Как защитить компьютеры от вирусов

Как известно, профилактика дешевле, чем лечение. Правда, за неё надо платить деньгами и какими-то ограничениями в действиях пользователей. Наверное, именно желание сэкономить на такой профилактике и способствует распространению вирусов и далее, как следствие, приводит к достаточно большим финансовым и сопутствующим потерям. Я расскажу о том, как можно избежать заражения вирусами и минимизировать риски от последствий такого заражения. Давайте рассмотрим организацию защиты от компьютерных вирусов на примере сети небольшого офиса, компьютеры которого работают под управлением Windows.

Идеальный с точки зрения заражения вирусом и риска потери данных офис выглядит следующим образом:

  • Компьютеры объединены в одноранговую сеть.
  • Пользователи могут заходить на все компьютеры под своими или чужими учётными записями.
  • Рабочие данные размещены хаотично на всех компьютерах на "Рабочих столах" пользователей и локальных дисках.
  • На компьютерах отдельные локальные папки или локальные диски имеют общий для всех компьютеров сети доступ с полными правами.
  • Все пользователи имеют неограниченный доступ в интернет.
  • Любой пользователь может по своему желанию подключать к любому компьютеру любой внешний носитель.
  • Пользователи имеют права администратора и могут устанавливать по своему желанию любые программы.
  • На компьютерах нет антивирусной защиты, брандмауэр отключен.
  • Рабочие данные не архивируются, страховые образы системных дисков компьютеров отсутствуют.

Если хоть один из перечисленных пунктов относится к вашему офису - у вас рано или поздно будут проблемы. В худшем случае такой офис без проблем может просуществовать несколько минут, в лучшем - пару недель или даже месяцев. Но для фирмы результат одинаков - прямые и косвенные убытки по различным причинам от потери данных. Это не страшилка, это факт. Вас интересует, как этого избежать? Тогда читайте дальше, эта статья для вас.

Вирус может проникнуть в компьютер следующим образом:

  1. Через посещение инфицированного сайта
  2. Через открытие файла, скачанного с вредоносного сайта
  3. Через открытие файла, полученного по электронной почте
  4. Через подключенный к компьютеру внешний носитель информации - флешку, телефон, фотоаппарат, жёсткий диск
  5. Занесением вируса на компьютер злоумышленником из внешней сети

Чтобы блокировать перечисленные пути проникновения, защита вашей сети должна быть организована на трёх уровнях - аппаратном, программном и организационном. Рассмотрим подробно каждый из них.

Аппаратная защита

Для малого офиса это - интернет-маршрутизатор. С его помощью даже с настройками по умолчанию ваша сеть уже защищена от внешнего проникновения, сетевых сканеров и DDoS атак. Злоумышленник не сможет через интернет зайти в вашу сеть и получить доступ к общим сетевым ресурсам. При дополнительных настройках маршрутизатора можно ограничить доступ сотрудников к определённым вирусным сайтам вроде Одноклассников, Вконтакте, YouTube и т.п. или, наоборот, разрешить им доступ только на определённые сайты, необходимые для работы. Можно также организовать достаточно безопасный удалённый доступ на компьютеры офиса из любой точки мира, что бывает удобно в командировке.

Как показывает практика, при наличии интернет-маршрутизатора не нужно включать брандмауэр Windows на рабочих станциях, что снижает нагрузку на операционную систему рабочей станции. Функции брандмауэра берёт на себя интернет-маршрутизатор.

Программная защита

К средствам программной защиты относятся антивирусы и другие программы, препятствующие проникновению вирусов и прочих зловредных программ на компьютер. При наличии описанной выше аппаратной защиты более чем достаточно "чистого" антивируса, а не программных комплексов типа Endpoint protection или Internet Security. Это будет и раза в два дешевле для бюджета, и компьютер не будет тормозить, т.к. при этом экономятся его ресурсы. Даже с настройками по умолчанию антивирус работает очень эффективно.

Упомянутые же программные защитные комплексы требуют как первичной профессиональной настройки, так и последующей более тонкой корректировки под нужды пользователя. Причём неграмотные действия пользователя в ответ на предложения программы что-то настроить или заблокировать могут полностью остановить её работу, как защитника системы. Я рекомендую в качестве антивируса ESET NOD32 Антивирус. Эта проверенная годами программа обеспечивает проактивную защиту от всех типов угроз, защищает от шпионского программного обеспечения (ПО) и интернет-мошенников, распознает и блокирует фишинговые сайты, повышает уровень безопасности в социальных сетях, блокирует эксплойты и защищает от программ-вымогателей, контролирует подключаемые USB-устройства. Она также интегрируется с почтовыми клиентами Windows и почтовой программой Thunderbird. Т.е. если даже на почтовом сервере нет антивируса или он был им пропущен, письмо с вирусом на компьютере пользователя будет проверено антивирусом NOD32 и вирус будет удалён, о чем в теме письма будет дополнительно сообщено. Это - не реклама, это - практика.

Есть ещё одна программа, которую я не ставлю обязательно, но которую использую в качестве дополнительного средства очистки компьютера от вредоносных программ. Она называется Malwarebytes Anti-Malware. Если есть подозрение на вирус, но антивирус ничего не находит, можно установить эту программу и просканировать ею компьютер. После проверки компьютера лучше удалить эту программу, чтобы она не тратила ресурсы компьютера. Эта парочка меня всегда выручает в любой вирусной ситуации.

Организационная защита

Пренебрежение этой защитой может полностью обесценить предыдущие две. Но именно ей чаще всего и пренебрегают, именно бреши в этой защите наносят самый большой ущерб компании. Что сюда входит? Разработка, контроль и соблюдение требований к пользователям при работе за компьютерами, описание разрешённых и запрещённых действий пользователей, регламентация используемого ПО на основе перечня разрешённого программного обеспечения, описание типовых настроек программ, алгоритмы действий при возникновении нештатных ситуаций, правила размещения и хранения данных пользователей и баз данных и т.п.

Это должно регламентироваться нормативными документами компании - приказами, инструкциями, которые должны периодически пересматриваться и обновляться. Лучше всего, если бы на этапе приёма на работу сотрудники знакомились под роспись с соответствующими нормативными документами. Системный администратор должен периодически проверять исполнение соответствующих инструкций и отчитываться перед руководителем.

К организационной защите относится и требование размещения рабочих файлов только на сетевых дисках сервера. Никаких "Рабочих столов" и локальных дисков! К защите данных от повреждения и удаления вирусами можно отнести и наличие выделенного сервера с развёрнутой AD. Даже если у вас в компании всего три компьютера, наличие выделенного сервера сильно обезопасит ваши данные от повреждения, хищения или уничтожения. Затраты на его приобретение обязательно окупятся.

Какие преимущества появляются в компании при наличии выделенного сервера? С помощью AD и групповых политик можно установить права пользователей - разрешить работать только на своём компьютере, иметь доступ только к определённым сетевым дискам, видеть только те папки, которые им нужны для работы, иметь определённый доступ только к тем файлам и папкам, которые им необходимы, размещать на сети только файлы определённых типов, отключить автозапуск внешних носителей и многое другое, что невозможно сделать в одноранговой сети даже с выделенным сервером.

Кроме того, при наличии выделенного сервера можно даже сэкономить на мощности рабочих станций, сделав их терминальными и организовав работу пользователей на сервере через терминальный доступ. Расстояние от пользователя до сервера при этом не имеет значения. Конечно, соответственно возрастут и требования к аппаратным ресурсам сервера. Идеально-оптимальным для очень бюджетного офиса будет конфигурация, состоящая из сервера, на котором развёрнуты AD, DNS и DHCP, и сервера данных, на котором находятся файлы пользователей и базы данных.

Важно понимать, что сервер - это именно сервер и только сервер. Его нельзя рассматривать как дополнительную рабочую станцию, за которую можно посадить ещё одного клерка! Сервер - это сердце вашей компьютерной системы. Если выйдет из строя компьютер пользователя, выйдет из строя только один пользователь. Он может временно поработать за другим компьютером, вместе с другим сотрудником. Если же из-за деструктивных неграмотных действий пользователя выйдет из строя сервер - может остановиться работа всей фирмы, а именно этого нам и надо избежать. Кстати, при наличии работающей сети серверу даже не надо монитора, мыши и клавиатуры - с ним можно работать удалённо. Грамотный сисадмин так и делает.

К антивирусной защите, точнее, к устранению деструктивной деятельности вирусов, можно отнести и архивирование рабочих данных, а также создание страховых образов дисков компьютеров и серверов. Я писал уже об этом здесь и здесь. Необходимость этого понимают все грамотные руководители, а также большинство не очень грамотных (но не все, как ни странно!) из тех, кто уже один раз потерял данные работы всей компании без возможности их восстановления, потому что решил сэкономить и не заниматься архивированием. Для обеспечения архивирования и повышения эффективности работы необходимо размещать рабочие файлы и базы данных на сетевых дисках серверов. При этом рабочие станции могут быть выключены, что позволит архивировать данные в нерабочее время.

В конечном итоге выполнение и соблюдение описанных методов защиты при некоторых начальных затратах обеспечит надёжную и экономически эффективную работу офиса с временем восстановления данных в случае их потери от 10 минут (восстановление файла) до максимум одного дня (восстановление баз данных и систем). И уже дело руководителя - посчитать, что ему выгоднее.

Александр Рыкунин

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя VladB

"Как показывает практика, при наличии интернет-маршрутизатора не нужно включать брандмауэр Windows на рабочих станциях, что снижает нагрузку на операционную систему рабочей станции. Функции брандмауэра берёт на себя интернет-маршрутизатор."

Естественно, о случаях сетевых атак с одной станции на другую в пределах одной сети автор не слышал? Кстати, именно в данном случае продукты класса Internet Security будут куда эффективнее. Стоит также учесть, что IS это не только антивирус с межсетевым экраном.
Честно? После подобного заявления желание читать далее просто пропало.

Аватар пользователя Al

"После подобного заявления желание читать далее просто пропало" - Это написано не для вас, Влад, экспертов-теоретиков, а для практиков, для тех, кто действительно работает в малых офисах. И за более чем 11 лет применения на практике описанных в статье советов у меня не было ни одного проникновения вирусов в сеть, соответственно не было по этой причине потери данных пользователей со всеми вытекающими положительными последствиями.

Если у вас есть реальный опыт практического внедрения Internet Security, средств которого, по вашим словам, более чем достаточно для обеспечения сохранности данных в малом офисе и для комфортной работы пользователей - с интересом ознакомлюсь, когда вы напишите об этом.

"После подобного заявления желание читать далее просто пропало" - Однако это не помешало вам, не читая всей статьи, поставить ей минус. Весьма в вашем стиле. Но весьма непорядочно. Хотя, если уж вы ставите плюсы СВОИМ сатьям... ))))

Аватар пользователя savely

Тут поддержу al'а. Он описывает вполне конкретную сеть небольшого офиса. В ней вероятность описываемой атаки невелика. Хотя опять же - хозяин-барин. Не хочешь - не выключай. Ну, и не забываем, что защита должна все же стоить дешевле защищаемых данных. :)))

Хотя, IS полезен в плане защиты от "брождения в Инетах", но al предлагает давить это оргмерами (хотя они и описаны в Аппаратной защите). Аттачи в почте прикроет и обычный антивирь, насколько я помню (да и почитал про NOD32 AV).

Да и Вам ли, Влад, не знать, каких успехов достиг MS (даже с отключенным файрволом) ;)

Аватар пользователя Al

NOD32 AV также всегда защищает меня от нехороших сайтов и попыток атак с них. Или блокирует к ним доступ (с возможностью всё равно открыть сайт на свой риск), или блокирует атаку на компьютер, если какой-то скрипт пытается ломануть компьютер с этого сайта. Делайте выводы. А я их уже сделал, проверил годами и написал об этом. Учитесь на чужих ошибках.

Аватар пользователя mike

Да ладно вам, парни. Погорячился Влад. Всего-то. А это правда, что статьи свои плюсовал? Не навет?

Аватар пользователя Al

Точно. Я даже помню его ответ - "Если статья мне нравится - я её плюсую!" - ну примерно такой смысл. ))

Аватар пользователя mike

Нет, свою статью плюсовать неэтично. Но полагаю, что Влад имел в виду чужие статьи. Влад, вы плюсовали свои статьи?

Аватар пользователя VladB

Ну-у-у. Говорить мы все мастера. Особенно тут.
Впрочем, по поводу теоретика. За плечами - руководство отделом ИБ крупного процессингового центра, работа в СБ одного из крупнейших банков Украины :), крупный снова таки системный интегратор, большая компания с порядка 10 000 ПК
Ах, что еще забыл? Аспирантура по кафедре ИБ.

Ну это ведь мелочь, правда? Ну и преподавание в университете, это так, напоследок.

PS
Это все ерунда. Что все же вы будете делать если атака будет не снаружи, а изнутри? С одного из ПК вашей одноранговой сети? Впрочем, не одноранговой тоже. Советую прежде чем возмущаться почитать рекомендации вендора. Того же Microsoft. Или это уже не ваш уровень? Тоже теоретики? 

Аватар пользователя VladB

Продолжим разбор далее

>>Системный администратор должен периодически проверять исполнение соответствующих инструкций и отчитываться перед руководителем.

Простите, но это не его дело. Для этого, если уж организация дозрела до этого уровня, выделяется другая должность - специалист по информационной безопасности. Именно он разрабатывает такие документы и следит за их выполнением.

>> К организационной защите относится и требование размещения рабочих файлов на сетевых дисках сервера.

На самом деле это скорее техническое решение. И решается техническим путем, а пользователям уже потом доводится под роспись. чисто организационно этого добиться нельзя

>> Даже если у вас три компьютера...
Странно, Microsoft рекомендует выделенный сервер от 10 рабочих ПК. Но автору, безусловно, виднее. Вероятно он работает в компании, продающей сервера?
Или вы предлагаете контролер домена разместить в облаке?

Аватар пользователя Al

Влад, я не пойму - вам просто категорически не нравится то, что делается не так, как вы привыкли? Ещё раз говорю - не надо советовать там, где вы не специалист-практик. Это не ваша целевая аудиторя. Вот ваши же высказывания:

Я не администратор уже давно. До 2000 года сисадмин, после - вначале администратор информационной безопасности, с 2006 года - аналитик ИБ.

Я не имею опыта работы в маленьких компаниях. Самая маленькая в которой я работал - более 500 ПК.

Я уже давно не совсем ИТ-шник. Я специалист по ИБ, аналитик. Потому пишу прежде всего на темы ИБ, стараюсь чтобы это было интересно и полезно другим, но в первую очередь интересно мне самому. Меня уже давно, собственно на работе не интересует как именно, с помощью какого ПО будет выполнено мое требование. Мое дело указать на само требование. А как его выполнять - дело ИТ.

Страницы