Наверно, самое нудное занятие в повседневной работе администраторов безопасности — это установка “заплат” для приложений и операционных систем. Растущая популярность технологий виртуализации только усугубляет дело.
Увеличилось и количество вредоносных программ. Сегодня это не безобидное неудобство — это реальная угроза персональным, корпоративным данным и данным заказчиков, не говоря уж о последствиях, которые могут быть просто катастрофическими.
Большинство компаний пытаются справиться с угрозами, воздвигая мощную оборону из межсетевых экранов, шлюзов и средств защиты точек подключения к сети. Но если случилось худшее, то проще переформатировать диск и переустановить ПО, чем стараться вычистить систему и заново сконфигурировать её. И ведь после этого нужно вновь установить все “заплаты”.
Shavlik NetChk Protect 7 легко решает обе эти задачи, предлагая единый агент для каждой физической или виртуальной машины, а также одну консоль управления. В целом он значительно облегчает работу, но есть и ряд досадных недостатков.
Эта программа — прекрасный продукт для управления установкой “заплат” и защиты клиентских машин от вредоносного ПО с очень дружественной консолью управления. Однако функции защиты не до конца интегрированы в административную консоль, и есть ряд недоработок в пользовательском интерфейсе.
Консоль управления функционировала устойчиво функционировала на рабочей станции с Vista Ultimate 64, на которой я проводил бóльшую часть тестирования. Однако на тестовой машине с Windows Server 2003 EE, которой я пользовался поначалу, у меня возникли проблемы с обновлением результатов сканирования, а также некоторые проблемы со стабильностью.
Оказывается, существует требование, на которое я не обратил внимание, знакомясь с документацией. Административная консоль не может работать на контроллере домена. Когда я позвонил в службу технической поддержки, чтобы сообщить о возникших проблемах, меня проинформировали: “SID [идентификатор защиты] машины перестает действовать. Когда машина становится контроллером домена [DC], она отменяет свой SID и берет SID домена. На текущий момент мы включили требование не устанавливать консоль на DC”.
Из-за этого я не смог тестировать продукт на Windows Server 2003. Я терял конфигурации агентов, и установка “заплат” внезапно прекращалась. Это требование слишком важное, чтобы быть зарытым где-то в руководстве, но формально я не мог придраться, потому что оно там было. Наверное, имеет смысл, чтобы программа-инсталлятор проверяла, не устанавливается ли пакет на контроллер домена, или даже сама программа могла бы проверять это при запуске. Любой вариант будет лучше, чем отказ каждые несколько минут.
Установка пакета прошла вполне гладко. “Мастер” установки проверил мой сервер на соответствие требованиям (кроме одного: не является ли он контроллером домена), затем загрузил и установил нужные компоненты. При первом запуске “мастер” дал мне возможность импортировать старые шаблоны сканирования и сконфигурировать автоматическую отправку результатов по почте.
Удобная консоль управления
Графический интерфейс консоли управления в высшей степени дружествен. Домашняя страница показывает сводную статистику для подконтрольных машин, в правой колонке — RSS-каналы новостей для “заплат”, а вверху — типичные задачи, такие как “Scan My Machine” и “Scan My Domain”. Левая колонка содержит кнопки для управления политиками агента, шаблонами заплат и шаблонами их установки, а также несколько удачных новшеств.
Любое задание можно сохранить, щелкнув на нем правой кнопкой мыши и выбрав “Send to Favorites”; при повторении достаточно одного щелчка. Последние сканы, отчеты и установки “заплат” перечислены, как предыстория в браузере, в разделе “Recent Items”.
Возможности управления “заплатами” просто фантастические. Продукт настолько зрел, что службы WSUS (Windows Server Update Services) кажутся детской игрушкой. Чрезвычайно просто сконфигурировать консоль, чтобы проверять наличие новых патчей, загружать их, сканировать машины на предмет отсутствия обновлений и устанавливать необходимые обновления с учетом их критичности.
Можно сконфигурировать любую вариацию этого процесса, в том числе систему иерархического распределения по серверам, комбинируя опции Patch Scan Templates, Patch Groups, Machine Groups и Deployment Templates.
Сканирование без агентов — хороший способ быстро оценить, что происходит в вашей сети, но для полной функциональности всё же лучше установить агент. Его можно послать с консоли, установить через сценарий регистрации либо вручную.
Установка “заплат” на виртуальные машины также максимально упрощена. Достаточно выбрать в консоли vmx-файлы, указать необходимые права — и Protect 7 просканирует виртуальные машины и установит на них “заплаты” так же, как на физические. На самом деле продукт не делает различия между физической и виртуальной машиной. У такого подхода есть единственный недостаток: если виртуальная машина изменит состояние питания между сканами, то консоль не сможет ее найти до следующего сканирования. Учитывая, что большинство “заплат” требуют перезагрузки после установки, необходимость вручную следить за состоянием питания всех VM становится лишним бременем.
Важное новшество в версии NetChk Protect 7 — появление модуля защиты от вредоносного ПО Sunbelt VIPRE. В моих тестах эти функции защиты работали превосходно, хотя управление ими можно бы и улучшить. Я установил агент на машину с Windows XP Pro SP3, которая была переполнена вредоносным хламом. После запуска пакета всё (правда, кроме зловредного CoolWebSearch) было обнаружено и тут же отправлено на карантин, что никак не сказалось на устойчивости работы системы.
Я ввел ограничительную политику и затем попробовал свой обычный метод: загрузить и установить известные вредоносные программы. Из двадцати угроз установиться смогла лишь одна, но и она была удалена после перезагрузки. Хотя агент был сконфигурирован так, чтобы сканировать архивы (.zip), вирусы в архивах он не заметил. Но когда я попытался их открыть, защита была начеку. Сконфигурировав NetChk Protect 7 на рабочей станции, можете считать, что она в безопасности.
И все же кое-чего не хватало в защите от вредоносных программ. Возможно, я заметил это только потому, что так хорошо продуман каждый аспект установки “заплат”, а защита интегрирована не столь гладко.
Во-первых, нельзя ничего сделать с угрозой из консоли. Можно только задать политику, чтобы выполнить действие на машине, где запущен агент. Это сильно контрастирует с организацией управления “заплатами”, где достаточно щелкнуть кнопкой мыши — и “заплата” пойдет, куда нужно.
Во-вторых, изменения конфигурации, сделанные из агента (например, разрешение запуска определенной программы), не сообщаются на консоль и не могут корректироваться с её помощью.
В-третьих, наблюдалась задержка между сообщением об угрозах и их появлением в списке “Top 10 Threats” на домашней странице консоли. Я мог сканировать машину, найти угрозу и видеть, что она обнаружена, в отчете об угрозах, однако она не была зарегистрирована в консоли управления, пока я не закрывал ее и не открывал снова.
NetChk Protect 7 быстро генерирует информативные и легко читаемые отчеты. Моим единственным разочарованием оказалось то, что нельзя было получить общий отчет с детальной информацией о статусе “заплат” и угроз.
Пакет включает мощные функции уведомления по электронной почте и экспортирования отчетов. Можно щелкнуть правой кнопкой мыши на любом отчете и послать его разным получателям, или задать расписание, чтобы отчеты генерировались и отсылались автоматически. Особенно порадовало, что продукт позволяет отправлять почту с аутентификацией по SMTP.