включает в себя множество компонентов. Написанный на языке Java управляющий интерфейс Policy Manager Console может функционировать на целом ряде платформ. Policy Manager Server, реализованный как расширение Web-сервера Apache, является хранилищем программных средств и политик. В процессе обмена данными с управляемыми клиентами этот сервер использует стандартные протоколы HTTP. Policy Manager Web Reporting — стандартная графическая система подготовки отчетов на базе Web. Она предоставляет сведения о состоянии систем в масштабах всего предприятия, включая системы, не управляемые с помощью политик. Policy Manager Reporting Option — интерфейс командной строки, предназначенный для работы с отчетами. Policy Manager Update Server управляет автоматическим обновлением определений для хост-машин, на которых установлены антивирусные и антишпионские средства. Этот агент управления представляет собой компонент, размещаемый на клиентской стороне. Он включает интерфейс конечного пользователя, а также интерфейс, общий для всех приложений F-Secure. Агент обеспечивает выполнение политик, созданных и назначенных средствами Policy Manager Console. Policy Manager Proxy — удаленный агент, предназначенный прежде всего для сегментов сети с низкой скоростью передачи данных от абонентов к центральному узлу. Обеспечивает загрузку обновлений для системы защиты и распределяет их по локальным системам.
Процедура установки не вызвала особых затруднений и заняла у меня примерно 15 минут. Я установил программное обеспечение на системе Windows Server 2003. По умолчанию к предназначенной для работы в среде Web консоли Policy Manager можно обратиться только с локального адреса локальной машины, но его можно изменить, выставив нужный флажок. В ходе установки вы можете указать удаленные установочные файлы jar других продуктов F-Secure или настроить их позднее.
После установки я обнаружил компонент Status Monitor, который отображает состояние сервера и его машины, модули Administration и Reporting, а также интерфейс Automatic Update Agent, который отображает версию новейшего обновления для каждого продукта, успешность выполнения последних запросов на обновление, возможность проверки обновлений вручную и доступ к файлу конфигурации Update Agent. Automatic Update Agent следит за тем, чтобы на сервере консоли всегда имелись самые последние обновления для распространения на управляемых клиентах. Интервал опроса и предпочтительные источники обновлений указывает администратор.
Policy Manager Console
Работать с консолью можно в двух режимах доступа — административном (для перехода в него требуется ввести фразу-пароль, заданную при установке) и в режиме «только для чтения». Внутри самой консоли реализовано два функциональных режима: Anti-Virus, показанный на экране 1, и Advanced; в последний можно перейти через раскрывающееся меню View. Я пришел к выводу, что в обоих режимах пользовательский интерфейс Policy Manager Console хорошо организован и прост в применении.
Режим Advanced
Когда пользователь запускает консоль Policy Manager и переходит в режим Advanced Mode, справа от панели Policy Domains на экране отображается снабженная вкладками панель Properties; при этом панель с деталями отображается у правого края экрана.
Policy Domains представляет собой многоуровневую иерархическую структуру папок, в чем-то напоминающую организационную единицу (OU) службы Active Directory (AD). Каждый клиент получает политики, назначенные для его папки.
Чтобы установить политику, требуется выбрать Policy Domain на панели слева и перейти на вкладку Policy на центральной панели Properties. После установки политик их нужно сохранить и применить. Обе процедуры выполняются щелчком на значках, которые расположены на линейке пиктограмм. После того как политика применена, она начинает действовать на использующих ее управляемых клиентах.
Чтобы развернуть продукты на обнаруженных главных машинах, нужно перейти на вкладку Installation панели Properties, импортировать зарегистрированные в автоматическом режиме главные системы в дерево домена и просмотреть версии имеющихся пакетов установки программного обеспечения. Я тестировал развертывание программных средств путем принудительной загрузки Client Security 7 на рабочей станции Windows 2000 Professional. Развертывание прошло гладко, без каких-либо неожиданностей.
Режим Anti-Virus
Режим Anti-Virus, подробно рассматриваемый в руководстве F-Secure Client Security Administrators Guide, — это интерфейс, предназначенный для работы с приложением Client Security 7. Некоторые из его функций повторяют функции, реализованные в режиме Advanced; к их числу относятся настройки политики, имеющие отношение к проверке клиента, и агент управления клиентами.
Вывод
Я пришел к заключению, что работать с консолью Policy Manager исключительно легко. Консоль управляет серверами по одному, поэтому администраторы крупных организаций с несколькими серверами Policy Manager не смогут получить полное представление о сети организации. Но для организаций, где не развернуто несколько серверов Policy Manager, F-Secure’s Anti-Virus Enterprise Suite в сочетании с Policy Manager будет вполне приемлемым решением.
Kaspersky Lab Open Space Security
Компания Kaspersky Lab объявила о выпуске набора под общим названием Kaspersky Open Space Security — существенно обновленных версий своих продуктов, предназначенных для борьбы с вирусами и для централизованного управления. В число модернизированных решений входят Administration Kit 6.0, Antivirus 6.0 for Workstations и Antivirus 6.0 for Servers. Комплект дополняет продукт Kaspersky Mobile Security, разработанный для мобильных телефонов на базе операционной системы Symbian. Я тестировал «технический» выпуск, позднюю бета-версию с полным набором функциональных возможностей, появившуюся за несколько недель до RTM.
Архитектура
Разработанный компанией Kaspersky набор программных средств Administration Kit 6.0 представляет собой серверный централизованный компонент управления из комплекта Open Space Security. Установленный на одном сервере или на составляющих иерархию серверах в более крупных организациях, набор Administration Kit обеспечивает мониторинг состояния управляемых систем с использованием базы данных SQL Server или MySQL. Кроме того, административный сервер играет роль центрального пункта дистрибуции обновленных версий изделий, включая антивирусные программы и правила обнаружения вредоносного программного обеспечения. Поскольку Kaspersky публикует новые файлы обновления вирусной базы ежечасно, административные серверы с такой же частотой проверяют сайт компании на наличие новых поступлений и загружают их. Служба агентов выполняется на управляемых системах и направляет на административный сервер сообщения об обнаруженных случаях сканирования и угрозах. Раз в 15 минут административный сервер опрашивает каждый из клиентов и получает информацию о его состоянии; клиенты опрашивают свой административный сервер ежечасно, осведомляясь о наличии обновленных версий.
Работа с консолью
Типичным пользователям Windows — тем, кто использует учетные записи локальных систем Windows и доменные учетные записи, — хорошо известно, что для получения доступа к административной консоли необходимо пройти процедуру аутентификации. Зарегистрировавшись на консоли, можно предоставлять администраторам доступ к отдельным серверам или группе внутри древовидной структуры консоли, которая содержит административные серверы.
Набор Administration Kit предназначен для управления всеми приложениями компании Kaspersky Lab. Создание установочных пакетов, содержащих все данные, которые необходимы для соединения с тем или иным административным сервером, осуществляется с помощью мастера. Продукт Anti-Virus 6.0 for Workstations можно развертывать дистанционно. По завершении процедуры создания установочных пакетов можно с помощью мастера назначать им имена компьютеров и время выполнения. Пакеты можно использовать повторно, назначив им время выполнения на новых системах. Мастер Quick Start Wizard существенно облегчил задачи первоначальной реализации, включая создание стандартных настроек предупреждающего оповещения, принимаемую по умолчанию политику, задачу сканирования, а также задачи обновления программного обеспечения и правил обнаружения. Мастер загрузил все текущие обновления.
Как показано на экране 2, административная консоль имеет знакомую структуру. Слева отображается иерархия административных серверов, хотя на экране 2 мы видим только один сервер, localhost. Под сервером можно увидеть такие объекты и задания, как группы (Groups), обновления (Updates), дистанционная установка (Remote install), отчеты (Reports) и события (Events). Если щелкнуть на одном из объектов или заданий, на дисплее отобразятся соответствующие объекты и задания. Так, например, по щелчку на пункте Remote install в окне отобразятся задачи, связанные с созданием установочного пакета, установкой или деинсталляцией пакета, а также список созданных администратором установочных пакетов.
Важнейшими организационными единицами, применяемыми для управления приложениями Kaspersky Lab, являются группы. Группы и подгруппы создаются для организации управляемых систем. Специалисты Kaspersky Lab называют коллекцию групп «логической сетью». Внутри объекта Group размещаются папки, содержащие политики, групповые задачи и административные серверы. Групповые задачи позволяют администратору настраивать и запускать по графику такие операции, как установка на клиентах программного обеспечения и обновленных защитных модулей, а также составление графиков проверки систем. Папка Policies является контейнером для именованных политик.
Папка Network: Domains содержит домены, рабочие группы и компьютеры, обнаруженные в сети и настраиваемые с помощью IP-сканирования, просмотра сети и опроса AD. Переместите системы из структуры папки Network в группы, составляющие логическую сеть, которую вы создаете в папке Groups. Для каждого домена можно настроить группу, в которую административный сервер будет автоматически помещать вновь обнаруженные системы и применять политики, ассоциированные с этой группой.
Именованная политика, которую можно увидеть в административной консоли, содержит все настройки для установленного продукта, такого как Anti-Virus 6.0 for Workstations. Политики могут быть помечены как активные или нет, их можно вырезать, копировать и вставлять в папки Policies для других групп. Политики наследуются по иерархии логической сети. По умолчанию наследуемые политики не отображаются в папке Policies подгрупп, но эту стандартную настройку можно изменить в меню, которое раскрывается щелчком правой клавишей мыши на любой папке Policies. Возможны два типа политик на основе событий: политика мобильного пользователя (mobile user policy), применяемая в случае, когда пользователь отключается от сети, и политика, активизируемая при наступлении события (event-enabled policy); последняя применяется в случае внезапного заражения вирусом. Внутри одной группы могут содержаться несколько экземпляров политик для одного и того же приложения — в явном виде или по наследованию. Не могу с уверенностью сказать, что произойдет, когда в одной папке появятся две нормальные (не активизируемые при наступлении события) активные политики для одного и того же приложения, хотя мне удалось создать такую ситуацию.
Управление задачами организовано аналогично управлению политиками. Задачи наследуются по иерархии логической сети, и наследуемые задачи не отображаются по умолчанию.
Вывод
Kaspersky Administration Kit — добротный продукт. В сочетании с пакетом Anti-Virus 6.0 for Workstations, который я использовал в качестве тестового приложения, он обеспечивает возможность выявления широкого круга угроз и защиты от них, — впрочем, этой темы я не касаюсь. Мне представляется, что структура консоли управления оставляет желать лучшего. Полагаю, что при эксплуатации в крупных организациях слишком «развесистое» дерево консоли будет создавать неудобства. По-моему, отображать папки Policies, Group tasks и Administration servers в каждой группе нет необходимости. Однако это не столь существенные вопросы. Основные функциональные возможности охватывают широкий спектр задач (таких, как мониторинг функционирования продуктов Office), чего не скажешь о многих других изделиях.
McAfee ePolicy Orchestrator 3.6.1
McAfee ePolicy Orchestrator 3.6.1 (ePO) состоит из нескольких компонентов. ePO Server управляет политиками, обрабатывает события, организует задания, а также координирует процедуру обновления программных средств и модулей защиты. Для хранения данных о логической схеме управляемых систем, представленных в древовидной структуре консоли ePO, используются базы данных SQL Server. Установку консолей ePO можно осуществлять как локально, так и дистанционно, что позволяет администраторам проявлять гибкость в организации управления. В каждой управляемой системе ePO устанавливается агент, в задачи которого входит обеспечение выполнения политик, составление отчетов о событиях, а также извлечение обновленных версий. Агент для выявления инородных систем, установленный на одной или двух системах в каждой подсети, прослушивает передаваемые сообщения и выявляет присутствие систем, не оснащенных агентом ePO. При обнаружении такой системы агент инициирует действие, предварительно указанное администратором. Главное хранилище, организованное на сервере ePO, получает все обновления в соответствии с назначенным графиком. Сервер ePO распределяет обновления по расположенным в стратегически важных точках хранилищам сети. В зависимости от характеристик эксплуатируемой сети можно предоставлять доступ к хранилищам по протоколам для совместного использования файлов HTTP, FTP или в соответствии со стандартом общего соглашения об именовании Universal Naming Convention (UNC). Еще одна возможность — повысить статус управляемой системы до уровня SuperAgent, и тогда она будет кэшировать обновления для передачи на другие локальные системы. Кроме того, продукт McAfee позволяет обслуживать хранилища вручную; это дает возможность защищать изолированные сети от физически переносимых угроз.
Внутри политик ePO содержатся наборы конфигурационных настроек для конкретных программных приложений, их можно назначать для использования в том или ином узле на дереве консоли. Соответствующие политики направляются клиентским агентам, которые периодически (раз в 5 минут по умолчанию) проверяют состояние системы для выявления несоответствия предъявляемым требованиям; в случае обнаружения несоответствия устраняются и составляется отчет. Реакция на события, сведения о которых поступают на сервер ePO, соответствует правилам оповещения, составленным администратором. Это могут быть оповещения, задания на базе ePO, такие как развертывание агента, и выполнение внешней программы. McAfee предлагает организовывать дерево консоли для эффективного развертывания политик и обеспечивает возможность использования нескольких уровней группирования. Первый уровень специалисты McAfee называют Sites; под ним располагается уровень Groups. Рекомендуется аналогичным образом сконфигурированные системы объединять в группы. Для каталога и для каждого узла организуется специальная группа «Бюро находок» (Lost and Found group). В сущности, она представляет собой временное хранилище для систем, требующих ручного размещения. В эту группу помещаются обнаруженные системы в тех случаях, когда их постоянное место в структуре каталога не может быть определено. По умолчанию политики наследуются по иерархии во всей структуре каталога и могут быть изменены в любой момент.
Защита консоли обеспечивается пользователями McAfee с идентификаторами двух типов: администраторы (administrators) и наблюдатели (reviewers). Пользователи категории Global Administrators имеют права доступа без ограничений; Site Administrators могут управлять своим узлом и просматривать другие узлы. Аналогичным образом Global Reviewers могут просматривать — но не изменять — настройки всех узлов, а права наблюдателей со статусом Site Reviewers ограничены просмотром настроек своего узла.
В консоли
Зарегистрировавшись на консоли с учетными данными, созданными в процессе установки, я исследовал дерево консоли. Как показано на экране 3, под папкой верхнего уровня McAfee (которую можно переименовать) я обнаружил папки двух уровней: ePolicy Orchestrator и Reporting. Мой сервер ePO был единственным объектом на уровне ePolicy Orchestrator, и его папка содержит папки Notifications и Rogue System Detection, а также папки Directory, Policy Catalog и Repository. В ходе подготовки данного обзора я уделил разделу Reporting совсем немного времени.
Исследуя структуру каталога, я обнаружил на панели деталей вкладки Policies, Properties и Tasks. Я создал узел и группы внутри структуры каталога. При этом я использовал меню, раскрывающееся по щелчку правой клавишей мыши. В папке Lost and Found я обнаружил свой сервер ePO. Когда я щелкнул на имени сервера, на экране отобразились стандартные политики, унаследованные сверху на вкладке Policies. На вкладке Properties я обнаружил 27 объектов, относящихся к системной информации, и перечень установленных продуктов McAfee — на данный момент это были агенты ePO. Единственным заданием, отображенным на вкладке Tasks, было задание ePO Agent Deployment, унаследованное с верхнего уровня каталога. Когда я щелкнул на Policy Catalog, на экране появился список продуктов McAfee, каждый из которых содержал стандартные политики. Этот интерфейс весьма удобен в работе. Я скопировал одну из политик Virus Scan Enterprise, назначил ей имя, и на экране появилось снабженное вкладками окно, где можно было получить доступ ко всем настройкам той или иной политики. На каждой вкладке имеется флажок Inherit; когда он выставлен, все указанные на данной вкладке настройки теряют силу и в действие вступают настройки, унаследованные с верхних уровней. На каждой вкладке также имеются раскрывающиеся списки параметров настройки серверов и рабочих станций, что позволяет осуществлять индивидуальное конфигурирование объектов этих двух типов.
Развертывание
Поскольку каждой управляемой системе необходимо иметь сведения относительно местоположения своего сервера ePO, в процессе установки ePO формируется специализированный пакет развертывания агентов для систем, которые будут отчитываться перед ним. В ходе развертывания агента продукт McAfee позволяет задействовать почти все методы развертывания программного обеспечения. Достаточно применить один параметр, и ePO будет автоматически развертывать агенты по мере добавления систем к узлам или группам внутри дерева каталога.
Чтобы развернуть программное средство McAfee, такое как Virus Scan Enterprise, нужно просто зарегистрировать его установочный пакет в системе ePO. Этот процесс осуществляется под руководством мастера и состоит из двух частей. Сначала зарегистрируйте файл каталога продуктов (файл .z), в котором описывается установочный пакет, затем зарегистрируйте файлы политик продукта (файлы .nap), в которых описываются параметры политик, ассоциированных с этим продуктом.
Вывод
Для продукта, обладающего столь богатыми возможностями настройки, ePO на удивление прост в использовании. Разработчики потрудились на славу. Реализованная в изделии архитектура позволяет администраторам создавать системы, которые берут на себя выполнение повседневных задач, скажем, следят за тем, чтобы новые системы в соответствии с графиком запускали обеспечивающее защиту программное обеспечение.
Sophos Endpoint Security
Sophos Endpoint Security — это комплект продуктов, состоящий из трех интегрированных приложений: Sophos Enterprise Console 2.0, Sophos Anti-Virus 6.5 и EM Library 1.3. В данном обзоре основное внимание будет сосредоточено на интерфейсе Enterprise Console, который обеспечивает централизованную настройку политик и приложений в различных группах.
Архитектура
Библиотека EM Library вполне заслуживает того, чтобы назвать ее сердцем комплекта Sophos Endpoint Security; она аккумулирует программные средства, а также обновления модулей обнаружения угроз и рассылает их в распределительные пункты по всему предприятию. Программа Sophos Anti-Virus обеспечивает защиту оконечных точек, а интерфейс Enterprise Console дает возможность управлять политиками и оконечными точками. С помощью компонента Enterprise Manager (в меню Start он называется EM Library Console) администратор настраивает источники обновлений и указывает, в какое время и как часто EM Library осуществляет поиск обновлений. Специалисты компании Sophos предусмотрели две стратегии, позволяющие сотрудникам крупных организаций распределять библиотеку обновлений. Каталог Central Installation Directory представляет собой сетевой ресурс для совместного использования, в который библиотека EM Library направляет копии обновлений. Дочерние библиотеки — это вспомогательные реализации EM Library для сетей, у которых соединения с Internet или с региональными вычислительными сетями имеют низкую пропускную способность. Родительская библиотека извещает дочерние библиотеки о поступлении обновлений, и дочерние библиотеки загружают их по графику. Sophos поддерживает сети, не имеющие выхода в Internet; библиотеки EM Library в таких сетях получают возможность задействовать в качестве родительской библиотеки съемное устройство.
Пакет Sophos Anti-Virus включает в себя средства защиты от шпионских программ (spyware), от программ для распространения рекламных объявлений (adware) и от потенциально нежелательных программ (Рotentially Unwanted Applications, PUA). Эти средства интегрированы в единый процессор и обеспечивают полную проверку за один проход.
Подход специалистов Sophos к реализации политик состоит в том, чтобы создавать именованные политики и применять их к именованным группам систем в дереве консоли. Такая схема подходит в тех случаях, когда администраторам удается реализовать единообразный набор политик в масштабах всего предприятия. Именование политик дает администраторам возможность с легкостью отслеживать политики, применяемые к группам. Я полагаю, что программы управления, в которых используются именованные политики, проще в освоении и реализации, нежели пакеты, предусматривающие более детализированный подход к формированию политик.
Установка
Следуя указаниям руководства Network Startup Guide, я без труда выполнил процедуру установки. В ходе стандартного процесса загрузки устанавливается консоль, антивирусная утилита и компоненты клиентского брандмауэра. Кроме того, устанавливается MSDE или администратору предоставляется возможность подключиться к существующему серверу SQL. Библиотека EM Library, где хранится программное обеспечение и модули обновления для средств распознавания угроз, формируется либо в виде локального разделяемого каталога, либо может быть размещена на другом сервере. Диспетчер Enterprise Manager запускается по завершении работы программы установки и помогает администратору осуществить необходимые первоначальные настройки конфигурации. По его указанию я прежде всего настроил основной и вспомогательный источники обновлений, приняв в качестве основного предлагаемый по умолчанию сервер Sophos. Вместе с лицензией компания Sophos предоставила идентификатор и пароль для учетной записи, который я и ввел, как полагается, для получения доступа к серверам обновлений Sophos. Далее требовалось составить график проверок на наличие обновлений. Я принял значение по умолчанию, в соответствии с которым проверки производятся раз в 10 минут. Sophos Anti-Virus обладает совместимостью с широким кругом клиентских платформ семейств Windows/Linux/UNIX/Macintosh. В качестве следующего шага я выбрал платформы, для которых нужно будет загружать обновления, и инициировал процесс первоначальной загрузки. Наконец, открылось окно консоли Enterprise Console.
Enterprise Console
В открывшемся окне консоли отображаются сводные данные высокого уровня о состоянии. С помощью раскрывающегося меню администратор может отфильтровывать информацию, оставляя на экране лишь представление отдельных состояний. Enterprise Console имеет знакомую структуру: слева отображаются иерархические деревья компьютеров и политик, а справа — панель деталей. Значки, расположенные вдоль верхнего края экрана интерфейса, обеспечивают быстрый доступ к основным функциям. Для облегчения процесса администрирования в консоли используются именованные группы клиентских компьютеров и именованные политики. Первая задача состоит в том, чтобы создать группы компьютеров, и решается она так же просто, как и задача создания нового каталога в программе Windows Explorer.
Следующий шаг — установка нескольких типов политик. Политики Updating указывают основной и вспомогательный источники обновлений (используемые агентами клиентов) в стандарте UNC или в виде Web-адресов, а также определяют, как часто библиотека EM Library будет загружать обновления. Поскольку для клиентов различных типов (скажем, для Windows XP и для Windows 98) требуются различные пакеты обновления, внутри именованной политики настраиваются параметры для каждого типа пакетов. Для мобильных пользователей в качестве вспомогательного источника может быть указан Web-узел, доступный с помощью внешнего устройства.
Как показано на экране 4, антивирусные политики дают возможность сконфигурировать и время проверок по графику, и проверки сразу же по получении доступа. Для проверок, осуществляемых при получении доступа, на компьютерах Windows и Macintosh администратор может включать в число проверяемых и исключать дополнительные типы файлов. Кроме того, он может задействовать функцию проверки на наличие нежелательных приложений и внутри архивных файлов. В случае обнаружения угроз, на экране зараженной системы по умолчанию отображается соответствующее сообщение; при желании можно указать в настройках, что следует отправлять предупреждающие сообщения по электронной почте и SNMP. Когда активизируется функция проверки на наличие нежелательных приложений, с помощью этого интерфейса администратор указывает, какие программы относятся к числу разрешенных.
Следующий шаг — включение компьютеров в группы. Sophos поддерживает три типа сетевых проверок: по AD, по диапазону IP-адресов и средствами обследования сети. Для объединения компьютеров в группы достаточно подсвечивать их значки и перемещать в группу мышью методом буксировки. Таким же образом выполняется операция назначения политик: политика перетаскивается на группу с помощью мыши. Можно буксировать одни группы на другие; так создаются иерархии. Однако при этом надо иметь в виду, что автоматически политики не наследуют атрибуты по цепочке.
Для развертывания программных средств в группах необходимо выбрать нужную группу и щелкнуть на значке Protect Computers. Enterprise Console предложит ввести идентификатор пользователя с правами администратора и установит на системах группы пакет Sophos Anti-Virus, а также, по желанию, брандмауэр Sophos Client Firewall.
Вывод
В целом комплект Sophos Endpoint Security проще в использовании, нежели многие другие представленные в обзоре продукты, но он не наделен некоторыми возможностями, реализованными в более мощных решениях. Я считаю, что эта простота и удобство эксплуатации будут по достоинству оценены в относительно стабильных организациях, где приняты единообразные требования к системам в масштабах всего предприятия. Сотрудники организаций, предъявляющих к системам более разнообразные требования, со многими тысячами компьютеров, где постоянно осуществляется развертывание новых систем, возможно, предпочтут другое решение.
Trend Micro OfficeScan 7
В ближайшее время компания Trend Micro выпустит существенно обновленную версию семейства своих продуктов, однако при подготовке обзора я работал с поставляемой ныне версией OfficeScan. Продукт OfficeScan 7 Client/Server представляет собой многоуровневую систему управления угрозами. Он оснащен встроенной консолью управления в среде Web, которая функционирует под управлением Web-серверов Microsoft IIS или Apache. В комплект поставки OfficeScan компания Trend Micro включает лицензию на использование Control Manager, своей превосходной консоли управления в среде Web. Хотя для использования Control Manager требуется IIS (компания Trend Micro изыскивает пути, чтобы можно было избежать этого ограничения), она обеспечивает возможность управления другими средствами безопасности Trend Micro с помощью одной консоли.
Архитектура
Система OfficeScan защищает настольные компьютеры, мобильные системы и серверы не только от шпионского программного обеспечения и атак, сочетающих различные угрозы, но и от вирусов, «троянских коней», червей, хакеров и сетевых вирусов. Она строится на базе многоуровневой архитектуры. Control Manager и OfficeScan устанавливаются на сервере Windows. Для хранения информации о клиентах Control Manager использует базу данных SQL Server (по умолчанию MSDE). Размещенные на клиентских системах агенты вступают с системой OfficeScan во взаимодействие, в ходе которого они направляют ей отчеты о состоянии своих клиентов и определяют, откуда следует загружать обновления. При желании можно настроить агент таким образом, чтобы он кэшировал поступающие от сервера OfficeScan обновления для передачи их другим локальным клиентам внутри указанного диапазона IP-адресов. Другая возможность — настроить дочерние распределительные серверы OfficeScan на удаленных узлах. Если ноутбукам и другим мобильным системам не удается установить соединение с сервером OfficeScan (такая ситуация возникает, когда эти устройства оказываются вне офиса), можно сконфигурировать их так, чтобы они соединялись с серверами Trend Micro для получения имеющихся обновлений. Возможность установки двухуровневых серверов OfficeScan позволяет задействовать OfficeScan с консолью Control Manager в крупных организациях с несколькими узлами.
В состав установленных на клиентах агентов Control Manager входит единый компонент Communicator, который координирует взаимодействие с управляемыми серверами. Система OfficeScan устанавливает особый агент для каждого продукта Trend Micro, имеющегося на клиенте.
К серверу предъявляются минимальные требования: Windows 2003 либо Windows 2000 Server, IIS и Java Runtime. Консоль Control Manager дает возможность развертывать агенты несколькими способами, включая использование средств для развертывания агентского пакета MSI от независимых разработчиков, Group Policy или применение такого метода, как непосредственное дистанционное развертывание. Серверные компоненты требуют использования платформ x86 или IA64; клиентские компоненты поддерживаются на системах x86, x64 и IA64.
Функциональные характеристики консоли
В контексте данного обзора интерес представляют две консоли: консоль Control Manager и консоль OfficeScan. Во время первого разговора со специалистами Trend Micro я узнал, что вместо консоли OfficeScan администраторы могут задействовать Control Manager. Возможно, с технической точки зрения это реально — ведь администратор может добраться до консоли OfficeScan из консоли Control Manager, как показано на экране 5. Однако размеры экрана ограниченны, и я пришел к выводу, что для выполнения большинства имеющих отношение к OfficeScan задач проще использовать консоль OfficeScan и обращаться к Control Manager только в случае необходимости.
Зарегистрировавшись на консоли Control Manager, вы увидите на экране базовую страницу, сводку данных о состоянии всех версий продуктов и информацию о результатах последних операций по выявлению угроз. Вдоль верхнего края базовой страницы размещаются пять меню верхнего уровня — Home, Services, Products, Reports и Administration. Администраторы компаний, использующих многие продукты Trend Micro, развернутые на множестве серверов, смогут организовать их в иерархическую структуру внутри Control Manager.
Завершив установку Control Manager, OfficeScan и модулей коррекции для каждой консоли, я создал еще одного административного пользователя, а также инициировал загрузку всех обновлений в ручном режиме. Затем, работая с консолью OfficeScan, я завершил настройку процесса установки OfficeScan: модифицировал предлагаемые по умолчанию настройки проверок, глобальные клиентские настройки и клиентские привилегии. Настройки проверок определяют, проверки каких именно угроз будут выполняться, а также когда и каким образом эти проверки будут осуществляться. Клиентские привилегии определяют, каким образом клиенты могут модифицировать способ выполнения проверок на наличие вирусов. Правило Global Client Settings-Grouping rule имеет большое значение: с его помощью администратор определяет, следует ли предлагать системе OfficeScan группировать клиенты по доменным именам NetBIOS, по доменам AD или по доменам DNS.
Следующий шаг — развертывание OfficeScan на клиентах. Компания Trend Micro предлагает полный набор альтернативных возможностей, включая дистанционное развертывание с консоли OfficeScan и инициируемое клиентом развертывание с Web-страницы OfficeScan. Консоль существенно облегчает развертывание: я имел возможность добраться до нужного домена, выбрать клиенты, ввести учетные данные и инициировать установку.
Организация клиентов и управление политиками оказались не столь «прямолинейными», как у других продуктов. В дополнение к стандартным доменным группам, созданным средствами OfficeScan, я смог расширить древовидную структуру клиентов другими группами. Если Control Manager позволяет создавать для продуктов Trend Micro и серверов многоуровневые структуры, то OfficeScan не дает возможности формировать подгруппы существующих групп при организации компьютеров для управления политиками.
Выделив нужную группу, администратор должен выбрать один из двух методов применения настроек политики — напрямую изменить настройки на панелях, доступных в меню Scan Options и Client Provileges, или экспортировать эти настройки политики в файл из другой соответствующим образом настроенной программы и затем импортировать их в группу, которую нужно изменить.
Вывод
Разработанные компанией Trend Micro средства управления системами и приложениями не так развиты, как у других продуктов данного обзора. Хотя с помощью Control Manager сотрудники самых крупных предприятий имеют возможность получить представление о работе многих продуктов и серверов Trend Micro, которые могут находиться в эксплуатации, администрирование сервера каждого продукта должно осуществляться на индивидуальной основе с помощью консольного интерфейса, созданного специально для данного продукта. При подготовке настоящего обзора я пришел к заключению, что интеграция консоли Control Manager с OfficeScan оставляет желать лучшего. Если бы разработчики обеспечили администратору простую возможность, работая на сервере, запускать в окне его браузера консоль OfficeScan из Control Manager, это был бы значительный шаг вперед. Реализованная в консоли OfficeScan одноуровневая структура групп компьютеров ограничивает возможности администратора в отношении организации структуры политик, а необходимость экспортировать и импортировать групповые политики для управления именованными политиками довольно обременительна. Надеюсь, что в новой версии OfficeScan функции централизованного управления будут усовершенствованы.
Редакция советует
Все рассмотренные продукты наделены превосходными функциональными возможностями. Если бы у меня была возможность привести полномасштабное сравнение всех функций этих продуктов, я, возможно, пришел бы к иному заключению. Но если говорить о централизованном управлении на базе политик, то наибольшее впечатление на меня произвело разработанное компанией McAfee решение ePolicy Orchestrator, отличающееся относительной простотой использования и широкой функциональностью. Эти качества позволяют удостоить его отличия «Редакция советует».
Джон Грин (john@nereus.cc) — президент компании Nereus Computer Consulting
Примечание редактора. В журнале публикуется сокращенная версия подготовленного Джоном Грином сравнительного обзора средств управления антивирусными решениями для настольных систем. Полный текст статьи можно найти по адресу http://www.windowsitpro.com InstantDoc ID 95568.
F-Secure Policy Manager с комплектом F-Secure Anti-Virus Enterprise Suite
Достоинства: продукт легко устанавливается, настройки процедуры развертывания клиентов обеспечивают их установку как в крупных, так и в небольших организациях; интерфейс в сочетании с пакетом F-Secure Client Security отличается простотой использования; на экранах консоли отображаются данные, достаточно полные для принятия решений; выполнение процедур установки политик и определение порядка наследования их атрибутов не вызывают затруднений.
Недостатки: представление, в котором в каждый момент времени на экране отображается лишь один сервер, может показаться слишком неудобным для сотрудников крупных организаций.
Рейтинг: 4 из 5
Цена: продукт F-Secure Anti-Virus Enterprise Suite продается по цене 30,82 долл. в расчете на одного пользователя для 1000 пользователей.
Рекомендация: добротная система управления, вполне достойная внимания потребителей.
Контакты: F-Secure, www.f-secure.com
Kaspersky Lab Open Space Security with Administration Kit 6.0, Anti-Virus 6.0 for Workstations и Anti-Virus 6.0 for Servers
Достоинства: гибкая, простая в освоении структура политик на базе именованных политик; четкое наследование политик и заданий в структуре групп; эффективные средства обнаружения систем и простая процедура назначения в группы в ручном режиме.
Недостатки: ограниченные возможности автоматического назначения новых систем в группы политик; для каждого домена или рабочей группы, к которой принадлежат компьютеры, можно назначать только одну группу политик; неудачная организация консоли.
Рейтинг: 3 из 5
Цена: для изделий Anti-Virus 6.0 for Workstations и Anti-Virus 6.0 for Servers при наличии 10 узлов — 35 долл. в расчете на узел; при наличии 100 узлов — 22,50 долл. за узел; при наличии 1000 узлов — 16 долл. за узел. Если число узлов превышает 1000, цена согласовывается с поставщиком.
Рекомендация: неплохая управляющая система, однако структура консоли неудовлетворительна.
Контакты: Kaspersky Lab, www.kaspersky.com
McAfee ePolicy Orchestrator 3.6.1 с пакетом VirusScan Enterprise 8.5i
Достоинства: тщательно продуманная структура консоли; благодаря использованию именованных политик с наследованием обеспечивается простое и гибкое назначение политик.
Недостатки: разработка средств обнаружения на базе AD все еще не завершена.
Рейтинг: 4 из 5
Цена: определяется в расчете на узел и включает ePolicy Orchestrator, а также постоянную лицензию на VirusScan Enterprise и год «золотой» поддержки, которая предусматривает техническую поддержку и поставку обновленных версий продукта; 29,85 долл. за узел при наличии 1001 узлов; после первого года плата за дополнительную поддержку составляет 11,94 долл. за узел. Возможны скидки при приобретении большого числа узлов.
Рекомендация: хорошо спроектированное приложение для крупных и очень крупных организаций.
Контакты: McAfee, www.mcafee.com
Sophos Endpoint Security с пакетами Enterprise Console 2.0, Sophos Anti-Virus 6.5 и Sophos Client Firewall 1.0
Достоинства: простота структуры консоли обеспечивает легкость навигации; для включения в группы систем, а также именованных политик достаточно выполнить операцию drag-and-drop.
Недостатки: политики не наследуются в соответствии со структурой групп; их необходимо явным образом назначать папкам и подпапкам.
Рейтинг: 4 из 5
Цена: Endpoint Security, включая Enterprise Console 2.0, Sophos Anti-Virus 6.5 и Sophos Client Firewall 1.0, — 28, 52 долл. за год, 42,77 долл. — за два года и 57,02 долл. — за три года при покупке от 500 до 999 мест.
Рекомендация: благодаря простоте и легкости использования этот продукт может быть рекомендован предприятиям с минимальными потребностями.
Контакты: Sophos, www.sophos.com
Trend Micro OfficeScan 7.3 с пакетом Control Manager 3.5
Достоинства: коммуникационная архитектура на базе серверов, обеспечивает обслуживание крупных организаций, поддерживается широкий спектр платформ и языков.
Недостатки: процедуры управления политиками представляются мне менее развитыми по сравнению с конкурирующими продуктами; интеграция консоли Control Manager для управления функциями OfficeScan оставляет желать лучшего.
Рейтинг: 4 из 5
Цена: Trend Micro OfficeScan с пакетом Control Manager 3.5 (который поставляется бесплатно) — 18,90 долл. в расчете на пользователя при общем числе пользователей 1000 человек.
Рекомендация: с точки зрения администратора, с этим продуктом работать сложно.
Контакты: Trend Micro, www.trendmicro.com