KASPERSKY Anti-Virus Check Point Firewall Admin 5.5 User Manual [ru]

ЛАБОРАТОРИЯ КАСПЕРСКОГО
®
Антивирус Касперского
для Check Point
FireWall-1®
5.5
РУКОВОДСТВО АДМИНИСТРАТОРА
АНТИВИРУС КАСПЕРСКОГО® 5.5
ДЛЯ CHECK POINT
FIREWALL-1®
Руководство
администратора
© ЗАО "Лаборатория Касперского"
Тел., факс +7 (495) 797-87-00
http://www.kaspersky.ru
Дата редакции: июль 2006 года
Содержание
ГЛАВА 1. ВВЕДЕНИЕ..................................................................................................... 6
1.1. Компьютерные вирусы и вредоносные программы ....................................... 6
1.2. Назначение, основные функции и состав Антивируса Касперского ............ 9
1.3. Что нового в версии 5.5 .................................................................................... 11
1.4. Требования к аппаратному и программному обеспечению ........................ 12
1.5. Комплект поставки............................................................................................. 13
1.5.1. Лицензионное соглашение........................................................................ 14
1.5.2. Регистрационная карточка........................................................................ 14
1.6. Сервис для зарегистрированных пользователей......................................... 15
1.7. Принятые обозначения..................................................................................... 16
ГЛАВА 2. СХЕМА РАБОТЫ ПРИЛОЖЕНИЯ............................................................ 17
2.1. Схема развертывания приложения................................................................ 17
2.2. Схема развертывания антивирусной защиты............................................... 18
2.3. Поддержка системы антивирусной защиты .................................................. 19
ГЛАВА 3. УСТАНОВКА И УДАЛЕНИЕ ПРИЛОЖЕНИЯ........................................... 20
3.1. Установка приложения ..................................................................................... 20
3.1.1. Первая установка ....................................................................................... 21
3.1.2. Повторная установка.................................................................................. 24
3.2. Удаление приложения...................................................................................... 24
ГЛАВА 4. ИНТЕГРАЦИЯ АНТИВИРУСА КАСПЕРСКОГО С CHECK POINT™
FIREWALL-1®............................................................................................................ 26
4.1. Регистрация Сервера безопасности на Check Point™ FireWall-1®.............. 26
4.2. Получение сертификата Сервера безопасности .......................................... 33
ГЛАВА 5. НАЧАЛО РАБОТЫ ...................................................................................... 35
5.1. Запуск программы............................................................................................. 35
5.2. Интерфейс программы..................................................................................... 35
5.2.1. Главное окно программы........................................................................... 35
5.2.2. Контекстное меню....................................................................................... 37
5.3. Создание списка управляемых серверов ...................................................... 38
4 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
5.4. Подключение Консоли управления к серверу............................................... 40
5.5. Подключение Сервера безопасности к Check Point™ FireWall-1®............... 41
5.6. Минимально необходимая настройка............................................................ 47
5.7. Защита без дополнительной настройки......................................................... 47
5.8. Проверка работоспособности приложения ................................................... 49
5.8.1. Тестовый "вирус" EICAR и его модификации......................................... 49
5.8.2. Тестирование защиты HTTP-трафика..................................................... 50
5.8.3. Тестирование защиты SMTP-трафика .................................................... 50
5.8.4. Тестирование защиты FTP-трафика........................................................ 51
ГЛАВА 6. ОБНОВЛЕНИЕ АНТИВИРУСНЫХ БАЗ ................................................... 52
6.1. Загрузка обновлений из интернета................................................................. 55
6.2. Загрузка обновлений из сетевого каталога ................................................... 56
6.3. Автоматическое обновление........................................................................... 58
6.4. Обновление вручную ........................................................................................ 58
ГЛАВА 7. АНТИВИРУСНАЯ ЗАЩИТА....................................................................... 59
7.1. Антивирусная обработка объектов................................................................. 61
7.1.1. Действия над объектами, передаваемыми по HTTP-протоколу.......... 62
7.1.2. Действия над объектами, передаваемыми по FTP-протоколу ............ 63
7.1.3. Действия над объектами, передаваемыми по SMTP-протоколу......... 64
7.2. Уровень антивирусной защиты ....................................................................... 64
7.3. Включение и отключение антивирусной защиты. Выбор уровня............... 65
7.4. Проверка HTTP-трафика.................................................................................. 66
7.5. Проверка FTP-трафика..................................................................................... 71
7.6. Проверка SMTP-трафика ................................................................................. 73
7.7. Производительность антивирусной проверки............................................... 75
ГЛАВА 8. РЕЗЕРВНОЕ ХРАНИЛИЩЕ....................................................................... 79
8.1. Просмотр резервного хранилища................................................................... 80
8.2. Фильтр резервного хранилища....................................................................... 81
8.3. Восстановление объекта из резервного хранилища.................................... 84
8.4. Удаление объекта из резервного хранилища ............................................... 86
8.5. Настройка параметров резервного хранилища............................................ 87
ГЛАВА 9. ОТЧЕТЫ ....................................................................................................... 89
9.1. Получение отчета.............................................................................................. 91
9.2. Создание шаблона отчета............................................................................... 93
Содержание 5
9.3. Просмотр отчета................................................................................................ 95
ГЛАВА 10. ЖУРНАЛЫ СОБЫТИЙ ПРИЛОЖЕНИЯ................................................. 98
10.1. Настройка уровня диагностики...................................................................... 99
10.2. Настройка параметров файлов журналов................................................. 101
ГЛАВА 11. ЛИЦЕНЗИОННЫЕ КЛЮЧИ.................................................................... 102
11.1. Информация о лицензии.............................................................................. 104
11.2. Информация о лицензионных ключах........................................................ 105
11.3. Лицензионные уведомления ....................................................................... 107
11.4. Установка лицензионного ключа................................................................. 108
11.5. Удаление лицензионного ключа ................................................................. 109
ГЛАВА 12. УВЕДОМЛЕНИЕ...................................................................................... 110
ГЛАВА 13. ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ...................................................... 114
ПРИЛОЖЕНИЕ A. ПАРАМЕТРЫ УВЕДОМЛЕНИЙ............................................... 118
ПРИЛОЖЕНИЕ B. ГЛОССАРИЙ.............................................................................. 123
ПРИЛОЖЕНИЕ C. ЗАО "ЛАБОРАТОРИЯ КАСПЕРСКОГО"................................ 127
C.1. Другие разработки Лаборатории Касперского............................................ 128
C.2. Наши координаты ........................................................................................... 137

ГЛАВА 1. ВВЕДЕНИЕ

Основным источником вирусов на сегодняшний день является глобальная сеть Интернет. Наибольшее число заражений вирусом происходит при работе с электронной почтой. Наличие почтовых приложений практически на каждом компьютере, а также то, что вредоносные программы полностью используют содержимое электронных адресных книг для выявления новых жертв, обеспечивает благоприятные условия для распространения вредоносных программ. Пользователь зараженного компьютера, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д. Нередки случаи, когда зараженный файл-документ по причине недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной компании. В этом случае страдают не пять, а сотни или даже рассылок, которые затем разошлют зараженные файлы десяткам тысячам своих абонентов.
Сегодня всеми признается, что информация является для многих предприятий более ценным достоянием, нежели материальные и денежные активы. В то же время для извлечения прибыли из информации она должна быть доступна сотрудникам, клиентам и партнерам предприятия. Таким образом, встает об одной из важных ее составляющих – защите почтовых серверов предприятия от внешних угроз и предотвращении эпидемий внутри предприятия.
вопрос об информационной безопасности и, как следствие,
тысячи абонентов таких
1.1. Компьютерные вирусы и вредоносные программы
С увеличением количества людей, пользующихся компьютером, и возможностей обмена между ними данными по электронной почте и через интернет возросла угроза заражения компьютера вирусами, а также порчи или хищения информации прочими вредоносными программами.
Чтобы знать, какого рода опасности могут угрожать вашим данным, полезно узнать, какие бывают вредоносные программы и как они работают вредоносные программы можно разделить на следующие три класса:
Черви (Worms) – данная категория вредоносных программ для рас­пространения использует сетевые ресурсы. Название этого класса было дано исходя из способности червей "переползать" с компьюте­ра на компьютер, используя сети, электронную почту и другие ин-
. В целом
Введение 7
формационные каналы. Также благодаря этому черви обладают ис­ключительно высокой скоростью распространения.
Черви проникают на компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Помимо се­тевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы
, но могут вообще не об­ращаться к ресурсам компьютера (за исключением оперативной па­мяти).
Вирусы (Viruses) – программы, которые заражают другие программыдобавляют в них свой код, чтобы получить управление при запуске
зараженных файлов. Это простое определение дает возможность выявить основное действие, выполняемое вирусом – заражение. Скорость распространения вирусов
несколько ниже, чем у червей.
Троянские программы (Trojans) – программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают ин­формацию на дисках, приводят систему к "зависанию", воруют кон­фиденциальную информацию и т.д. Данный класс вредоносных про­грамм не является
вирусом в традиционном понимании этого терми­на (т.е. не заражает другие программы или данные); троянские про­граммы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом "полезного" про­граммного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.
В последнее время
наиболее распространенными типами вредоносных программ, портящими компьютерные данные, стали черви. Далее по распространенности следуют вирусы и троянские программы. Некоторые вредоносные программы совмещают в себе характеристики двух или даже трех из перечисленных выше классов.
Также широкое распространение получили следующие потенциально опасные программы:
Программы-рекламы (AdWare) – программный код, без ведома пользова-
теля
включенный в программное обеспечение с целью демонстрации рекламных объявлений. Как правило, программы-рекламы встроены в программное обеспечение, распространяющееся бесплатно. Реклама располагается в рабочем интерфейсе. Зачастую данные программы со­бирают и переправляют своему разработчику персональную информа­цию о пользователе, изменяют различные параметры браузера (стар­товые и поисковые страницы, уровни безопасности и т
.д.), а также соз­дают неконтролируемый пользователем трафик. Все это может привес­ти как к нарушению политики безопасности, так и к прямым финансо­вым потерям.
8 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Потенциально опасное программное обеспечение (RiskWare) – програ-
ммное обеспечение, которое не имеет какой-либо вредоносной функ­ции, но может быть использовано злоумышленниками в качестве вспо­могательных компонентов вредоносной программы, поскольку содержит бреши и ошибки. В эту категорию попадают, например, программы уда­ленного администрирования, IRC-клиенты, FTP-сервера, всевозможные утилиты для остановки процессов или
скрытия их работы.
Программы-шпионы (SpyWare) – программное обеспечение, целью кото-
рого является несанкционированный доступ к данным пользователя, отслеживание действий на компьютере, сбор информации о содержа­нии жесткого диска. Они позволяют злоумышленнику не только соби­рать информацию, но и контролировать чужой компьютер. Программы­шпионы, как правило, распространяются вместе с бесплатным про­граммным обеспечением и устанавливаются на компьютер незаметно для пользователя. К таковым относятся клавиатурные шпионы, програ­ммы взлома паролей, программы сбора конфиденциальной информа­ции (например, номеров кредитных карт).
Программы автодозвона (PornWare) – программы, которые осуществляют
модемное соединение с различными платными интернет-ресурсами, как правило, порнографического содержания.
Хакерские утилиты (Hack Tools) – программное обеспечение, которое ис
пользуется злоумышленниками в собственных целях для проникнове­ния на ваш компьютер. К ним относятся различные нелегальные скане­ры уязвимостей, программы для взлома паролей, прочие виды про­грамм для взлома сетевых ресурсов или проникновения в атакуемую систему.
Основными источниками распространения вредоносных программ является электронная почта и интернет, хотя заражение может также
произойти через дискету или CD-диск. Это обстоятельство предопределяет смещение акцентов антивирусной защиты с простых регулярных проверок компьютера на присутствие вирусов на более сложную задачу постоянной защиты компьютера от возможного заражения.
-
Далее по тексту Руководства в качестве обозначения вирусов, тро­янских программ и червей мы будем использовать термин "вирус". Акцент на конкретный вид вредоносной программы будет делаться только в случае, когда это необходимо.
Введение 9
1.2. Назначение, основные
функции и состав Антивируса Касперского
Антивирус Касперского® для Check Point™ FireWall-1® (далее также Антивирус Касперского) – это система антивирусного контроля над
файлами, передаваемыми по протоколам HTTP, FTP и SMTP через межсетевой экран Check Point™ FireWall-1 уровень защиты корпоративных сетей от проникновения вредоносных программ.
Управление Антивирусом Касперского осуществляется через специализированный интерфейс, встроенный в Microsoft Management Console (далее MMC).
Приложение обеспечивает выполнение следующих функций:
Антивирусная проверка и обработка потоков данных, передаваемых по протоколам HTTP и FTP. В зависимости от настроек приложение пропускает или лечит вредоносный объект, блокирует доступ к екту, уведомляет о его обнаружении.
Передача вылеченных файлов клиенту, запросившему HTTP или FTP-поток.
Проверка на наличие вредоносного кода входящих и исходящих электронных почтовых сообщений, передающихся по протоколу SMTP, а также всех присоединенных к ним файлов в режиме реаль­ного времени. В зависимости от настроек приложение пропускает, удаляет и ные сообщения.
Формирование списка объектов, которые не будут подвергаться ан- тивирусной проверке.
Сохранение резервных копии объектов перед лечением, удалением или блокировкой в специальном хранилище, что исключает возмож­ность потери информации. Наличие настраиваемых фильтров для резервного хранилища позволяет легко находить исходные копии конкретных объектов.
Уведомление пользователя, запросившего объект, содержащий вре-
доносный код.
Уведомление путем запуска внешних программ, в том числе напи- санных администратором файлов сценария, о результатах антиви-
сопровождает предупреждающей информацией заражен-
®
, обеспечивающая высокий
объ-
10 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
русной проверки объектов, обновлении антивирусных баз, результа­тах создания отчета, приближении окончания срока действия лицен­зии и изменении состояния приложения. Эта возможность позволяет администратору организовать уведомление о перечисленных собы­тиях наиболее удобным для него способом.
Обновление антивирусных баз через интернет и из локального ката- лога как автоматически, так и в
ручном режиме. Ресурсом обновле­ния баз в интернете являются HTTP и FTP-сервера обновлений Ла­боратории Касперского.
Поиск вирусов и лечение зараженных объектов выполня­ются на основании записей антивирусных баз, содержа­щих описание всех известных в настоящий момент виру­сов, способов лечения пораженных ими объектов, а также описание потенциально опасного программного обеспе­чения. Крайне важно поддерживать антивирусные базы в акту­альном состоянии, поскольку каждый день появляются
вирусы.
новые На серверах Лаборатории Касперского антивирусные базы обновляются каждый час. Мы рекомендуем обнов­лять антивирусные базы приложения с той же периодич­ностью (см. Глава 6 на стр. 52).
Ведение журналов событий и создание регулярных отчетов о резуль­татах антивирусной проверки. Программа позволяет формировать отчеты по встроенным шаблонам с необходимой периодичностью.
Настройка параметров работы приложения в соответствии с объе-
мом и характером проходящего трафика, а также характеристиками установленного оборудования (объем оперативной памяти, быстро­действие, количество процессоров и пр.).
Управление лицензионными ключами.
Антивирус Касперского 5.5 для Check Point
FireWall-1® состоит из
компонентов:
Сервер безопасности обеспечивает антивирусную функциональ­ность и обновление антивирусных баз, а также предоставляет адми­нистративные сервисы для удаленного управления, настройки, под­держания целостности приложения и хранения информации.
Консоль управления предоставляет пользовательский интерфейс к административным сервисам приложения и позволяет проводить ус­тановку приложения, осуществлять настройку и управление
сервер­ной частью. Модуль управления выполнен в виде компонента расши­рения к Microsoft Management Console.
Введение 11
1.3. Что нового в версии 5.5
Отличия Антивируса Касперского 5.5 для Check Point™ FireWall-1® от предыдущей версии состоят в следующем:
Полностью переработанный, удобный для использования графиче­ский интерфейс программы выполнен по стандартам Microsoft Man­agement Console. Новый интерфейс позволяет администратору на­чать работу без каких-либо предварительных настроек, а также пре­доставляет большие возможности по настройке индивидуальной среды управления приложением, максимально адаптированной к се­ти конкретного предприятия
Использование для проверки объектов расширенного набора анти­вирусных баз предоставляет возможность защитить трафик не толь­ко от вредоносного программного обеспечения, но и от потенциально опасного программного обеспечения, такого как программы удален­ного наблюдения, программы-рекламы, программы автоматического дозвона на платные сайты, программы-взломщики, программы­шутки.
Реализована возможность выбора позволяет администратору регулировать уровень безопасности про­ходящего через межсетевой экран потока и нагрузку Антивируса при проверке.
Наличие настраиваемых фильтров для резервного хранилища по­зволяет легко находить исходные копии конкретных объектов, на­пример, для их последующего восстановления.
Появилась возможность масштабировать приложение в соответствии с числом процессоров увеличения производительности приложения (увеличения количест­ва одновременно проверяемых объектов) возможен запуск и одно­временная работа нескольких экземпляров антивирусного ядра.
Возможность управлять размером очереди объектов на проверку по­зволяет более гибко регулировать нагрузку Антивируса в зависимо­сти от объема проверяемого потока данных.
Реализована возможность по проверке объектов в оперативной па- мяти без использования дисковой подсистемы, что существенно по­вышает производительность.
За счет поддержки протоколов AMON и ELA достигнута более глубо­кая интеграция Антивируса Касперского с приложением Check Point™
FireWall-1®, что позволяет, например, передавать информацию о ра-
.
уровня антивирусной защиты, что
компьютера, на котором оно установлено. Для
12 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
боте Антивируса и просматривать ее при помощи стандартных средств Check Point™ FireWall-1®.
Значительно улучшена система ведения журналов. Она позволяет регистрировать зафиксированные события в журнале приложений операционной системы Microsoft Windows и собственных журналах приложения. Предусмотрена возможность настраивать полноту ин­формации и уровень ее детализации. Просмотр журналов организо­ван при помощи приложения Microsoft Windows Просмотр событий и таких стандартных
нот.
Появилась возможность создания расширенных регулярных отчетов о результатах антивирусной проверки. Отчеты могут формироваться как в автоматическом режиме, так и по запросу администратора. Система ведения отчетов обеспечивает быстрый, удобный и унифи­цированный способ доступа к информации при помощи стандартных средств типа Microsoft Internet Explorer.
Не поддерживается работа с программой из командной строки.
средств работы с текстовыми файлами как Блок-
1.4. Требования к аппаратному и программному обеспечению
Антивирус Касперского функционирует совместно с продуктом Check Point FireWall-1
Для установки и работы компонентов приложения необходимо, чтобы аппаратное и программное обеспечение компьютера удовлетворяло следующим минимальным требованиям:
Сервер безопасности:
®
версий NG, NG AI и NGX.
Аппаратные требования:
процессор Intel Pentium II с частотой 300 МГц или выше;
около 512 МБ доступной (свободной) оперативной памяти;
около 20 МБ свободного дискового пространства для уста-
новки приложения (без учета объема резервного хранили­ща и других служебных каталогов);
не менее 1 ГБ свободного дискового пространства для вре­менного хранения копируемых из интернета данных перед антивирусной проверкой и резервного хранилища файлов.
Программные требования:
Введение 13
Microsoft Windows 2000 Professional с установленным Ser- vice Pack 4 и выше;
Microsoft Windows XP Professional Edition с установленным Service Pack 2 и выше;
Microsoft Windows 2000 Server с установленным Service Pack 4 и выше;
Microsoft Windows 2000 Advanced Server с установленным Service Pack 4 и выше;
Microsoft Windows Server 2003 Standard Edition и выше;
Microsoft Windows Server 2003 Enterprise Edition и выше.
Консоль управления:
Аппаратные требования:
процессор Intel Pentium II с частотой 300 МГц или выше;
объем оперативной памяти 256 МБ;
объем свободной (доступной) памяти на
Программные требования:
Microsoft Windows 2000 Professional с установленным Ser-
vice Pack 4 и выше;
Microsoft Windows XP Professional Edition с установленным Service Pack 2 и выше;
Microsoft Windows 2000 Server с установленным Service Pack 4 и выше;
Microsoft Windows 2000 Advanced Server с установленным Service Pack 4 и выше;
Microsoft Windows Server 2003 Standard Edition и выше;
Microsoft Windows Server 2003 Enterprise Edition и выше.
диске 10 МБ.
1.5. Комплект поставки
Программный продукт вы можете приобрести у наших дистрибьюторов (коробочный вариант), а также в одном из интернет-магазинов (например,
www.kaspersky.ru
, раздел Электронный магазин).
14 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Если вы приобретаете продукт в коробке, то в комплект поставки программного продукта входят:
запечатанный конверт с установочным компакт-диском, на котором записаны файлы программного продукта;
руководство пользователя;
лицензионный ключ, включенный в состав дистрибутива или запи-
санный на специальную дискету;
регистрационная карточка (с указанием серийного номера продукта);
лицензионное соглашение.
Перед тем как распечатать конверт с компакт-диском, внимательно ознакомьтесь с лицензионным соглашением.
При покупке продукта в интернет-магазине вы копируете продукт с веб­сайта, в дистрибутив которого помимо самого продукта включено также данное руководство. Лицензионный ключ либо включен в дистрибутив, либо отправляется вам по электронной почте по факту оплаты.
1.5.1. Лицензионное соглашение
Лицензионное соглашение – это юридическое соглашение между вами и ЗАО "Лаборатория Касперского", в котором указано, на каких условиях вы можете пользоваться приобретенным вами программным продуктом.
Внимательно прочитайте лицензионное соглашение!
Если вы не согласны с условиями лицензионного соглашения, вы можете вернуть коробку с Антивирусом Касперского дистрибьютору, у которого она была приобретена, и получить назад сумму, уплаченную за подписку. При этом конверт с установочным компакт-диском должен оставаться запечатанным.
Открывая запечатанный пакет с установочным компакт-диском или устанавливая продукт на компьютер, вы тем самым принимаете все условия лицензионного соглашения.
1.5.2. Регистрационная карточка
Пожалуйста, заполните отрывной корешок регистрационной карточки, по возможности наиболее полно указав свои координаты: фамилию, имя, отчество (полностью), телефон, адрес электронной почты (если она есть), и
Введение 15
отправьте ее дистрибьютору, у которого вы приобрели программный продукт.
Если впоследствии у вас изменится почтовый/электронный адрес или телефон, пожалуйста, сообщите об этом в организацию, куда был отправлен корешок регистрационной карточки.
Регистрационная карточка является документом, на основании которого вы приобретаете статус зарегистрированного пользователя нашей компании. Это дает вам право на техническую поддержку в течение срока подписки. Кроме того, зарегистрированным пользователям, подписавшимся на рассылку новостей ЗАО "Лаборатория Касперского", высылается информация о выходе новых программных продуктов.
1.6. Сервис для зарегистрированных пользователей
ЗАО "Лаборатория Касперского" предлагает своим легальным пользователям большой комплекс услуг, позволяющих увеличить эффективность использования Антивируса Касперского.
Приобретя подписку, вы становитесь зарегистрированным пользователем программы и в течение срока действия подписки можете получать следую­щие услуги:
предоставление новых версий данного программного продукта;
консультации по вопросам, связанным с установкой, настройкой и
эксплуатацией лефону и электронной почте;
оповещение о выходе новых программных продуктов Лаборатории Касперского и о новых вирусах, появляющихся в мире (данная услуга предоставляется пользователям, подписавшимся на рассылку ново­стей ЗАО "Лаборатория Касперского").
Консультации по вопросам функционирования и использования операционных систем, а также работы различных технологий не проводятся.
данного программного продукта, оказываемые по те-
16 Антивирус Касперского 5.5 для Check Point™ FireWall-1®

1.7. Принятые обозначения

Текст документации выделяется различными элементами оформления в зависимости от его смыслового назначения. В расположенной ниже таблице приведены используемые условные обозначения.
Оформление Смысловое назначение
Жирный шрифт
Примечание.
Внимание!
Чтобы выполнить действие,
Шаг 1.
Задача, пример
Решение
[ключ] – назначение ключа.
Текст информационных сооб­щений и командной строки
Названия меню, пунктов меню, окон, элементов диалоговых окон и т. п.
Дополнительная информация, приме­чания.
Информация, на которую следует обратить особое внимание.
Описание последовательности вы­полняемых пользователем шагов и возможных действий.
Постановка задачи, примера для реа­лизации возможностей программного продукта
Реализация поставленной задачи
Ключи командной строки.
Текст конфигурационных файлов, информационных сообщений про­граммы и командной строки.
ГЛАВА 2. СХЕМА РАБОТЫ
ПРИЛОЖЕНИЯ
Антивирус Касперского 5.5 для Check Point™ FireWall-1® выполняет функции фильтра: обрабатывает данные, передаваемые по протоколам HTTP, FTP и SMTP, выделяет из них контролируемые объекты, анализирует их на присутствие вредоносного кода и блокирует проникновение в локальную сеть зараженных файлов и веб-документов.
2.1. Схема развертывания приложения
В состав Антивируса Касперского 5.5 для Check Point™ FireWall-1® входят два компонента. Антивирусную функциональность приложения обеспечивает серверный компонент Сервер безопасности. Пользовательский интерфейс программы предоставляет компонент Консоль управления.
Схема развертывания Антивируса Касперского одинакова как для локальной, так и для распределенной конфигурации Check Point
®
.
1
Сервер безопасности представляет собой CVP-сервер. Он интегрируется в приложение Check Point
OPSEC
данных.
Сервер безопасности может быть установлен как на одном компьютере с
Check Point соединение по протоколу TCP/IP с компьютером, где установлен Check Point™ FireWall-1®.
Выбор варианта установки Сервера безопасности зависит от того, какая операционная система установлена на компьютере с Check Point
1
либо от объема передаваемого Check Point
Следует отметить, что при обработке большого потока данных Антивирус Касперского может вызвать некоторое замедление в работе компьютера, это может сказаться на пропускной способности Check Point Поэтому в сетях с большим объемом трафика, рекомендуется устанавливать Сервер безопасности на отдельный компьютер.
и по умолчанию поддерживает защищенный протокол передачи
FireWall-1®, так и на любом из компьютеров, имеющих сетевое
®
, и удовлетворяет ли он требованиям к установке серверного компонента
FireWall-1® в соответствии со стандартами
FireWall-1® трафика.
FireWall-
FireWall-
FireWall-1®.
18 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
2.2. Схема развертывания антивирусной защиты
Для создания системы антивирусной защиты при помощи Анти­вируса Касперского 5.5 для Check Point™ FireWall-1® следует:
1. Установить компонент Сервер безопасности на компьютер, имеющий сетевое соединение по протоколу TCP/IP с компьютером, где установлен Check Point п. 3.1 на стр. 20). Установка производится с дистрибутива.
Если в сети установлено несколько серверов Check Point
FireWall-1
®
, для каждого из них должен быть установлен свой
серверный компонент Сервер безопасности.
Возможна установка нескольких Серверов безопасности, про­веряющих данные, поступающие от одного Check Point
FireWall-1
®
. В этом случае распределение данных между анти-
вирусными серверами осуществляет межсетевой экран. Для каждого Сервера безопасности результаты антивирусной про­верки, а следовательно:
содержание резервного хранилища;
информация, представленная в отчетах;
набор событий, зарегистрированных в журналах приложе-
ния и журнале Windows;
будут приводиться только по тем объектам, которые были пе­реданы Check Point™ FireWall-1® на этот Сервер безопасности.
Вместе с Сервером безопасности на компьютер будет уста­новлена Консоль управления. Через Консоль управления вы можете управлять работой не только совместно установленного Сервера безопасности, но и тех Серверов, с компьютерами ко­торых имеется сетевое соединение по протоколу TCP/IP.
FireWall-1® (см.
Количество установленных в сети экземпляров Антивируса Касперского определяется числом установленных Серве­ров безопасности.
2. Провести интеграцию Антивируса Касперского и Check Point FireWall-1
®
(см. Глава 4 на стр. 26), для каждого из
установленных Серверов безопасности.
Схема работы приложения 19
3. Для централизованного управления работой всех установленных в сети Серверов безопасности с единого выделенного рабочего места администратора установить Консоль управления на компьютер, имеющий сетевое соединение по протоколу TCP/IP со всеми компьютерами, где установлены компоненты Сервер безопасности.
4. Сформировать список управляемых серверов (см. п. 5.3 на стр. 38).
5. Подключить Консоль управления к серверам (см. п. 5.4 стр. 40).
6. Для каждого из серверов настроить параметры подключения к Check Point
7. Для каждого из серверов настроить систему антивирусной защиты:
Откорректировать параметры обновления антивирусных
баз (см. Глава 6 на стр. 52).
Проверить правильность настройки параметров и коррект-
ность работы Антивируса с помощью тестового "вируса" EI- CAR (см. п. 5.8 на стр. 49).
Настроить параметры журналов событий и отчетов
(см
Настроить параметры уведомления о результатах антиви-
русной проверки объектов, обновлении антивирусных баз, создании отчетов, приближении окончания срока действия лицензии, изменении состояния приложения (см. Глава 12 на стр. 110).
FireWall-1® (см. п. 5.5 на стр. 41).
. Глава 10 на стр. 98 и Глава 9 на стр. 89).
на
2.3. Поддержка системы антивирусной защиты
Поддержка созданной системы антивирусной защиты серверов в актуальном состоянии заключается в следующем:
в регулярном обновлении антивирусных баз;
в регулярной проверке журналов работы приложения и отчетов о ре-
зультатах антивирусной проверки.
ГЛАВА 3. УСТАНОВКА И
УДАЛЕНИЕ ПРИЛОЖЕНИЯ
Перед тем как начинать установку Антивируса Касперского убедитесь в том, что аппаратное и программное обеспечение компьютеров соответствует предъявляемым к ним требованиям. Минимально допустимая конфигурация указана в разделе 1.4 на стр. 12.
Для установки Антивируса Касперского 5.5 для Check Point™ FireWall-1® необходимо наличие прав локального администратора на компьютере, где осуществляется установка.
Обновление предыдущих версий Антивируса Касперского для Check Point™ FireWall® до версии 5.5 не производится.
3.1. Установка приложения
Программа установки предложит установить на компьютер, где она запущена, компоненты приложения Антивирус Касперского 5.5 для Check
FireWall-1® – Сервер безопасности и Консоль управления. Вы можете
Point
выбрать как полную, так и выборочную установку приложения, а также восстановить некорректную установку Антивируса Касперского.
В результате установки Консоли управления на компьютере в меню
Пуск / Программы появится программная группа Антивирус Касперского для Check Point
Сервер безопасности будет установлен на компьютере в качестве службы со следующим набором атрибутов:
имяАнтивирус Касперского 5.5 для Check Point
тип запускаавтоматический;
учетная записьЛокальная система.
Просмотр свойств Сервера безопасности и наблюдение за его работой осуществляется при помощи стандартных средств администрирования Microsoft Windows – Управление компьютером / Службы. Информация о работе Сервера безопасности фиксируется и сохраняется в журнале приложений Windows на компьютере, где установлен Сервер безопасности и в собственных журналах приложения Антивирус
FireWall-1®; и значок для ее запуска.
Касперского.
FireWall-1®;
Установка и удаление приложения 21
3.1.1. Первая установка
Чтобы установить Антивирус Касперского, запустите исполняемый файл с дистрибутивного CD-диска приложения. Установка сопровождается мастером. Он предложит провести настройку параметров установки и запустить ее. Рассмотрим подробно каждый шаг процедуры установки приложения.
Установка приложения с дистрибутива, полученного через интер­нет, полностью совпадает с установкой приложения с дистрибу­тивного CD-диска.
Шаг 1. Проверка версии установленной операционной
системы
Перед установкой приложения выполняется проверка соответствия аппаратных и программных характеристик компьютера минимально­необходимым требованиям. В случае их несоблюдения установка выполнена не будет.
При несоответствии программных характеристик обновите версию операционной системы и установите требуемые Пакеты обновлений (Service Packs), после этого повторите установку Антивируса Касперского.
Шаг 2. Приветствие и Лицензионное соглашение
Первые шаги установки традиционны и состоят в распаковке с дистрибутива необходимых файлов и записи их на жесткий диск компьютера. После этого открываются окно приветствия и окно, содержащее лицензионное соглашение. Внимательно прочтите текст лицензионного соглашения и примите его условия для продолжения установки.
Шаг 3. Выбор типа установки
На этом этапе определите тип установки: полная или выборочная.
Для установки на компьютер и Сервера безопасности, и Консоли управления выберите вариант Полная. Установка производится в каталог, предусмотренный по умолчанию (Program files\Kaspersky Lab\Kaspersky
Anti-Virus for Check Point FireWall).
Если вы хотите установить только один из компонентов приложения либо изменить каталог установки компонентов, предусмотренный по умолчанию, воспользуйтесь выборочным типом этапе вам будет предложено выбрать нужный компонент и указать путь к каталогу установки.
установки. В этом случае на следующем
22 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Шаг 4. Выбор компонентов приложения для установки и
каталога установки
Если вы используете выборочный тип установки, укажите, какие компоненты приложения должны быть установлены на компьютер. Вы также можете изменить предусмотренный по умолчанию каталог для их установки.
Вы можете выбрать для установки либо оба компонента, либо только Консоль управления. Установка Сервера безопасности без Консоли не производится.
По умолчанию, будет предложено установить оба
безопасности и Консоль управления в каталог Program files\Kaspersky Lab\Kaspersky Anti-Virus for Check Point FireWall. Если такого каталога
нет, он будет создан автоматически. Вы можете изменить каталог установки при помощи кнопки Обзор.
Если аппаратные или программные характеристики компьютера не соответствуют минимально-необходимым требованиям для уста­новки Сервера безопасности, вам будет предложено установить только Консоль управления.
Обратите внимание, что в окне мастера приводится справочная информация о выбранном компоненте и необходимом для его установке объеме дискового пространства.
компонента: Сервер
Шаг 5. Выбор каталога данных
При установке Сервера безопасности создаются необходимые для работы приложения служебные каталоги и базы данных. В их число входят:
каталоги временных файлов и резервного хранилища;
каталог размещения антивирусных баз, используемых приложением;
каталог для хранения отчетов;
каталог хранения журналов;
база данных резервного хранилища;
база данных отчетной статистики
.
Каталог данных должен быть исключен из проверки установленны­ми на компьютере антивирусными программами.
Укажите каталог для размещения служебных данных приложения. По умолчанию предлагается создать каталог Program files\Kaspersky Lab\Kaspersky Anti-Virus for Check Point FireWall\DataFolder. Вы можете изменить путь к каталогу при помощи кнопки Обзор.
Установка и удаление приложения 23
После установки приложения вы сможете изменить путь к каталогу данных через Консоль управления Антивирусом Касперского, в окне настройки параметров антивирусной защиты Антивирусная проверка на закладке Общие. Новое значение вступит в силу при перезапуске Сервера безопасности.
Обращаем ваше внимание на то, что используемые приложением базы данных создаются только один раз, при установке Сервера безопасности.
В случае смены каталога данных приложения, для корректного пе­реноса информации в новый каталог должно быть полностью ско­пировано содержимое старого каталога с сохранением целостно­сти структуры подкаталогов и их названий.
При
нарушении целостности структуры каталога данных, Сервер безопасности не будет запущен, т.е. Антивирус Касперского рабо­тать не будет.
Шаг 6. Запуск установки
По окончании настройки параметров запустите установку. Для этого в окне мастера нажмите на кнопку Установить. В результате начнется процесс копирования файлов приложения на компьютер.
Шаг 7. Установка лицензионного ключа
При установке компонента Сервер безопасности вам будет предложено установить лицензионный ключ к приложению Антивирус Касперского 5.5 для Check Point
Вы можете установить лицензионный ключ позже через Консоль управления, однако без лицензионного ключа антивирусная функциональность приложения будет недоступна, возможен запуск только Консоли управления.
Лицензионный ключ является вашим личным "ключом", в котором находится служебная информация, необходимая для полнофункциональной работы приложения, а также дополнительная справочная информация:
информация о поддержке (кто осуществляет чить);
ограничение по количеству рабочих станций;
название и номер лицензии, а также дата ее окончания.
В открывшемся окне установите текущий лицензионный ключ. Для этого в разделе Текущий лицензионный ключ нажмите на кнопку Добавить/Заменить. В стандартном окне выбора файлов укажите файл ключа, который необходимо
FireWall-1®.
и где можно ее полу-
установить (*.key). В результате указанный
24 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
лицензионный ключ будет установлен в качестве текущего лицензионного ключа для Антивируса Касперского.
В качестве лицензионного ключа к Антивирусу Касперского 5.5 для
Check Point ключ к предыдущей версии приложения - Антивирусу Касперского
4.0 для FireWall, если срок действия этого ключа еще не закончил-
ся.
Вы можете также установить резервный лицензионный ключ, который будет активирован автоматически по окончании срока действия текущего лицензионного ключа. Для этого в разделе Резервный лицензионный ключ нажмите на кнопку Добавить укажите файл ключа.
Закройте окно установки лицензионных ключей при помощи кнопки
Закрыть.
FireWall-1® может быть использован лицензионный
и в открывшемся окне выбора файлов
Шаг 8. Завершение установки
По окончании установки в заключительном окне мастера нажмите на кнопку
Готово.
3.1.2. Повторная установка
Повторная установка Антивируса Касперского выполняется, если первая установка приложения прошла некорректно либо при работе приложения целостность исполняемых файлов была нарушена.
Для повторной установки приложения:
запустите исполняемый файл с дистрибутивного компакт-диска и в открывшемся окне выберите вариант Исправить.
В этом случае будет осуществлен повтор предыдущей установки Ан­тивируса Касперского. Так, если предыдущая установка была выбо­рочной, то и повторная установка в режиме Исправить также будет выполняться выборочно.
3.2. Удаление приложения
Удаление Антивируса Касперского для Check Point™ FireWall-1® вы можете провести стандартными средствами установки и удаления программ Microsoft Windows либо с использованием дистрибутива приложения. При этом с компьютера будут удалены все установленные компоненты Антивируса Касперского как Сервер безопасности, так и Консоль управления.
Установка и удаление приложения 25
Для удаления Антивируса Касперского для Check Point
®
1
с использованием дистрибутива:
FireWall-
запустите исполняемый файл с дистрибутивного компакт-диска и в открывшемся окне выберите вариант Удалить.
ГЛАВА 4. ИНТЕГРАЦИЯ
АНТИВИРУСА КАСПЕРСКОГО С CHECK
POINT™ FIREWALL-1®
Процедура интеграции Антивируса Касперского и Check Point™ FireWall-1® является стандартной для приложений OPSEC
1. Регистрация Сервера безопасности в качестве OPSEC
приложения на Check Point
2. Получение сертификата Сервера безопасности.
После завершения интеграции Антивируса Касперского с Check Point
FireWall-1 FireWall-1
®
следует подключить Сервер безопасности к Check Point™
®
(см. п. 5.5 на стр. 41).
Если проходящий через межсетевой экран трафик передается на обработку нескольким Серверам безопасности, каждый из них сле­дует интегрировать с Check Point™ FireWall-1®.
FireWall-1®.
и состоит из двух этапов:
4.1. Регистрация Сервера безопасности на Check Point
FireWall-1
Подробное описание регистрации OPSEC™-приложений приводится в руководствах к Check Point™. Опишем настройку параметров, специфичных для Антивируса Касперского. Процедура проводится с консоли управления
Check Point™ FireWall-1® (Check Point SmartDashboard™).
Для регистрации Сервера безопасности в качестве OPSEC приложения на Check Point
®
FireWall-1®:
-
-
1. Создайте новый сетевой объект (Network Objects/ New Nodes/Host) для компьютера, на котором установлен Сервер
безопасности. В открывшемся окне (см. рис 1) укажите сетевое имя и IP-адрес этого компьютера.
Интеграция Антивируса Касперского с Check Point™ FireWall-1® 27
Рисунок 1. Создание сетевого объекта Сервер безопасности
2. При создании нового объекта - приложения OPSEC™ (OPSEC
Application/New) в окне настройки параметров OPSEC Application Properties на закладке General (см. рис 2)
выполните следующие действия:
в поле Name введите имя OPSEC
му будет проводиться адресация к Серверу безопасности служб Check Point
FireWall-1®;
-приложения, по которо-
в поле Host из раскрывающегося списка выберите создан-
ный ранее для Сервера безопасности сетевой объект;
в разделах Server Entities и Client Entities выберите в ка-
честве поддерживаемых приложением протоколов CVP, AMON и ELA.
28 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Настраивать параметры работы протоколов не требуется. Антивирус Касперского использует настройки, предусмотренные в Check Point
FireWall-1
Если конфигурация взаимодействия Check Point FireWall-1
®
по умолчанию.
®
с OPSEC™-приложениями отличается
от стандартной, укажите нужные значения параметров.
Рисунок 2. Создание OPSEC™ приложения
3. Настройте защищенное подключение Сервера безопасности к Check Point
FireWall-1® (Secure Internal Communications). В
результате будут созданы:
ключ для получения сертификата Сервера безопасности;
сертификат Сервера безопасности;
SIC-имя Сервера безопасности (OPSEC
application’s SIC
name).
Интеграция Антивируса Касперского с Check Point™ FireWall-1® 29
SIC-имя Сервера безопасности отображается в окне OP­SEC Application Properties в поле DN раздела Secure Internal Communication.
4. Опишите протоколы, которые будут передаваться на антивирусную проверку.
Антивирус Касперского обеспечивает проверку данных, прохо­дящих через межсетевой экран по HTTP-, FTP- и SMTP­протоколам. Создайте:
URI-ресурс для передачи на проверку HTTP-протокола;
FTP-ресурс для передачи на проверку FTP-протокола;
SMTP-ресурс для передачи на проверку SMTP-протокола.
При описании ресурсов для того, чтобы Check Point™ переда­вал Антивирусу данные на проверку, установите следующие значения параметров:
для URI-, FTP- и SMTP-ресурсов на закладке CVP
(см. рис. 3) установите флажок Use CVP (Content Vectoring Protocol) и в поле CVP server выберите имя OPSEC
приложения, соответствующее Серверу безопасности;
-
Рисунок 3. Создание URI-ресурса.
Закладка CVP
для FTP-ресурса на закладке Match в разделе Methods
(см. рис. 4) установите флажки GET и PUT;
30 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Рисунок 4. Создание FTP-ресурса.
Закладка Match
для URI-ресурса на закладке General в разделе Use this
resource to (см. рис. 5) выберите вариант Enforce URI ca- pabilities;
Рисунок 5. Создание URI-ресурса.
Закладка General
Интеграция Антивируса Касперского с Check Point™ FireWall-1® 31
Для увеличения производительности антивирусной проверки на закладке CVP (см. рис. 3) укажите следующие значения па­раметров:
Установите флажок CVP server is allowed to modify con-
tent для URI-, SMTP- и FTP-ресурсов.
Параметр определяет возможность лечения и замены об­наруженных в результате антивирусной проверки объектов (см. п. 7.1 на стр. 61).
Если флажок не установлен, лечение, а для HTTP- и SMTP-трафиков и замена вредоносных объектов, выпол­няться не будет. Такие объекты будут признаны заражен­ными и заблокированы средствами Check Point
®
1
.
FireWall-
Установите флажки Send HTTP Headers to CVP server для
URI-ресурса и Send SMTP Headers to CVP server для SMTP-ресурса.
В разделе Reply Order выберите вариант Return data be-
fore content is approved для URI-, SMTP- и FTP-ресурсов.
Параметр определяет возможность досрочной передачи непроверенных данных пользователю (см. п. 7.4 на стр. 66).
Если для URI- и FTP-ресурсов этот вариант не выбран, при проверке объектов, проходящих по HTTP- и FTP­протоколам, досрочная передача данных выполняться не будет.
При создании SMTP-ресурса обратите внимание на сле­дующие ограничения:
размер перенаправляемых Check Point
FireWall-1®
на антивирусную проверку сообщений, на закладке
Action2 в поле Do not send mail larger than (см. рис. 6);
размер проходящих через Check Point™ FireWall-1®
сообщений (Network Objects/ Check
Point/ Advanced/ SMTP) в поле Don’t accept mail lar­ger than (см. рис. 7).
Установленные значения должны соответствовать харак­теристикам вашего трафика. Сообщения, превышающие ограничения, не обрабатываются Check Point
FireWall-1®
и, как следствие, не поступают на антивирусную проверку и не доставляются пользователю.
32 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Рисунок 6. Настройка параметров SMTP-ресурса.
Закладка Action2
Рисунок 7. Настройка параметров Check Point™ FireWall-1®.
Ограничение объема сообщений
Интеграция Антивируса Касперского с Check Point™ FireWall-1® 33
4.2. Получение сертификата Сервера безопасности
Получение сертификата является стандартной процедурой для интегрируемых с Check Point
FireWall-1® приложений. Она выполняется
при помощи утилиты получения сертификатов opsec_pull_cert.exe, входящей в состав дистрибутива Антивируса Касперского. После установки Сервера безопасности данная утилита размещается в каталоге установки компонента в подкаталоге OpsecTools.
В качестве параметров используются значения, заданные при регистрации Сервера безопасности на Check Point
Для получения сертификата Сервера безопасности:
FireWall-1® (см. п. 4.1 на стр. 26).
на компьютере, где установлен Сервер безопасности, запустите из командной строки входящий в состав дистрибутива Антивируса Кас­перского исполняемый файл opsec_pull_cert.exe со следующим на­бором параметров:
opsec_pull_cert.exe –h <IP-адрес> -n <имя OPSEC­приложения> -p <ключ> -o <путь к файлу сертификата>
где:
<IP-адрес> - IP-адрес компьютера, на котором установлен
Point
FireWall-1®;
<имя OPSEC-приложения> - имя OPSEC для Сервера безопасности при регистрации на Check Point
®
1
;
-приложения, заданное
<ключ> - ключ для получения сертификата Сервера безопасности, заданный при настройке защищенного подключения к Check Point
FireWall-1
<путь к файлу сертификата> - полный путь к файлу, в котором будет сохранен полученный с Check Point
®
;
FireWall-1® сертификат
Check
FireWall-
Сервера безопасности. Файл должен быть сохранен в локальном ка­талоге компьютера, на котором установлен Сервер безопасности. По умолчанию в настройках Антивируса предполагается, что файл сер­тификата хранится в каталоге данных приложения в служебном ката­логе OpsecDir под именем opsec.p12. Мы рекомендуем использо­вать данное значение для этого параметра.
34 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Если параметр -o <путь к файлу сертификата> не ис- пользуется, файл сертификата будет сохранен под име­нем opsec.p12 в том каталоге, откуда была запущена ути­лита opsec_pull_cert.exe.
Мы рекомендуем перенести файл сертификата в каталог данных приложения в служебный каталог OpsecDir, что позволит избежать дополнительной настройки при подключении Сервера безопасности к Check Point
FireWall-1
®
(см. п. 5.5 на стр. 41).
После успешного завершения выполнения утилиты на экран выводится полный путь (включая имя файла) к файлу сертификата и SIC-имя Сервера безопасности.
ГЛАВА 5. НАЧАЛО РАБОТЫ
5.1. Запуск программы
Запуск серверной части приложения, Сервера безопасности, осуществляется автоматически при старте операционной системы компьютера, на котором она установлена. Если настроены параметры взаимодействия Сервера безопасности и Check Point™ FireWall-1® (см. п. 5.5 на стр. 41) и включена антивирусная защита (см. п. 7.1 на стр. 61), она начинает работать сразу после запуска серверного компонента.
Управление работой Антивируса Касперского осуществляется с рабочего места администратора – компьютера, на котором установлен компонент Консоль управления.
Для запуска Консоли управления:
выберите пункт Консоль управления в программной группе Анти- вирус Касперского 5.5 для Check Point
меню Пуск \ Программы. Данная программная группа создается только на рабочих местах администраторов при установке компонен­та Консоль управления.
FireWall-1® стандартного
5.2. Интерфейс программы
Интерфейс управления Антивирусом Касперского обеспечивает компонент Консоль управления. Он представляет собой специализированную изолированную оснастку, интегрированную в MMC, в связи с этим интерфейс программы является стандартным для MMC.
5.2.1. Главное окно программы
Главное окно программы (см. рис. 8) содержит меню, панель инструментов, панель обзора и панель результатов. Меню обеспечивает функции управления окнами, а также доступ к справочной системе. Набор кнопок панели инструментов обеспечивает прямой доступ к некоторым наиболее используемым пунктам главного меню. Панель обзора отображает в виде дерева консоли пространство имен Антивирус Касперского 5.5 для
Check
36 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Point™ FireWall-1®, панель результата – список элементов выбранного в дереве объекта.
Рисунок 8. Главное окно программы
Пространство имен Антивирус Касперского 5.5 для Check Point™
FireWall-1
®
содержит в виде узлов перечень управляемых серверов -
компьютеров, на которых управление Антивирусом Касперского осуществляется через данную консоль.
Сразу после установки Консоли управления пространство имен не содержит никаких элементов.
После добавления в дерево консоли управляемый сервер отображается в виде узла с именем <Имя компьютера>. Настройка параметров и управление работой Антивируса
Касперского осуществляется при помощи
распложенных в панели результата гиперссылок:
Общие параметры
просмотр общих параметров работы Антивируса
Касперского, информации о лицензии и установленных лицензион­ных ключах, продление срока действия лицензии, а также настройка параметров диагностики работы приложения и параметров уведом­ления.
Параметры OPSEC
ствия с приложением Check Point
просмотр и настройка параметров взаимодей-
FireWall-1®.
Антивирусная проверка – управление антивирусной защитой; на- стройка параметров получения обновлений антивирусных баз, об-
Начало работы 37
новление вручную, составление расписания автоматического обнов­ления; настройка производительности Антивируса Касперского.
Параметры проверки HTTP
настройка параметров проверки HTTP-
трафика.
Параметры проверки FTP
настройка параметров проверки FTP-
трафика.
Параметры проверки SMTP
настройка параметров проверки SMTP-
трафика.
Если соединение консоли с управляемым сервером установлено, в состав узла <Имя компьютера> входят вложенные папки, каждая из которых предназначена для управления конкретной функциональностью приложения:
Резервное хранилище: для работы с хранилищем резервных копий объектов; содержит список размещенных в данном хранилище объектов.
Шаблоны отчетов: для
работы с отчетами; содержит список шабло-
нов отчетов об антивирусной проверке, на основании которых фор­мируются отчеты.
5.2.2. Контекстное меню
В дереве консоли каждая категория объектов имеет свое контекстное меню. В нем к стандартным командам контекстного меню MMC добавлены команды, при помощи которых осуществляется работа с данным объектом. Перечень объектов и соответствующий им дополнительный набор возможных команд контекстного меню приводится в таблице.
Объект Команда Назначение команды
Антивирус Касперского
5.5 для Check Point FireWall-1
®
Добавить сервер
Добавить в дерево консоли компьютер, на котором управление Антивирусом Касперского будет осуществляться через консоль.
Разорвать соединение Консоли
<Имя компьютера>
Отключиться от сервера
управления с установленным на данном компьютере Сервером безопасности.
38 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Объект Команда Назначение команды
Подключиться к серверу
Удалить сервер из дерева консоли
Резервное хранилище
Шаблоны отчетов
Дополнительные команды контекстного меню предусмотрены также для шаблонов отчета и объектов хранилища резервных копий:
при помощи команды Сформировать отчет по выбранному шаблону создается отчет и сохраняется в виде файла;
при помощи команды Просмотреть отчет выводится на экран по- следний сформированный по выбранному шаблону отчет;
команда Получить файл позволяет екта, сохраненную перед его обработкой Антивирусом.
Новый фильтр
Новый шаблон отчетa
Установить соединение Консоли управления с установленным на данном компьютере Сервером безопасности.
Удалить компьютер из числа серверов, на которых управление работой Антивируса Касперского осуществляется через консоль.
Создание и настройка параметров нового фильтра для поиска объектов, размещенных в хранилище резервных копий.
Создание нового шаблона отчета.
получать исходную копию объ-
5.3. Создание списка управляемых серверов
Для того чтобы управлять Антивирусом Касперского через консоль, необходимо добавить компьютер, на котором установлен компонент Сервер безопасности, в список управляемых серверов. Вы можете добавить как локальный компьютер, так и любой другой из числа установленных в сети. При добавлении может также сразу устанавливаться соединение Консоли управления с Сервером безопасности.
Начало работы 39
Чтобы добавить новый сервер в список управляемых серверов,
1. Выберите в дереве консоли узел Антивирус Касперского 5.5
для Check Point
FireWall-1®, откройте контекстное меню и
выберите команду Добавить сервер или воспользуйтесь аналогичным пунктом в меню Действие. В результате откроется окно Добавление сервера (см. рис. 9).
2. Укажите компьютер, на котором установлен компонент Сервер безопасности. Если серверный компонент установлен на том же компьютере, что и Консоль управления, выберите Локальный
компьютер. Для добавления компьютера из
числа
установленных в сети выберите Удаленный компьютер и укажите его имя в поле ввода. Вы можете ввести имя вручную: указать IP-адрес, полное доменное имя (FQDN в формате <Имя
компьютера>.<DNS-имя домена>) или имя компьютера в сети Microsoft Windows (NetBIOS-имя) либо выбрать компьютер из
списка при помощи кнопки Обзор.
В дальнейшем при подключении Консоли управления к Серверу безопасности программа будет устанавливать соединение с компьютером по заданному имени. Соединение производится с использованием DCOM­протокола.
Для того чтобы при добавлении было сразу же установлено со­единение Консоли управления с Сервером безопасности, уста­новите флажок Подключится сейчас (подробнее см. п. 5.4 на стр. 40).
Для успешного подключения на выбранном компьютере обязательно должен быть установлен компонент Сервер безопасности.
Рисунок 9. Диалоговое окно Добавление сервера
40 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
В результате выбранный вами компьютер появляется в дереве консоли в виде узла <Имя компьютера>. Локальный компьютер отображается под именем localhost.
Если соединение с Сервером безопасности успешно установлено, управляемый сервер будет сопровождаться значком
будут входить вложенные папки Резервное хранилище и Шаблоны отчетов. Если соединение не устанавливалось или не удалось установить,
сервер будет отмечен значком (см. п. 5.4 на стр. 40).
Чтобы удалить сервер из списка управляемых серверов,
в дереве консоли выберите узел, соответствующий удаляемому сер­веру, раскройте контекстное меню и выберите команду Удалить сервер из дерева консоли или воспользуйтесь аналогичным пунк­том в меню Действие.
В результате выбранный вами узел удаляется из дерева консоли.
. Подключиться к нему вы можете вручную
и в состав узла
5.4. Подключение Консоли управления к серверу
Для настройки и управления работой Антивируса Касперского 5.5 для Check
FireWall-1® через консоль следует подключиться к установленному на
Point
управляемом сервере компоненту Сервер безопасности. Программа получает информацию с сервера и отображает ее в дереве консоли.
Для подключения к Серверу безопасности:
выберите в дереве консоли узел, соответствующий нужному серверу, раскройте контекстное меню и выберите команду Подключиться к серверу или воспользуйтесь аналогичным пунктом в меню Действие.
Если соединение с сервером успешно установлено, в главном окне программы загружается отображение его параметров: узел сопрово-
ждается значком ное хранилище и Шаблоны отчетов.
Если подключиться к серверу не удалось, выводится предупреж­дающее сообщение с указанием причины и предложением подклю­читься при следующем запуске Консоли управления. Выберите нуж­ный вариант.
и в его состав входят вложенные папки Резерв-
Начало работы 41
Для подключения к Серверу безопасности необходимо, чтобы пользователь обладал правами локального администратора на компьютере, к которому производится подключение. Проверка прав осуществляется на основании Windows­аутентификации пользователя в сети.
5.5. Подключение Сервера безопасности к Check Point
®
FireWall-1
Для того чтобы Антивирус Касперского обеспечивал проверку данных, перемещаемых через Check Point параметры взаимодействия приложений.
Без настройки параметров взаимодействия Антивируса Касперско­го с Check Point полняться не будет!
Взаимодействие Check Point приложений поддерживает подсистема Secure Internal Communications (SIC). При этом подключение приложений к Check Point™ FireWall-1® производится с использованием защищенного протокола. Аутентификация приложений осуществляется на основании сертификата и SIC-имени приложения (OPSEC формируются при интеграции Антивируса Касперского с Check Point
FireWall-1
Взаимодействие приложений осуществляется по трем протоколам. По протоколам CVP и AMON Сервер безопасности ожидает подключения от
Check Point Check Point
®
(см. п. 4.1 на стр. 26).
Подключение приложений с использованием защищенного прото­кола рекомендовано компанией Check Point. По умолчанию Антивирус Касперского использует защищенный протокол подключения и значения параметров, предусмотренные в
Check Point™ FireWall-1® по умолчанию.
FireWall-1®, по ELA-протоколу сам инициирует подключение
FireWall-1®.
Поддержку CVP- и AMON-протоколов осуществляет Сервер безо­пасности, ELA-протокол реализует Check Point
FireWall-1® антивирусная проверка трафика вы-
FireWall-1®, следует настроить
FireWall-1® и интегрируемых в него
application’s SIC name). Эти параметры
FireWall-1®.
Настройка параметров взаимодействия производится с рабочего места администратора через Консоль управления Антивирусом Касперского.
42 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Процедура настройки не зависит от того, установлен Сервер безопасности на выделенном компьютере или на одном компьютере с Check Point
FireWall-1
®
. Шаги настройки полностью совпадают.
Для настройки параметров взаимодействия Сервера безопасно­сти и Check Point
FireWall-1®
1. Выберите в дереве консоли узел, соответствующий нужному
серверу, и воспользуйтесь гиперссылкой Параметры OPSEC™ в панели результата.
2. В открывшемся окне Параметры OPSECна закладке Соединение (см. рис. 10) установите значения параметров
подключения по протоколам CVP, AMON и ELA.
По умолчанию используется защищенное подключение Сервера безопасности к Check Point настройки следует указать значения параметров подклю-
FireWall-1®. Для его
чения для протоколов CVP и AMON, а также путь к файлу сертификата. Для того чтобы Сервер безопасности передавал на Check
Point
FireWall-1® информацию о своей работе, например,
зарегистрированные в работе Антивируса события, следу­ет настроить параметры передачи данных по протоколу
ELA.
Используемый по умолчанию тип защищенного подключе­ния для каждого из протоколов соответствует параметрам по умолчанию, используемым Check Point
FireWall-1®
начиная с версии NG. Рекомендуется изменять эти на­стройки только при необходимости.
Для протоколов CVP и AMON укажите:
Номер порта на Сервере безопасности, по которому будет
приниматься запрос на подключение от Check Point
FireWall-1
®
. По умолчанию это 18181 для CVP- и 18193 порт
для AMON-протокола.
Тип используемой при подключении аутентификации. Вы-
берите из раскрывающегося списка необходимое значение:
none - незащищенное ("clear") подключение;
sslca – для аутентификации используется протокол, ос-
нованный на криптографических сертификатах, данные шифруются;
sslca_clear – для аутентификации используется прото­кол, основанный на криптографических сертификатах, данные не шифруются;
Начало работы 43
auth_opsec – для аутентификации используется внут­ренний протокол Check Point, данные не шифруются;
ssl_opsec – для аутентификации используется прото­кол на базе SSL, данные шифруются;
ssl_clear_opsec – для аутентификации используется протокол на базе SSL, данные не шифруются.
Если нужного значения в списке нет, введите его вручную.
Если для аутентификации используются протоколы, тре­бующие наличия ключей для шифрования, файлы ключей должны размещаться в каталоге данных приложения в служебном каталоге OPSEC.
SIC-имя Сервера безопасности, заданное при регистра-
ции Сервера безопасности на Check Point
FireWall-1® (см.
п. 4.1 на стр. 26).
Вы можете посмотреть SIC-имя Сервера безопасности через консоль управления Check Point отображается в окне OPSEC Application Properties в поле
FireWall-1®. Оно
DN раздела Secure Internal Communication. Если используется незащищенное подключение, SIC-имя Сервера безопасности указывать не требуется.
Для протокола ELA укажите:
Номер порта, по которому приложение Check Point
FireWall-1
®
будет принимать информацию от Антивируса
Касперского (по умолчанию 181187 порт).
Тип используемой при подключении аутентификации (см.
выше).
Сервер ELA: NetBIOS-имя, полное доменное имя (FQDN)
или IP-адрес компьютера, на котором установлен Check
FireWall-1®.
Point
SIC-имя сервера ELA: внутреннее SIC-имя Check Point
FireWall-1®, к которому осуществляется подключение Сер-
вера безопасности.
Вы можете посмотреть внутреннее SIC-имя Check Point™
FireWall-1 FireWall-1
®
через консоль управления Check Point™
®
. Оно отображается в окне настройки парамет-
ров Check Point™ FireWall-1® (Network Objects/ Check Point/ GeneralProperties) в поле DN раздела Secure In­ternal Communication.
44 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
В поле Путь к файлу сертификата SSLCA укажите полный путь к полученному с Check Point
FireWall-1® файлу сертифи-
ката Сервера безопасности (см. п. 4.2 на стр. 33). По умолчанию файл сертификата сохраняется на сервере в каталоге данных приложения в служебном каталоге OpsecDir под именем opsec.p12. Поэтому, если задан относительный путь к файлу, программа будет искать его по адресу: <Каталог дан-
ных>\OpsecDir.
Рисунок 10. Настройка параметров OPSEC™.
Закладка Соединение
Чтобы указать параметры, необходимые для настройки соеди­нения Антивируса Касперского и Check Point
FireWall-1®, но не
представленные на закладке Соединение, нажмите на кнопку Дополнительно.
В результате открывается окно Настройка дополнительных параметров OPSEC
(см. рис. 11). Введите описание нужных
параметров и нажмите на кнопку ОК.
Примером таких параметров для CVP и AMON-протоколов яв­ляется IP-адрес, по которому Сервер безопасности ожидает подключение Check Point
FireWall-1®. Если параметр не задан,
Сервер безопасности будет ожидать подключения по всем имеющимся на нем IP-адресам.
Пример:
Начало работы 45
cvp_server ip 10.10.10.2
amon_server ip 10.10.10.2
Подробнее о типах защищённых соединений и значениях по умолчанию для различных версий Check Point
FireWall-1
®
можно узнать на официальном сайте этой ком-
пании по адресу:
http://www.opsec.com/developer/gw_comm_mode.html
Рисунок 11. Настройка дополнительных параметров OPSEC
3. Выберите закладку Параметры (см. рис. 12). На ней
представлены параметры, регулирующие обмен данными между Сервером безопасности и Check Point
FireWall-1®.
Установите нужные значения.
Укажите время ожидания Сервером безопасности данных с
Check Point
FireWall-1® в поле Тайм-аут соединения раз-
дела Общие в секундах. По истечении этого временного ин­тервала, если не поступило никакой информации, соедине­ние Сервера безопасности с Check Point
®
1
разрывается. Оно будет установлено при первой же пе-
редаче Check Point
FireWall-1® данных на антивирусную
FireWall-
обработку. По умолчанию интервал составляет 120 секунд.
Установите частоту передачи Сервером безопасности под-
тверждающего сигнала для поддержки соединения с Check
Point
FireWall-1® в поле Подтверждение соединения ка-
ждые раздела Общие в секундах. По умолчанию предлага- ется 5 секунд.
Для того чтобы зарегистрированные в работе Антивируса
Касперского события выводились в журналы событий Check
FireWall-1® и о них проводилось уведомление сред-
Point
46 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
ствами Check Point™ FireWall-1®, установите флажок Со- общать о событиях по протоколу ELA. После этого:
o Выберите из раскрывающегося списка Типы уведом-
лений значение, определяющее, каким образом будет
проводиться уведомление. Чтобы оповещение не про­изводилось, выберите значение не уведомлять.
o Установите периодичность, с которой Сервер безопас-
ности будет пытаться возобновить соединение с Check
Point™ FireWall-1® в случае его обрыва, в поле Попыт- ка соединения каждые.
Информация о событиях, произошедших за время от­сутствия соединения, будет передана на Check Point
FireWall-1
®
при первом же подключении.
Рисунок 12. Настройка параметров OPSEC™.
Закладка Параметры
На Check Point™ FireWall-1® передается информация о следующих событиях:
o обновление антивирусных баз;
o приближение окончания срока действия лицензии;
Начало работы 47
o изменение состояния приложения (запуск/остановка
Сервера безопасности, изменение функциональности приложения).
По умолчанию флажок Сообщать о событиях по прото-
колу ELA не установлен.
4. По окончании настройки нажмите на кнопку Применить или ОК.
Восстановить значения параметров, предусмотренные по умолча­нию, вы можете при помощи кнопки Восстановить значения по
умолчанию.
5.6. Минимально необходимая настройка
После настройки параметров взаимодействия с Check Point™ FireWall-1® Антивирус Касперского начинает работать с минимальным набором параметров, основная часть которых устанавливается по умолчанию и является оптимальной, рекомендуемой специалистами Лаборатории Касперского. В случае необходимости вы можете внести нужные изменения и дополнения с учетом особенностей сети и характеристик компьютера, на котором установлен Сервер безопасности.
Если подключение к интернету осуществляется через прокси­сервер, для успешного получения обновлений следует настроить параметры соединения.
Настройка приложения производится с рабочего места администратора. Операция может проводиться независимо от того, запущен Check Point
FireWall-1
®
или нет.
5.7. Защита без дополнительной настройки
Антивирусная защита начинает работать сразу после настройки параметров взаимодействия Антивируса Касперского и Check Point умолчанию предусмотрен следующий режим работы Антивируса:
Приложение выполняет проверку объектов на наличие всех извест­ных в настоящее время вредоносных программ (установлен стан­дартный уровень антивирусной защиты).
FireWall-1®. По
48 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Антивирусной защите подлежат данные, перемещаемые по протоко­лам HTTP, FTP и SMTP.
Проверяются объекты любых форматов, за исключением объектов­контейнеров выше 32-го уровня вложенности.
Максимальное время проверки одного объекта составляет 1800 се- кунд.
При проверке HTTP-трафика в случае обнаружения зараженного объекта приложение выполняет попытку лечения, вылеченный объ­ект пропускает; если объект
неизлечим, блокирует доступ и в окне браузера выводит информационное сообщение следующего форма­та:
Антивирус Касперского 5.5 для Check Point
FireWall-1®
Запрошенный адрес "<путь к ресурсу>" содержит заражен­ный объект <имя вируса>. Доступ к ресурсу заблокиро-
ван.
Обнаруженные подозрительные и защищенные или поврежденные объекты пропускаются пользователю без изменений.
При проверке FTP-трафика в случае обнаружения зараженного объ­екта приложение выполняет попытку лечения, вылеченный объект пропускает; если объект неизлечим, блокирует доступ
к ресурсу, в результате на экран выводится сообщение FTP-клиента об ошибке подключения.
Обнаруженные подозрительные и защищенные или поврежденные объекты пропускаются пользователю без изменений.
При проверке SMTP-трафика в случае обнаружения зараженного объекта приложение выполняет следующие действия:
сохраняет исходную копию письма вместе со всеми вло­женными файлами в резервном хранилище;
удаляет все вложенные в сообщение файлы;
тело письма заменяет информационным сообщением сле-
дующих форматов:
Антивирус Касперского 5.5 для Check Point FireWall-1
®
Отправленное Вам сообщение содержит зараженный объект <имя вируса>. Сообщение заблокировано.
Подозрительные и защищенные или поврежденные объекты пропус­каются пользователю без изменений.
Начало работы 49
Обновление антивирусных баз проводится каждый час через интер- нет с HTTP- и FTP-серверов обновлений Лаборатории Касперского.
Отчет о результатах антивирусной защиты не формируется.
5.8. Проверка работоспособности приложения
После установки и настройки Антивируса Касперского мы рекомендуем вам проверить правильность настроек и корректность работы приложения с помощью тестового "вируса" и его модификаций. Проверку следует проводить для каждого протокола отдельно.
5.8.1. Тестовый "вирус" EICAR и его
модификации
Тестовый "вирус" был специально разработан организацией (The European Institute for Computer Antivirus Research) для проверки работы
антивирусных продуктов.
Тестовый "вирус" НЕ ЯВЛЯЕТСЯ ВИРУСОМ и не содержит программного кода, который может навредить вашему компьютеру, при этом большинство продуктов антивирусных компаний-производителей идентифицируют его как вирус.
Никогда не используйте в качестве проверки работоспособности антивирусного продукта настоящие вирусы!
Загрузить тестовый "вирус" можно с официального сайта организации
EICAR: http://www.eicar.org/anti_virus_test_file.htm
Перед загрузкой необходимо отключить антивирусную защиту (см. п. 7.3 на стр. 65), поскольку файл anti_virus_test_file.htm будет идентифицирован и обработан Антивирусом как зараженный объ­ект, перемещаемый по HTTP-протоколу. Не забудьте включить антивирусную защиту сразу после загрузки тестового “вируса”.
При отсутствии доступа к интернету вы можете самостоятельно создать тестовый "вирус". Для этого в любом следующую строку, а затем сохраните в файле с именем eicar.com:
.
текстовом редакторе наберите
50 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST­FILE!$H+H*
Файл, который вы загрузили с сайта компании EICAR или создали в текстовом редакторе описанным выше способом, содержит тело стандартного тестового "вируса". Антивирус Касперского обнаруживает его, присваивает тип Зараженный и выполняет действие, установленное администратором для объекта с таким типом.
5.8.2. Тестирование защиты HTTP-
трафика
Для проверки обнаружения вирусов в потоке данных, передавае­мых по HTTP-протоколу:
загрузите тестовый "вирус" с официального сайта организации
EICAR: http://www.eicar.org/anti_virus_test_file.htm
При попытке загрузить тестовый "вирус" Антивирус Касперского обнаружит объект, идентифицирует как зараженный неизлечимый и выполнит действие, установленное в параметрах проверки HTTP-трафика для такого объекта. По умолчанию (см. п. 5.7 на стр. 47), при попытке загрузить тестовый "вирус" соединение с ресурсом будет разорвано, и в окне браузера будет выведено сообщение о том, что вирусом EICAR-Test-File.
.
данный объект заражен
5.8.3. Тестирование защиты SMTP-
трафика
Для проверки обнаружения вирусов в потоке данных, передаваемых по SMTP-протоколу, вы можете использовать почтовую систему, передача данных в которой осуществляется по этому протоколу.
Для этого:
1. Создайте письмо в формате Обычный текст с помощью установленного на компьютере почтового клиента.
Письмо, содержащее тестовый вирус и сформированное в формате RTF и HTML, проверено не будет!
Начало работы 51
2. Поместите текст стандартного или модифицированного "вируса" в начало письма или присоедините к письму файл, содержащий тестовый “вирус”.
3. Отправьте письмо на адрес администратора.
4. Ознакомьтесь с содержанием письма, поступившего на
указанный адрес.
Антивирус Касперского обнаружит объект, идентифицирует как зараженный и выполнит действие, установленное в параметрах проверки SMTP-трафика для такого объекта. По
все вложенные объекты будут удалены;
тело письма заменено информационным сообщением об обнаружен-
ном вирусе EICAR-Test-File;
исходная копия письма вместе со всеми вложенными файлами будет сохранена в резервном хранилище.
умолчанию (см. п. 5.7 на стр. 47):
5.8.4. Тестирование защиты FTP-трафика
Для проверки обнаружения вирусов в потоке данных, передавае­мых по FTP-протоколу:
1. Разместите тестовый "вирус" на доступном вам ресурсе, обращение к которому осуществляется по FTP-протоколу.
2. Попытайтесь скачать вирус eicar с данного ресурса.
В результате Антивирус Касперского обнаружит объект, идентифицирует как зараженный неизлечимый и выполнит действие, установленное в параметрах проверки FTP-трафика действия настроек по умолчанию (см. п. 5.7 на стр. 47) при попытке загрузить тестовый "вирус" соединение с ресурсом будет разорвано, и на экран будет выведено сообщение об ошибке подключения.
для такого объекта. Так, в случае
ГЛАВА 6. ОБНОВЛЕНИЕ
АНТИВИРУСНЫХ БАЗ
Лаборатория Касперского предоставляет своим пользователям возможность обновлять антивирусные базы, используемые Антивирусом Касперского для поиска вредоносных программ и лечения зараженных объектов.
Антивирусные базы Лаборатории Касперского содержат описания следующих категорий объектов:
а. Всех известных в настоящее время вредоносных программ.
б. Программ, которые не являются вредоносным кодом в традицион-
ном понимании этого термина, но могут представлять моральную угрозу, причинять материальные убытки и способствовать воровст­ву конфиденциальной относятся:
рекламные программы;
различные безвредные утилиты, которые могут использо-
ваться вредоносными программами и злоумышленниками в своих целях;
программы автоматического дозвона на платные сайты;
программы автоматического дозвона на порно-сайты;
программы автоматической загрузки файлов с порно-
содержанием;
клавиатурные шпионы;
программы вскрытия паролей;
программы удаленного управления.
в. Программ-шуток и странного по форме и содержанию программного
обеспечения, воздействие которого на систему не может быть оп­ределено однозначно положительно. К таким программам можно отнести:
программы, вызывающие внезапные видео- и аудио­эффекты;
программы, вызывающие проблемы работы системы;
информации. К программам этой категории
Обновление антивирусных баз 53
симуляторы вирусов.
г. Программ, которые не являются вредоносным кодом и не несут ни-
какого ущерба их обладателю, но могу являться частью среды раз­работки вредоносного программного обеспечения. К программам данной категории относятся:
программы-взломщики лицензионного программного обес­печения, генераторы ключей, генераторы номеров кредит­ных карточек;
java-классы;
программы
-сборщики информации о безопасности систе-
мы (установленных антивирусах, сетевых экранах и т. д.);
сетевые утилиты (сканеры и т. д.).
Какие категории объектов Антивирус обнаруживает в проходящем через межсетевой экран трафике, определяется установленным уровнем антивирусной защиты (см. п. 7.2 на стр. 64).
Крайне важно поддерживать антивирусные базы в актуальном состоянии, поскольку каждый
день появляются новые вредоносные программы. Мы рекомендуем вам провести обновление антивирусных баз сразу после установки приложения, поскольку базы, входящие в состав дистрибутива, к моменту установки теряют актуальность.
Приложение скачивает обновления антивирусных баз через интернет с серверов обновлений Лаборатории Касперского или указанного администратором сервера либо из сетевого каталога обновлений. Выбор ресурса зависит
от настроек. В качестве каталога обновлений может использоваться папка общего доступа, в которую складывают получаемые из интернета обновления следующие приложения Лаборатории Касперского: Kaspersky Administration Kit 5.0, Антивирус Касперского 5.0 для Windows Workstations и Антивирус Касперского 5.0 для File Servers (см. п. 6.2 на стр. 56).
Загрузка обновлений происходит либо по расписанию, либо вручную. Для успешной загрузки антивирусных баз из интернета необходимо, чтобы
ваш компьютер был подключен к нему. Используя сервера обновлений, Антивирус Касперского скачивает с них обновления, после чего устанавливает необходимые файлы на ваш компьютер. Антивирус Касперского предоставляет возможность настроить уведомление о результатах обновления антивирусных баз (см. Глава 12 на стр. 110).
Информацию об используемых приложением антивирусных базах можно посмотреть при помощи гиперссылки Общие
параметры в окне Общие
параметры на закладке Общие (см. рис. 40) и при помощи гиперссылки
54 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Антивирусная проверка в окне Антивирусная проверка на закладке
Обновление (см. рис. 13). Приводится следующая информация:
количество записей в антивирусных базах;
дата и время создания антивирусных баз.
Для обновления антивирусных баз Антивируса Касперского:
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Антивирусная
проверка в панели результата.
2. В открывшемся окне Антивирусная проверка на закладке Обновление (см. рис. 13) определите источник получения
обновлений. Вы можете выбрать получение обновлений из сетевого каталога (подробнее см. п. 6.1 на стр. 55 и п. 6.2 на стр. 56)или из интернета и настроить параметры подключения.
Рисунок 13. Окно настройки параметров обновления антивирусных баз.
Настройка обновления из интернета
3. Для автоматического обновления сформируйте расписание получения обновлений (подробнее см. п. 6.3 на стр. 58). Если обновления необходимы немедленно, получите их вручную при помощи кнопки Обновить сейчас (подробнее см. п. 6.4 на стр. 58).
Обновление антивирусных баз 55
Перед обновлением вручную убедитесь, что настройка пара­метров обновления выполнена полностью и правильно.
4. По окончании настройки нажмите на кнопку Применить или ОК.
Восстановить значения параметров, предусмотренные по умолча­нию, вы можете при помощи кнопки Восстановить значения по
умолчанию.
6.1. Загрузка обновлений из интернета
Для того чтобы Антивирус Касперского получал обновления ан­тивирусных баз через интернет,
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Антивирусная
проверка в панели результата.
2. В открывшемся окне Антивирусная проверка (см. рис. 13) на закладке Обновление в качестве источника обновлений выберите Серверы обновлений Лаборатории Касперского
(данный вариант установлен по умолчанию).
3. После этого нажмите на кнопку Параметры и укажите параметры сетевых подключений в открывшемся окне
Параметры обновления через интернет (см. рис. 14):
Рисунок 14. Настройка параметров сетевого подключения
56 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Определите, с какого сервера будут скачиваться обновле-
ния. Выберите вариант Выбирать сервер обновлений ав­томатически, для того чтобы сервер выбирался из числа, рекомендуемых Лабораторией Касперского, либо вариант
Использовать указанный сервер и введите адрес нужного HTTP- или FTP-сервера обновлений.
Если подключение к интернету осуществляется через про-
кси-сервер, установите флажок сервер и определите параметры подключения: адрес и но­мер порта для соединения.
Если для доступа к прокси-серверу используется пароль, определите параметры аутентификации прокси­пользователя. Для этого установите флажок Использо-
вать аутентификацию и заполните поля Имя пользова­теля и Пароль.
Установите флажок Использовать пассивный режим
FTP, для того
пользовался пассивный режим или снимите флажок для ис­пользования активного режима. Мы рекомендуем использо­вать пассивный режим.
4. По окончании настройки, для того чтобы изменения были применены, в окне Параметры обновления через интернет нажмите на кнопку ОК.
5. Нажмите на кнопку Применить или ОК на Обновление.
Восстановить значения параметров, предусмотренные по умолча­нию, вы можете при помощи кнопки Восстановить значения по
умолчанию.
, чтобы при обновлении по протоколу FTP ис-
Использовать прокси-
закладке
6.2. Загрузка обновлений из сетевого каталога
Если управление работой установленных на компьютерах сети приложений Лаборатории Касперского осуществляется при помощи системы централизованного управления Kaspersky Administration Kit 5.0, то получаемые Сервером администрирования обновления антивирусных баз размещаются в папке общего доступа (подробнее см. Справочное руководство к Kaspersky Administration Kit 5.0). Вы можете использовать данную папку в качестве источника обновлений для Антивируса Касперского.
Обновление антивирусных баз 57
Возможность сохранять полученные через интернет обновления в папке общего доступа и предоставлять ее в качестве локального источника обновлений существует также в приложениях Антивирус Касперского 5.0 для Windows Workstations и Антивирус Касперского 5.0 для File Servers.
Для корректного обновления компьютер, на котором установлен Сервер безопасности, должен обладать правами на чтение из папки общего доступа.
Для того чтобы Антивирус Касперского получал обновления ан­тивирусных баз из сетевого каталога,
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Антивирусная
проверка в панели результата.
2. В открывшемся окне Антивирусная проверка на закладке Обновление (см. рис. 15) в качестве источника обновлений
выберите Локальный или сетевой каталог и в поле ввода укажите путь к нужному каталогу вручную либо при помощи кнопки Обзор.
Рисунок 15. Настройка обновлений из сетевого каталога
3. По окончании настройки нажмите на кнопку Применить или ОК.
Восстановить значения параметров, предусмотренные по умолча­нию, вы можете при помощи кнопки Восстановить значения по
умолчанию.
58 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
6.3. Автоматическое обновление
Для того чтобы обновление антивирусных баз производилось автоматически,
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Антивирусная
проверка в панели результата.
2. В открывшемся окне Антивирусная проверка на закладке Обновление (см. рис. 13) установите флажок Обновлять антивирусные базы автоматически и сформируйте
расписание получения обновлений. Для этого выберите нужный вариант расписания и установите необходимую периодичность, единицу измерения интервала обновления и время обновления.
3. По окончании настройки нажмите на кнопку Применить или
Восстановить значения параметров, предусмотренные по умолча­нию, вы можете при помощи кнопки Восстановить значения по
умолчанию.
В результате программа будет автоматически обновлять антивирусные базы с заданной периодичностью в соответствии с установленными параметрами.
ОК.
6.4. Обновление вручную
Для обновления антивирусных баз вручную:
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Антивирусная
проверка в панели результата.
2. В открывшемся окне Антивирусная проверка на закладке Обновление (см. рис. 13) нажмите на кнопку Обновить сейчас.
Кнопка Обновить сейчас не доступна, если выполняется обновление антивирусных баз либо данная функцио­нальность приложения отключена, например, из-за на­рушения лицензии (см. Глава 11 на стр. 102).
В результате программа выполнит немедленное обновление анти­вирусных баз в соответствии с установленными параметрами.
ГЛАВА 7. АНТИВИРУСНАЯ
ЗАЩИТА
Главной задачей Антивируса Касперского является проверка проходящего через Check Point зараженных объектов с использованием информации текущей (последней) версии антивирусных баз.
В зависимости от установленного администратором уровня антивирусной защиты (см. п. 7.1 на стр. 61), приложение позволяет обнаружить:
вредоносные объекты;
потенциально опасные объекты;
объекты, которые не являются потенциально опасными, но могут со-
ставлять часть программного
Помимо перечисленных программ к каждой категории может быть отнесено легальное программное обеспечение, работа которого может быть расценена Антивирусом как поведение вредоносного или потенциально­опасного программного обеспечения. К таким программам, например, относятся программы удаленного управления и удаленного наблюдения.
Если через межсетевой экран передается программное обеспе­чение, программы данного класса следует исключить из числа проверяемых объектов.
Если антивирусная защита включена (подробнее см. п. 7.3 на стр. 65),
и остановка проверки трафика происходит вместе с запуском и
запуск остановкой операционной системы компьютера, на котором установлен Сервер безопасности.
Все перемещаемые через межсетевой экран объекты проверяются в режиме реального времени. По умолчанию обрабатываются HTTP-, FTP- и
SMTP-трафики. В случае необходимости (например, трафик поступает на Check Point
приложением) проверку любого из указанных протоколов можно отключить.
В соответствии с установленными для каждого из протоколов параметрами антивирусной проверки приложение:
выделяет проверяемые объекты;
выполняет проверку объекта с использованием антивирусных баз;
FireWall-1® трафика и блокирование или лечение
обеспечения для их разработки.
FireWall-1® уже проверенный другим антивирусным
60 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
пропускает пользователю незараженные объекты, остальные обра­батывает в соответствии с параметрами, перед обработкой копия объекта может быть сохранена в резервном хранилище.
Антивирус Касперского предоставляет возможность настроить уведомление о результатах антивирусной проверки объектов (см. Глава 12 на стр. 110).
При проверке сообщений, перемещаемых по SMTP-протоколу, программа проверяет тело сообщения и все присоединенные к
нему файлы любых
форматов.
Следует отметить, что Антивирус Касперского
различает объект простой (тело письма, простое вложение, например, в виде исполняемого файла) и объект-контейнер (состоящий из нескольких объектов, например, архив, письмо с любым вложенным письмом, документ Microsoft Word, содержащий макросы). Для уменьшения нагрузки на сервер из антивирусной проверки могут исключаться все объекты-контейнеры выше заданного уровня вложенности.
Для данных, перемещаемых по HTTP-
и FTP-протоколам, можно определять дополнительный перечень объектов, не подлежащих антивирусной проверке. Из проверки могут исключаться: архивы, упакованные исполняемые файлы, некоторые типы файлов.
При проверке многотомных архивов и данных, скачиваемых с источника по частям, каждый том и каждая часть воспринимаются и обрабатываются Антивирусом Касперского как отдельный объект. В этом случае приложение сможет
обнаружить вредоносный код, только если он целиком содержится в одном из томов или частей. Разделенный на части вредоносный объект Антивирус не сможет найти. В такой ситуации не исключена вероятность распространения вредоносного кода после восстановления целостности объекта.
Многотомные архивы и объекты, скачиваемые по частям, могут быть проверены после сохранения на диске, например, установ­ленным на компьютере Антивирусом Касперского для Windows
Workstations.
Для HTTP-протокола Антивирус Касперского предоставляет возможность запретить доступ к объектам, передаваемым по частям (см.
п. 7.4 на стр. 66). Для FTP-протокола такая возможность не предусмотрена; чтобы снизить вероятность заражения описанным выше способом, рекомендуется отключить возможность скачивать информацию по частям в настройках
Check Point™ FireWall-1®.
Антивирусная проверка увеличивает время доставки информации пользователю. Поэтому при обработке объектов, перемещаемых по HTTP­и FTP-протоколам, предусмотрена возможность передачи непроверенных данных, исключающая вероятность доставки зараженного объекта (см.
Антивирусная защита 61
п. 7.4 на стр. 66). Она предполагает передачу непроверенных данных по частям с максимально-допустимыми интервалами и возможностью удерживать часть данных до окончания проверки объекта. Если в результате антивирусной проверки выясняется, что объект незаражен, пользователю передается оставшаяся часть данных. Во всех остальных случаях соединение с источником разрывается и выводится сообщение о том, что дальнейшая передача данных не возможна. При этом объект обрабатывается в соответствии с параметрами антивирусной проверки, информация о нем фиксируется в журнале событий и в отчете.
Кеширование результатов проверки в течение некоторого временного интервала предоставляет возможность сократить число повторных проверок объекта (см. п. 7.4 на стр. 66).
Антивирус Касперского позволяет одновременно проверять несколько объектов. Число параллельно обрабатываемых объектов зависит от количества запущенных и одновременно работающих экземпляров антивирусного ядра (см. п. 7.7 на стр. 75).
Режим проверки объектов в памяти предоставляет возможность проверять объекты, не сохраняя их в рабочем каталоге на жестком диске. За счет настройки параметров проверки до 1000 объектов объемом до 1024 КБ каждый могут обрабатываться параллельно использования дисковой подсистемы (см. п. 7.7 на стр. 75).
Использование очереди объектов на проверку (см. п. 7.7 на стр. 75) позволяет увеличивать или уменьшать пропускную способность Антивируса Касперского, тем самым регулировать нагрузку в зависимости от объема проходящего через межсетевой экран трафика.
в оперативной памяти без
7.1. Антивирусная обработка
объектов
По результатам антивирусной проверки каждому объекту присваивается один из следующих статусов:
Незараженный – не содержит вредоносного или потенциально опас- ного кода.
Зараженный – содержит как минимум один из известных вредонос­ных или потенциально опасных объектов.
Подозрительный – код объекта похож на код известного или неиз- вестного вредоносного или потенциально опасного объекта
Защищенныйобъект защищен паролем.
.
62 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Поврежденный – объект поврежден.
Обнаруженные в результате антивирусной проверки объекты приложение может лечить, блокировать или пропускать без изменений.
Об обнаруженных в результате антивирусной проверки зараженных, подозрительных, защищенных и поврежденных объектах может быть настроено уведомление (см. Глава 12 на стр. 110). О незараженных объектах уведомление не производится.
Исходная копия поступившего на обработку объекта может в резервном хранилище для последующего восстановления или удаления.
Возможность лечения предусмотрена только для зараженных объектов, передаваемых по HTTP- и FTP-протоколам. При этом для неизлечимых объектов может быть задан свой порядок обработки.
быть сохранена
7.1.1. Действия над объектами, передаваемыми по HTTP­протоколу
Для лечения зараженных объектов, обнаруженных при проверке данных, передаваемых по HTTP-протоколу, предлагаются варианты действий:
Лечить – лечить, вылеченный объект пропускать пользователю. Ес­ли объект неизлечим, применить действие, установленное для неиз­лечимых объектов.
Лечить, сохранять копию - лечить, вылеченный объект пропускать пользователю, сохранять исходную копию объекта в резервном хра­нилище. Если ное для неизлечимых объектов.
Для обработки зараженных, неизлечимых, подозрительных, защищенных и поврежденных объектов предусмотрены следующие действия:
Пропускать без изменений – пропускать объект пользователю без каких-либо изменений.
Заменять на текст – блокировать доступ к объекту, выводить в ок­не браузера информационное сообщение, составленное по шаблону замены.
Заменять на текст, сохранять копию - блокировать доступ к объ­екту, выводить в окне браузера информационное сообщение, со-
объект неизлечим, применить действие, установлен-
Антивирусная защита 63
ставленное по шаблону замены, сохранять исходную копию объекта в резервном хранилище.
Копия незараженных и пропущенных без изменения объектов также может быть сохранена в резервном хранилище.
7.1.2. Действия над объектами, передаваемыми по FTP-протоколу
Для лечения зараженных объектов, обнаруженных при проверке данных, передаваемых по FTP-протоколу, предлагаются варианты действий:
Лечить – лечить, вылеченный объект пропускать пользователю. Ес­ли объект неизлечим, к нему применить действие, установленное для неизлечимых объектов.
Лечить, сохранять копию - лечить, вылеченный объект пропускать пользователю, сохранять исходную копию объекта в резервном хра­нилище новленное для неизлечимых объектов.
Для обработки объектов со статусами зараженный, неизлечимый, подозрительный, защищенный и поврежденный предусмотрены следующие действия:
Пропускать без изменений – пропускать объект пользователю без каких-либо изменений.
Блокировать – блокировать доступ к объекту, в результате в окне браузера будет редачи данных.
Блокировать, сохранять копию - блокировать доступ к объекту, со­хранять исходную копию объекта в резервном хранилище. В резуль­тате в окне браузера будет выводиться сообщение FTP-клиента об ошибке передачи данных.
Копия незараженных и пропущенных без изменения объектов также может быть сохранена в резервном
. Если объект неизлечим, к нему применить действие, уста-
выводиться сообщение FTP-клиента об ошибке пе-
хранилище.
64 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
7.1.3. Действия над объектами, передаваемыми по SMTP­протоколу
Для обработки зараженных, подозрительных, защищенных и поврежденных объектов, обнаруженных при проверке данных,
передаваемых по SMTP-протоколу, предусмотрены следующие действия:
Пропускать без изменений – пропускать объект пользователю без каких-либо изменений.
Заменять на текст – удалять все вложенные в сообщение файлы, тело письма заменять информационным сообщением, составленным по шаблону замены.
Заменять на
сообщение файлы, тело письма заменять информационным сообще­нием, составленным по шаблону замены, сохранять исходную копию сообщения (тело письма и все вложенные файлы) в резервном хра­нилище.
Выбранное действие выполняется над всем письмом, не зависимо от того, где обнаружен зараженный, подозрительный, защищенный и поврежденный объект в теле письма или в каком-либо из вложенных файлов.
Копия незараженных и пропущенных без изменения объектов также может быть сохранена в резервном хранилище.
текст, сохранять копию - удалять все вложенные в
7.2. Уровень антивирусной защиты
Антивирус Касперского позволяет определять в проходящем через межсетевой экран трафике все известные на сегодняшний день вредоносные и потенциально опасные программы. Описания этих программ и способов лечения зараженных ими объектов содержат антивирусные базы Лаборатории Касперского (см. Глава 6 на стр. 52). Какие категории объектов обнаруживает Антивирус, определяется установленным уровнем антивирусной защиты.
В приложении предусмотрены следующие уровни защиты:
Стандартная антивирусная защита: защита от всех известных в на- стоящее время вредоносных программ. Данный уровень установлен по умолчанию.
Антивирусная защита 65
Расширенная антивирусная защита: защита от всех известных в настоящее время вредоносных программ и потенциально опасных программ, перечисленных в пункте б приведенного на стр. 52 списка.
Избыточная антивирусная защита: защита от всех известных в на- стоящее время вредоносных программ и потенциально опасных про­грамм, перечисленных в пунктах б, в и г ска.
приведенного на стр. 52 спи-
7.3. Включение и отключение антивирусной защиты. Выбор уровня
Если антивирусная защита включена, то вместе с запуском и остановкой операционной системы компьютера, на котором установлен Сервер безопасности, происходит запуск антивирусной проверки проходящего через межсетевой экран трафика. По умолчанию выполняется проверка HTTP-, FTP- и SMTP- протоколов. Для снижения нагрузки на сервер вы можете отключить проверку трафика в настройках для каждого протокола отдельно.
Проверка антивирусной защиты.
Если антивирусная защита отключена, не проверяется трафик ни одного из протоколов.
объектов выполняется в соответствии с установленным уровнем
Следует помнить, что отключение антивирусной защиты значи­тельно повышает вероятность проникновения вредоносных про­грамм через межсетевой экран. Не рекомендуется отключать ан­тивирусную защиту надолго.
Для того чтобы включить или отключить антивирусную защи­ту либо изменить ее уровень,
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Антивирусная
проверка в панели результата.
2. В открывшемся окне Антивирусная проверка на закладке Общие (см. рис. 16) в группе полей Антивирусная защита
выберите:
Выключена для того чтобы отключить антивирусную про-
верку данных, проходящих через межсетевой экран.
66 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Стандартная антивирусная защита, Расширенная анти-
вирусная защита или Избыточная антивирусная защита
для того чтобы включить антивирусную проверку с соответ­ствующим уровнем.
Если вы используете расширенный или избыточный уро­вень антивирусной защиты, это может сказаться на скоро­сти работы Антивируса. К тому же, ряд программных про­дуктов может быть отнесен к потенциально опасным про­граммам.
3. Чтобы изменения вступили в силу, нажмите на кнопку Применить или ОК. Антивирусная защита будет отключена / включена через
одну-две минуты.
Рисунок 16. Включение антивирусной защиты
7.4. Проверка HTTP-трафика
Для настройки параметров проверки данных, передаваемых по HTTP-протоколу:
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Параметры проверки
HTTP в панели результата.
Антивирусная защита 67
В открывшемся окне Параметры проверки HTTP (см. рис. 17) определите значения параметров работы антивируса на пред­ставленных закладках.
2. На закладке Параметры (см. рис. 17) установите флажок Проверять HTTP-трафик, для того чтобы проверка
выполнялась. После этого определите значения параметров, регулирующих:
передачу непроверенных данных пользователю в случае,
если проверка объекта затягивается;
проверку объекта
при повторном обращении;
передачу пользователю данных, скачиваемым с источника
по частям.
Рисунок 17. Параметры проверки HTTP-трафика.
Закладка Параметры
Для сокращения количества повторных проверок объекта
установите флажок Кешировать результаты проверки в течение и укажите время в секундах, в течение которого программа будет “помнить” результат проверки. При по­вторном запросе объекта в течение заданного интервала пользователь сразу же получит доступ к объекту либо уве-
68 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
домление о результате его проверки. По умолчанию фла­жок установлен, интервал составляет 60 секунд.
Для того чтобы клиентская программа, запросившая поток,
не разрывала соединение и не выводила сообщение о не­удачной попытке подключения, в течение всей проверки Ан­тивирус Касперского с заданной частотой передает служеб­ную информацию (как правило, это заголовки
HTTP-
протокола) и небольшие пакеты данных. Укажите в секундах величину временного интервала отправки очередного паке­та данных в поле Максимальный интервал отправки за­головков. Значение параметра устанавливается, исходя из характеристик программы-клиента, и не должно превышать время, по истечении которого клиент выводит сообщение о неудачной попытке подключения по указанному адресу. По умолчанию предлагается 10 секунд.
Укажите максимально-допустимый интервал ожидания
пользователем очередного пакета данных в поле Макси­мальный интервал отправки данных (30 секунд по умол­чанию). Параметр определяет, с какой скоростью будут предоставляться пользователю реальные данные.
Установите, какой процент от общего объема непроверен-
ных данных должен удерживаться до окончания проверки объекта в
поле Объем данных, удерживаемый до за-
вершения проверки. Чем больше значение данного пара-
метра, тем меньше вероятность заражения при передаче пользователю непроверенных данных. По умолчанию пред­лагается 10%.
Для того чтобы разрешить доставку пользователю файлов,
скачиваемых частями, установите флажок Разрешить до­загрузку файлов. Если флажок не установлен, при обна­ружении такого объекта соединение с источником разрыва­ется и выводится сообщение о том, что дальнейшая пере­дача данных не возможна. По умолчанию флажок установ­лен.
3. На закладке Действия (см. рис. 18) укажите, какие действия будут выполняться при обнаружении зараженных, неизлечимых, подозрительных и защищенных или поврежденных объектов. Определите порядок обработки для каждого статуса
отдельно. Для этого выберите нужное действие из раскрывающегося списка в соответствующем разделе.
Если вы выбираете действие, предполагающее замену объекта, следует сформировать шаблон замещения. Для этого нажмите на кнопку Шаблон замены и в открывшемся окне (см.
Антивирусная защита 69
рис. 19) введите текст сообщения. В его состав может включаться информация об обнаруженном вирусе, HTTP-адрес зараженного объекта и информация о возникшей при подключении ошибке. Для этого добавьте в шаблон соответствующие макросы подстановки, выбрав их из раскрывающегося при помощи кнопки Макросы списка.
Рисунок 18. Параметры проверки HTTP-трафика.
Закладка Действия
Для того чтобы в резервном хранилище сохранялись копии незараженных и пропущенных без изменения объектов, установите флажок Сохранять копии незараженных и
пропущенных объектов.
Для зараженных объектов при установке флажка Со­хранять копии незараженных и пропущенных объек­тов действие Лечить будет заменено на действие Ле­чить, сохранять копию. При этом будут сохраняться
исходные копии вылеченных объектов и неизлечимых объектов, если для них было выбрано действие Пропус-
кать без изменений.
70 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Рисунок 19. Создание шаблона замены
4. На закладке Исключения (см. рис. 20) определите перечень
объектов, которые не будут проверяться на присутствие вредоносного кода. Для этого установите флажки рядом с нужными названиями в представленном списке типов.
Рисунок 20. Параметры проверки HTTP-трафика.
Закладка Исключения
5. Чтобы изменения вступили в силу, нажмите на кнопку Применить или ОК.
Антивирусная защита 71
Восстановить значения параметров, предусмотренные по умолча­нию, вы можете при помощи кнопки Восстановить значения по
умолчанию.
Чтобы отключить проверку данных, передаваемых по HTTP­протоколу,
в окне Параметры проверки HTTP на закладке Параметры (см. рис. 17) снимите флажок Проверять HTTP-трафик и нажмите на кнопку Применить или ОК.
7.5. Проверка FTP-трафика
Для настройки параметров проверки данных, передаваемых по FTP-протоколу:
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Параметры проверки
FTP в панели результата.
В результате открывается окно Параметры проверки FTP (см. рис. 21). Определите значения параметров работы антивируса при проверке FTP-трафика на представленных закладках.
Настройка параметров проводится так же, как и для HTTP­трафика (см. п.7.4 на стр. 66).
2. Для того чтобы проверка выполнялась, на закладке Параметры (см. рис. 21) установите флажок Проверять FTP-трафик.
После этого определите значения параметров, регулирующих передачу непроверенных данных пользователю в случае, если проверка объекта затягивается.
3. На закладке Действия (см. рис. 22) укажите, какие действия будут выполняться при обнаружении зараженных, неизлечимых, подозрительных и защищенных или поврежденных объектов.
72 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Рисунок 21. Параметры проверки FTP-трафика.
Закладка Параметры
Рисунок 22. Параметры проверки FTP-трафика.
Закладка Действия
Антивирусная защита 73
4. На закладке Исключения (см. рис. 23) определите перечень объектов, которые не будут проверяться на присутствие вредоносного кода. Для этого установите флажки рядом с названиями представленных типов файлов.
Рисунок 23. Параметры проверки FTP-трафика.
Закладка Исключения
6. Чтобы изменения вступили в силу, нажмите на кнопку Применить или ОК.
Восстановить значения параметров, предусмотренные по умолча­нию, вы можете при помощи кнопки Восстановить значения по
умолчанию.
Чтобы отключить проверку данных, передаваемых по FTP­протоколу,
в окне Параметры проверки FTP на закладке Параметры (см. рис. 21) снимите флажок Проверять FTP-трафик и нажмите на кноп­ку Применить или ОК.
7.6. Проверка SMTP-трафика
Для настройки параметров проверки данных, передаваемых по SMTP-протоколу:
74 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Параметры проверки
SMTP в панели результата.
В результате открывается окно Параметры проверки SMTP
(см. рис. 24).
2. Для того чтобы проверка трафика выполнялась, установите
флажок Проверять SMTP-трафик (см. рис. 24) на закладке Параметры.
Рисунок 24. Параметры проверки SMTP-трафика.
Закладка Параметры
3. На закладке Действия (см. рис. 25) укажите, какие действия будут выполняться при обнаружении зараженных, подозрительных и защищенных или поврежденных объектов. Настройка параметров проводится так же, как и для HTTP­трафика (см. п.7.4 на стр. 66).
Антивирусная защита 75
Рисунок 25. Параметры проверки SMTP-трафика.
4. Чтобы изменения вступили в силу, нажмите на кнопку
Применить или ОК.
Восстановить значения параметров, предусмотренные по умолча­нию, вы можете при помощи кнопки Восстановить значения по
умолчанию.
Закладка Действие
Чтобы отключить проверку данных, передаваемых по SMTP­протоколу,
в окне Параметры проверки SMTP на закладке Параметры (см. рис. 24) снимите флажок Проверять SMTP-трафик и нажмите на кнопку Применить или ОК.
7.7. Производительность антивирусной проверки
Для настройки параметров производительности антивирусной проверки:
76 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Антивирусная
проверка в панели результата.
2. В открывшемся окне Антивирусная проверка (см. рис. 26) выберите закладку Производительность и установите значения представленных на ней параметров:
Рисунок 26. Настройка производительности Антивируса Касперского
Количество параллельно работающих экземпляров антиви-
русного ядра. По умолчанию создаются и одновременно работают 4 экземпляра. Вы можете установить значение в интервале от 1 до 32. Компания Microsoft рекомендует на­значать число, не превышающее количество процессоров компьютера, на котором установлен Сервер безопасности, умноженное на 4.
Количество экземпляров антивирусного ядра, резервируе-
мых для прохождения рабочего ("быстрого
") трафика. Па­раметр позволяет снизить влияние проверки больших объ­ектов на пропускную способность Антивируса Касперского. По умолчанию предлагается 1.
К "быстрым" объектам относятся только объекты HTTP­трафика, соответствующие следующим критериям:
Антивирусная защита 77
o текстовые объекты размером менее 2 МБ;
o html-файлы размером менее 2 МБ;
o графические объекты размером менее 2 МБ;
o все остальные объекты (за исключением приложений)
размером менее 256 КБ.
Максимальное количество объектов, проверяемых в опера­тивной памяти без сохранения в рабочем каталоге на диске. Вы можете установить значение в интервале от 1 до 1000. По умолчанию предлагается 128.
Максимальный размер для проверяемых в памяти объектов в килобайтах. Выберите нужное значение из раскрывающе гося списка.
Если очередь целиком заполнена или размер объекта превышает установленное ограничение, объект будет сохранен и проверен в рабочем каталоге, расположенном в каталоге данных при­ложения. Все файлы размером более 1024 КБ сохраняют­ся для обработки в рабочем каталоге.
Значения параметров проверки объектов в памя­ти должны определяться, исходя из аппаратных характеристик компьютера, на котором установ­лен Сервер безопасности.
Суммарный объем проверяемых объектов не должен превышать размер свободной оператив­ной памяти.
Размер очереди объектов на проверку - максимальное ко­личество объектов, проверяемых и ожидающих проверки на диске в рабочем
каталоге. Вы можете установить значение
в интервале от 1 до 16383. По умолчанию предлагается
1024.
-
Если очередь целиком заполнена, новый объект не будет проверен, будет признан незараженным и отправлен запросившему его клиенту.
Максимальное время, отведенное на проверку одного объ­екта (в секундах). Укажите значение в интервале от 0 до 86400 секунд включительно. Значение по умолчанию – 1800 секунд.
78 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Если объект не удалось проверить в течение указанного времени, он будет признан незара­женным и отправлен запросившему его клиенту.
Для того чтобы исключить из проверки объекты-контейнеры, установите флажок Не проверять объекты-контейнеры
выше уровня вложенности и определите уровень проверки (32 по умолчанию). Программа проверит все вложения объекта-контейнера, включая указанный
уровень.
Поскольку архивы являются одной из разновидностей объектов-контейнеров, то ограничения на их проверку взаимосвязаны. Если вы накладываете ограничения на проверку объек­тов-контейнеров, то и архивы будут проверяться до ука­занного уровня вложенности (если они не исключены из проверки явным образом). Исключение из проверки архивов не влияет на проверку других
видов объектов-контейнеров.
3. Чтобы изменения вступили в силу, нажмите на кнопку Применить или ОК.
Параметры проверки объектов в оперативной памяти будут применены только после перезагрузки операцион­ной системы компьютера, на котором установлен Сервер безопасности либо остановки и запуска службы Антиви­рус Касперского 5.5 для Check Point
FireWall-1® вручную
через Управление компьютером / Службы.
Восстановить значения параметров, предусмотренные по умолча­нию, вы можете при помощи кнопки Восстановить значения по
умолчанию.
ГЛАВА 8. РЕЗЕРВНОЕ
ХРАНИЛИЩЕ
Антивирус Касперского предоставляет возможность сохранять копию зараженного объекта перед его обработкой. Копия объекта помещается в резервное хранилище. В дальнейшем объект из резервного хранилища может быть восстановлен (см. п. 0 на стр. 84) либо удален (см. п. 8.4 на стр. 86). Возможность восстановления объекта может быть полезна, например, если при его лечении были утеряны данные, по ошибке или необходимо провести повторное лечение объекта с использованием обновленной версии антивирусных баз, например, установленным в сети Антивирусом Касперского для Windows Workstations.
Резервная копия объекта создается, только если это предусмотре­но значением параметров антивирусной проверки.
При создании резервной копии объекта, передаваемого по протоколам HTTP и FTP, в резервном хранилище размещается объект, к которому проходило обращение. Для объекта, перемещаемого по протоколу SMTP, сохраняется тело письма и все входящие в него вложения, не зависимо от того, где
Резервное хранилище представляет собой служебный каталог. Он создается в каталоге данных приложения при установке Сервера безопасности.
Объем информации в резервном хранилище может быть ограничен по следующим параметрам: размеру резервного хранилища и времени хранения объекта. По умолчанию максимальный размер хранилища составляет 1024 МБ, время хранения – 30 дней. Администратор может изменить значения параметров ограничения (см. п. 8.5 на стр. 87).
Проверка соблюдения ограничений производится при записи резервной копии очередного объекта в хранилище. Приложение выполняет следующее:
был обнаружен вредоносный объект.
удаляет объекты, срок хранения которых закончился;
если для размещения объекта все-таки недостаточно памяти, осво-
бождает необходимый объем за счет удаления наиболее старых объектов;
Фактически объект может оставаться в резервном храни­лище дольше установленного срока, если в хранилище не добавляются новые объекты.
объект был удален
80 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Просмотр резервного хранилища (см. п. 8.1 на стр. 80), настройка его параметров (см. п. 8.5 на стр. 87) и работа с резервными копиями объектов (см. п. 0 на стр. 84 и п. 8.4 на стр. 86) осуществляется через служебную папку Резервное хранилище (см. рис. 27). Данная папка входит в состав каждого узла, отображающего управляемый сервер.
Для удобства просмотра и также ее структурирования предусмотрена возможность настройки пользовательских фильтров (см. п. 8.2 на стр. 81). Сформированные для резервного хранилища фильтры отображаются в папке Резервное хранилище в виде вложенных подпапок с именами, заданными администратором при их создании.
поиска информации в резервном хранилище, а
8.1. Просмотр резервного хранилища
Для просмотра резервного хранилища:
выберите в дереве консоли папку Резервное хранилище.
После этого в панели результатов будет представлена таблица (см. рис. 27), содержащая полный перечень всех объектов, размещенных в резервном хранилище.
Рисунок 27. Просмотр резервного хранилища
Для каждого объекта в таблице отображается следующая информация:
Протокол. Тип протокола, при проверке которого был об­наружен объект.
Резервное хранилище 81
Описание. HTTP-, FTP-адрес источника либо тема письма для объектов, перемещаемых по протоколу SMTP.
Откуда. IP-адрес источника, где размещен объект либо электронный адрес отправителя для объектов, перемещае­мых по протоколу SMTP.
Куда. IP-адрес компьютера, с которого запросили объект либо электронный адрес получателя для объектов, пере­мещаемых по протоколу SMTP.
Размер. Размер объекта
Статус. Статус, присвоенный объекту в результате антиви-
русной проверки: зараженный, вылеченный, подозри­тельный, защищенный/поврежденный (см. п. 7.1 на
стр. 61).
В резервном хранилище размещается копия объекта до того, как он был обработан Антивиру­сом. Поле Статус показывает состояние объекта после обработки.
Вирус. Имя обнаруженного вируса либо подозрительного программного обеспечения (заполняется только для объек­тов со статусом зараженный, вылеченный и подозри-
тельный).
Время обнаружения. Точная дата и время, когда был обнаружен Антивирусом Касперского.
Вы можете сортировать информацию в таблице по возрастанию или убыванию данных любого из столбцов.
в байтах.
объект
8.2. Фильтр резервного хранилища
Использование фильтров позволяет осуществлять поиск и структурировать представленную в резервном хранилище информацию, поскольку после применения фильтра доступной становится только информация, удовлетворяющая его параметрам. Это является весьма актуальным в связи с большим объемом хранящихся в резервном хранилище объектов. Фильтр может быть использован, например, для поиска объекта, который необходимо восстановить.
Для того чтобы создать фильтр резервного хранилища,
82 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
1. Выберите в дереве консоли папку Резервное хранилище и воспользуйтесь командой Новый фильтр контекстного меню или аналогичным пунктом в меню Действие. В результате открывается окно настройки фильтра (см. рис. 28).
Рисунок 28. Создание фильтра
2. Укажите имя, под которым фильтр будет входить в состав папки
Резервное хранилище.
3. Укажите значения параметров фильтра, по которым будет
осуществлен поиск (отбор) объектов в резервном хранилище. Вы можете указать значение любого числа параметров. Обязательным для ввода является только имя фильтра.
Для настройки параметров может использоваться следующая информация об объекте:
статус объекта (можно выбрать несколько значений);
протокол, при проверке которого был обнаружен объект.
Для отображения информации по всем протоколам, следует выбрать из раскрывающегося списка значение Любой;
IP-адрес источника, где размещен объект либо электрон-
ный адрес отправителя для объектов, перемещаемых по протоколу SMTP;
Резервное хранилище 83
IP-адрес компьютера, с которого запросили объект либо
электронный адрес получателя для объектов, перемещае­мых по протоколу SMTP.
HTTP-, FTP-адрес источника либо тема письма для объек-
тов, перемещаемых по протоколу SMTP;
временной интервал, в течение которого был обнаружен
объект.
4. По окончании настройки параметров фильтра нажмите на кнопку Применить или ОК. Чтобы
отказаться от создания
фильтра, нажмите на кнопку Отмена.
В результате в дереве консоли в папке Резервное хранилище соз­дается вложенная папка с именем фильтра. При выборе фильтра в дереве консоли в панели результатов отображается только инфор­мация, удовлетворяющая его критериям.
В дальнейшем вы можете изменить значения параметров фильтра или удалить фильтр
Для изменения параметров фильтра:
при помощи команд контекстного меню и меню Действие.
1. Выберите нужный фильтр в папке Резервное хранилище
дерева консоли и воспользуйтесь командой Свойства контекстного меню или аналогичным пунктом в меню Действие. В результате открывается окно настройки фильтра (см. рис. 29).
2. Внесите необходимые изменения в значения его параметров.
3. Чтобы изменения вступили в силу, нажмите на кнопку
Применить
или ОК. Для выхода без сохранения внесенных
изменений, нажмите на кнопку Отмена.
В результате информация, представленная в панели результатов, обновляется в соответствии с новыми значениями параметров фильтра.
Для удаления фильтра:
выберите необходимый фильтр в папке Резервное хранилище и воспользуйтесь командой Удалить контекстного меню или аналогич­ным пунктом в меню Действие.
В результате фильтр удаляется из папки Резервное хранилище.
84 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Удаление объектов из резервного хранилища при удалении фильтра не производится. Объекты, удовлетворявшие параметрам фильтра, по-прежнему доступны через папку Резервное хранилище.
Рисунок 29. Настройка фильтра
8.3. Восстановление объекта из резервного хранилища
Для восстановления объекта из резервного хранилища:
1. Выберите в дереве консоли папку Резервное хранилище.
2. В таблице, отображающей содержимое хранилища (см. рис. 27),
выберите объект для восстановления. Для поиска объекта вы можете использовать фильтр (см. п. 8.2 на стр. 81).
3. Откройте контекстное меню и воспользуйтесь командой
Получить файл или аналогичным пунктом в меню Действие
4. В результате выводится предупреждающее сообщение (см.
рис. 30) с запросом на продолжение операции. Для восстановления объекта нажмите на кнопку Да.
.
Резервное хранилище 85
5. В открывшемся окне (см. рис. 31) укажите каталог, в котором будет сохранен восстановленный объект и, если это необходимо, введите или измените имя объекта.
Рисунок 30. Подтверждение восстановления объекта
Рисунок 31. Восстановление объекта из резервного хранилища
В результате объект перемещается из резервного хранилища в ука­занный каталог и сохраняется под заданным именем. Восстановлен­ный объект будет иметь тот же формат, с каким объект поступил на обработку Антивирусу Касперского. После успешного восстановления объекта на экран компьютера выводится соответствующее уведом­ление.
86 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Рекомендуем вам восстанавливать только объекты со статусом: подозрительный и защищен­ный/поврежденный. При повторной проверке, напри­мер, Антивирусом Касперского для Windows Workstations с использование обновленной версии антивирусных баз объект может быть вылечен или в нем обнаружен ранее неизвестный вирус.
Восстановление других объектов может привести к зара­жению вашего компьютера.
8.4. Удаление объекта из резервного хранилища
Из резервного хранилища автоматически удаляются следующие объекты:
объекты, срок хранения которых закончился;
наиболее старые объекты, если достигнут максимальный размер
хранилища и для размещения нового объекта недостаточно места. При этом будет удалено столько старых объектов, сколько потребу­ется для освобождения нужного объема.
Предусмотрена также возможность удаления объекта из резервного хранилища восстановленных объектов, а также для принудительного освобождения резервного хранилища, если не подходят автоматические способы удаления объектов.
вручную. Она может быть полезна для удаления успешно
Чтобы удалить объект из резервного хранилища вручную,
1. Выберите в дереве консоли папку Резервное хранилище.
2. В таблице, отображающей содержимое хранилища (см.
рис. 27), выберите объект для удаления. Для поиска объекта вы можете использовать фильтр (см. п. 8.2 на стр. 81).
3. Откройте контекстное меню и воспользуйтесь командой Удалить или аналогичным пунктом в меню Действие
В результате объект удаляется из таблицы, отображающей содержимое резервного хранилища.
.
Резервное хранилище 87
8.5. Настройка параметров резервного хранилища
Резервное хранилище создается при установке компонента Сервер безопасности. Значения параметров хранилища определяются по умолчанию и могут быть изменены администратором.
Чтобы изменить значения параметров резервного хранилища,
1. Выберите в дереве консоли папку Резервное хранилище.
2. Откройте контекстное меню и воспользуйтесь командой Свойства или аналогичным пунктом в меню Действие.
3. В открывшемся окне Свойства: Резервное хранилище (см.
рис. 32) установите необходимые значения параметров.
Рисунок 32. Настройка параметров резервного хранилища
В поле Максимальный размер хранилища укажите макси­мальный суммарный объем объектов, которые могут храниться в резервном хранилище. По умолчанию он составляет 1024 MБ.
88 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
В поле Максимальное время хранения объекта установите максимальный срок хранения объектов в резервном хранили­ще в днях. По умолчанию предлагается 30 дней.
4. Чтобы изменения вступили в силу, нажмите на кнопку Применить или ОК. Для выхода без сохранения внесенных изменений нажмите на кнопку Отмена.
Восстановить значения параметров, предусмотренные по умолча­нию, вы можете при помощи кнопки Восстановить значения по
умолчанию.

ГЛАВА 9. ОТЧЕТЫ

Антивирус Касперского предоставляет возможность получать отчеты о результатах антивирусной проверки трафика.
Отчет содержит информацию, зафиксированную в течение заданного отчетного периода, и предоставляет сведения:
общие результаты проверки:
общее количество проверенных объектов;
суммарный размер проверенных объектов (в байтах);
об обнаруженных вредоносных объектах;
об источниках зараженных объектов;
о производительности антивирусной проверки:
средняя скорость проверки (объектов в секунду);
средняя скорость проверки (байт в секунду);
максимальная достигнутая скорость проверки.
Отчет формируется автоматически, в соответствии с расписанием или по запросу и сохраняется виде html-страницы в каталоге хранения отчетов. Имя файла отображает дату и время создания отчета и имеет <ДД.ММ.ГГГГ ЧЧ-ММ-СС>. Антивирус Касперского предоставляет возможность настроить уведомление о результатах формирования отчетов (см. Глава 12 на стр. 110).
Хранилищем отчетов на сервере по умолчанию является каталог Reports. Он создается в каталоге данных приложения. В качестве хранилища отчета может быть задан любой другой каталог по выбору администратора п. 9.2 на стр. 93). Срок хранения отчетов на сервере и размер хранилища отчетов не ограничены. Удаление отчетов осуществляется вручную через файловую систему.
Для просмотра отчетов используется браузер, установленный в системе по умолчанию (см. п. 9.3 на стр. 95).
Отчеты создаются на основании сформированных администратором шаблонов отчетов. В шаблоне задаются: отчетный период, расписание создания отчета и каталог хранения.
формат
(см.
90 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Шаблоны отчетов размещаются в служебной папке Шаблоны отчетов. Данная папка входит в состав каждого узла, отображающего управляемый сервер.
Перечень сформированных шаблонов отчетов отображается в панели результатов в виде таблицы (см. рис. 33).
Рисунок 33. Папка Шаблоны отчетов
Для каждого шаблона таблица помимо имени содержит следующую информацию:
Статус: статус отчета, формируемого по шаблону.
Ожидается: дата и время создания очередного отчета по расписа-
нию либо по требованию, если автоматическое формирование от­чета отключено.
В зависимости от того, на каком этапе находится создание отчета, статус отчета может иметь одно
из следующих значений:
создается с <дата и время создания отчета по расписанию>;
создан <дата и время создания отчета>;
не создавался;
ошибка;
ошибка создания в <дата и время возникновения ошибки>.
Подробно с параметрами шаблона отчета можно ознакомиться, вызвав окно его настройки при помощи команды контекстного
меню Свойства (см. п. 9.2
на стр. 93).
Администратор может создавать новые шаблоны, просматривать и редактировать параметры существующих, переименовывать и удалять их при помощи команд контекстного меню.
Отчеты 91
9.1. Получение отчета
Для получения отчета о результатах антивирусной проверки:
1. Создайте шаблон отчета (см. п. 9.2 на стр. 93) или выберите
существующий.
2. Установите флажок Формировать отчет на закладке Общие
окна настройки шаблона отчета (см. рис. 35).
В результате, в соответствии с заданной в расписании периодичностью формируется отчет.
Чтобы ознакомиться с результатами антивирусной проверки, следует про­смотреть отчет за соответствующий отчетный период (см. п. 9.3 на стр. 95).
Предусмотрена возможность получения отчета по запросу, вне установлен­ного расписанием времени, что может быть полезным для получения опе­ративной информации, например, в периоды вирусных эпидемий.
Для получения отчета о результатах антивирусной проверки по запросу:
1. Выберите в дереве консоли папку Шаблоны отчетов.
2. В таблице, отображающей перечень сформированных
шаблонов (см. рис. 33), выберите необходимый шаблон отчета.
3. Откройте контекстное меню и воспользуйтесь командой
Сформировать отчет или аналогичным пунктом в меню Действие.
Отчет будет создан, только если формирование по шаб­лону отчета включено: установлен флажок Формировать
отчет на закладке Общие окна настройки шаблона отчета (см. рис. 35).
Отчет формируется на основании сохраняемой приложением информации о результатах антивирусной проверки. Для уменьшения объема информации может быть ограничен срок ее хранения. По умолчанию он составляет один
Объем выводимой в отчетах информации об источниках зараженных объектов и об обнаруженных вредоносных объектах ограничен и не может превышать 10 строк. Предоставляется информация о десяти наиболее
год.
92 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
зараженных источниках и первые десять по количеству обнаружений типов вредоносных объектов.
Чтобы ограничить срок хранения информации о результатах антивирусной проверки,
1. Выберите в дереве консоли папку Шаблоны отчетов.
2. Откройте контекстное меню и воспользуйтесь командой
Свойства или аналогичным пунктом в меню Действие.
3. В открывшемся окне Свойства: Шаблоны отчетов (см.
рис. 34):
установите флажок Хранить отчетную статистику.
укажите период хранения информации и
выберите единицу
измерения времени.
Рисунок 34. Настройка параметров отчета
4. После внесения изменений, чтобы новые значения параметров
вступили в силу, нажмите на кнопку Применить или ОК. Изменение значений произойдет в течение часа с момента применения. Для выхода без сохранения нажмите на кнопку
Отмена.
Отчеты 93
9.2. Создание шаблона отчета
Для создания нового шаблона отчета:
1. Выберите в дереве консоли папку Шаблоны отчетов.
2. Откройте контекстное меню и воспользуйтесь командой Новый
шаблон отчета или аналогичным пунктом в меню Действие.
3. В результате открывается окно настройки шаблона отчета
<Новый шаблон отчета> (см. рис. 35), состоящее из закладок Общие и Параметры. Установите нужные значения для
параметров, представленных на закладках.
На закладке Общие (см. рис. 35) выполните следующие дейст­вия:
Рисунок 35. Шаблон отчета. Закладка Общие
Введите имя шаблона в поле Имя.
Укажите, будут автоматически формироваться отчеты на
основании данного шаблона или нет. Для этого установите или снимите флажок Формировать отчет.
94 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Если необходимо, введите более подробное описание от­чета, который будет создаваться по шаблону, в поле Опи-
сание.
Укажите путь к каталогу, в котором сформированные отче­ты будут сохраняться. По умолчанию это каталог Reports, расположенный на сервере в каталоге данных приложения. Вы можете указать другой каталог вручную. Если каталога с таким именем не существует, он будет создан приложени­ем.
На закладке Параметры (см. рис. 36) укажите отчетный период и установите параметры расписания создания отчета.
Рисунок 36. Шаблон отчета. Закладка Параметры
При установке отчетного периода вы можете выбрать один из вариантов:
o указать продолжительность временного интервала. В
этом случае в отчете будет представлена информация за указанный период, начиная с даты и времени созда­ния отчета. Для этого в группе полей Отчетный период выберите вариант За последние и укажите величину интервала и единицу измерения времени (часы, дни, недели, месяцы).
o определить точные даты начала и конца отчетного пе-
риода. Для этого в группе полей Отчетный период вы-
Отчеты 95
берите вариант За период и установите необходимые даты в полях С и по.
Для создания расписания в разделе Периодичность:
o Выберите частоту формирования отчета: Ежедневно, В
указанные дни недели или Ежемесячно, указанного числа. Настройте параметры расписания, в соответст-
вии с выбранной периодичностью.
o Определите, в какое время будет запускаться создание
отчета в поле Время создания.
4. По окончании настройки параметров нажмите на кнопку Применить или ОК.
В результате:
Шаблон отчета добавляется в папку Шаблоны отчетов и отобража- ется в таблице панели результатов.
Если на закладке Общие установлен флажок Формировать отчет, на основании время и с установленной периодичностью. Отчет может быть также создан по запросу администратора.
шаблона формируется отчет в заданное расписанием
9.3. Просмотр отчета
Для просмотра отчета через файловую систему:
1. Зайдите в каталог размещения отчетов. По умолчанию это каталог Reports, расположенный на сервере в каталоге данных приложения.
2. Выберите и запустите htm-файл с именем, соответствующим дате и времени создания отчета в формате <ДД.ММ.ГГГГ ЧЧ-
ММ-СС>.
В результате загружается браузер, установленный В главном окне браузера представлен отчет о результатах антивирусной проверки (см. рис. 37). Сразу после загрузки отчет отображает общие результаты проверки. Отчетный период указан в заголовке.
в системе по умолчанию.
96 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
Рисунок 37. Просмотр отчета. Общие результаты проверки
В левой части отчета отображается перечень разделов – оглавление, в правой части – заголовок и содержание выбранного раздела.
Для просмотра раздела следует выбрать его в оглавлении, в результате содержание раздела загружается в правой части экрана.
Для просмотра отчета через Консоль управления:
1. Выберите в дереве консоли папку Шаблоны отчетов.
2. В таблице, отображающей перечень сформированных шаблонов (см. рис. 33), выберите необходимый шаблон отчета.
Отчеты 97
3. Откройте контекстное меню и воспользуйтесь командой
Просмотреть отчет или аналогичным пунктом в меню Действие.
4. В результате на экран будет выведен последний из сформированных по выбранному шаблону отчетов. Просмотр реализован с помощью браузера, установленного в системе по умолчанию.
Если по шаблону не было сформировано ни одного отчета, вы­водится информационное сообщение
(см. рис. 38). В этом слу­чае сформируйте отчет и повторно вызовите его на просмотр через консоль.
Рисунок 38. Сообщение о том, что по шаблону отчет не создавался
ГЛАВА 10. ЖУРНАЛЫ
СОБЫТИЙ ПРИЛОЖЕНИЯ
Антивирус Касперского позволяет проводить полную диагностику своей работы и регистрировать зафиксированные события в журнале приложений операционной системы Microsoft Windows и собственных журналах приложения.
Полнота информации, выводимой в журналы, зависит от установленных в параметрах приложения уровней диагностики (см. п. 10.1 на стр. 99).
Просмотр событий, зарегистрированных в журнале приложений Windows, осуществляется при помощи стандартного приложения Microsoft Windows
Просмотр событий
прописывается строка Kav4Cpf1.
Для корректного отображения событий, зарегистрированных в журналах, необходимо чтобы в параметрах приложения Microsoft
Windows Язык и региональные стандарты в качестве Языка программ, не поддерживающих Юникод был выбран язык, сов-
падающий с языковой версией Антивируса.
В приложении предусмотрено два типа журналов: журнал работы приложения и журнал результатов антивирусной проверки. В зависимости от типа
Новый файл журнала по умолчанию создается раз в неделю. Срок хранения файлов не ограничен, однако, ограничено количество файлов журналов одного типа, журнала, если установленное ограничение превышено, удаляется наиболее старый файл журнала такого же типа. Периодичность создания файлов
файлы журналов имеют следующую структуру имен:
Kav4Cpf1_ДАТА.log – журнал Антивируса Касперского, содержащий
информацию о работе приложения в заданном вами объеме на оп­ределенную дату. В качестве ДАТА в названии файла приводится дата его создания в формате ГГГГММДД. Например:
Kav4Cpf1_20050410.log.
В случае если в момент дополнения журнала он будет, например, открыт го сформирует новый файл с дополнительным постфиксом к его имени. Например: Kav4Cpf1_20050410_1.log.
virusДАТА.log – журнал Антивируса Касперского, включающий инфор-
мацию о результатах антивирусной проверки.
по умолчанию не более трех. При создании нового файла
. В графе Источник для Антивируса Касперского
администратором на редактирование, Антивирус Касперско-
Журналы событий приложения 99
журналов и ограничение на их количество могут быть изменены (см. п. 10.2 на стр. 101).
Запись информации в журнал событий Антивируса Касперского производится в конец самого нового файла. Размер журналов не ограничен.
Просмотр журналов событий Антивируса Касперского осуществляется через файловую систему.
Хранилищем журналов по умолчанию является каталог Logs. Он создается на сервере в Сервер безопасности. В качестве хранилища журналов может быть задан любой другой каталог по выбору администратора (см. п. 10.2 на стр. 101).
Настройка параметров журналов Антивируса Касперского осуществляется на закладке Диагностика окна настройки параметров приложения Общие параметры (см. рис. 39). Чтобы открыть окно, следует воспользоваться гиперссылкой Общие параметры
каталоге данных приложения при установке компонента
.
10.1. Настройка уровня диагностики
Для каждого компонента программы предусмотрен набор диагностических сообщений, выводимых в журналы. Объем и полнота информации определяется установленным для группы сообщений уровнем диагностики.
Предусмотрены следующие уровни диагностики:
Не выводить: не записывать в журналы никакой информации.
Минимальный: фиксировать в журналах только основные события.
Средний: записывать, помимо основных событий, ряд дополнитель
ных, характеризующих работу Антивируса детально.
Максимальный: выводить в журналы максимально полную инфор­мацию о работе модуля, за исключением отладочных сообщений.
Отладочный: записывать в журналы всю информацию, в том числе и отладочную.
-
Для настройки уровней диагностики:
1. Выберите в дереве консоли узел, соответствующий нужному серверу, и воспользуйтесь гиперссылкой Общие параметры панели результата.
в
100 Антивирус Касперского 5.5 для Check Point™ FireWall-1®
2. В открывшемся окне Общие параметры выберите закладку Диагностика (см. рис. 39).
Рисунок 39. Закладка Диагностика
3. На закладке в разделе Уровни диагностики для компонентов
системы представлена таблица. В левой части таблицы приведены все компоненты, входящие в состав программы. В правой части таблицы отображаются группы диагностических сообщений, предусмотренные для выбранного компонента, и уровень диагностики для каждой из них.
В журнал результатов антивирусной проверки записыва­ются только диагностические сообщения группы Резуль­таты проверки для компонента Фильтры. В журнале работы приложения сообщения этой группы не регистрируются.
Выберите в левой части таблицы компонент, после этого в правой части - нужную группу диагностических сообщений. Ус­тановите необходимый уровень диагностики при помощи рас­крывающегося
списка.
Определите нужные уровни диагностики для каждого компо­нента программы. Вы можете установить уровень диагностики одновременно для всех или нескольких компонентов, выбрав их при помощи клавиш <Shift> и <Ctrl+ Shift> или мышью.
Loading...