Работа с вирусными инцидентами

Цель работы.

В работе рассматривается порядок действий администратора антивирусной защиты при обнаружении в сети вредоносного программного обеспечения.

Описание работы.

Для выполнения данной лабораторной работы нам понадобится тестовый файл EICAR, который доступен на сайте http://www.eicar.org/ по ссылке Download Anti Malware Test File. Его содержимое — эго строка символов, приведенная ниже.

Х50!Р%0АР[4PZX54(РА)7СС)7}$EICAR-STANDARD- ANTIVIRUS-TEST-FILE!$Н+Н*

Если эту строку поместить, например, в редактор Notepad и сохранить как файл с расширением *.сош, получим исполняемый файл для ОС MS-DOS, который при запуске выводит сообщение «EICAR- STANDARD-ANTIVIRUS-TEST-FILE!». Сигнатура этого файла для целей тестирования вносится в базы антивирусных продуктов.

При настройках по умолчанию резидентный антивирусный модуль Kaspersky Endpoint Security нс проверяет содержимое архивов. Поэтому на виртуальной машине NB1 в папке d: est_virus сохраним тестовый файл EICAR в заархивированном виде в формате *.zip, и этот же архив повторно заархивируем с помощью архиватора 7zip в формат *.7z.

Рассмотрим процесс настройки политики в части оповещения о выявленных вирусах. Через консоль администрирования откроем Политику защиты для группы Управляемые компьютеры (см. предыдущую лабораторную работу) и перейдем в раздел Дополнительные параметры -> Интерфейс (рис. 5.89).

Раздел политики, управляющий уведомлениями

Рис. 5.89. Раздел политики, управляющий уведомлениями

В секции Уведомления надо нажать кнопку Настройка, и откроется окно настройки уведомлений. Перейдем в секцию Файловый антивирус (рис. 5.90).

Настройка уведомлений на экране

Рис. 5.90. Настройка уведомлений на экране

По умолчанию информация о событиях записывается в журнал антивирусной программы и, в некоторых случаях, в журнал Windows. Пользователь о событиях не информируется. Чтобы это поведение изменить, для группы критических событий файлового антивируса установим отметку Уведомлять на экране.

Задание 1.

Не меняя настроек политики, на компьютере NB1 разархивируйте файл eicar.com. Установленный на компьютере антивирус должен удалить файл. Для пользователя файл как будто просто пропадает, без всяких сообщений. После этого на сервере администрирования измените действующую политику для Endpoint Security так, как это показано на рис. 5.90. Подождите минуту-две, пока политика применится на NB1, и повторите эксперимент. Что изменилось?

Настройка уведомлений на экране нужна в первую очередь для пользователя, потому что он увидит сообщение на своем мониторе. Для администратора можно настроить отправку уведомлений по электронной почте. Здесь тоже имеет смысл ограничиться только критическими событиями, иначе почтовый ящик будет быстро забит сообщениями. В окне, представленном на рис. 5.90, отметим для группы критических событий отправку уведомлений по почте. А в нижней части окна можно нажать кнопку Настройка почтовых уве- домлений и задать настройки для отправки сообщений (рис. 5.91).

Настройка уведомлений по электронной почте Задание 2

Рис. 5.91. Настройка уведомлений по электронной почте Задание 2.

Ознакомьтесь с настройкой отправки уведомлений по электронной почте. При наличии технической возможности выполните настройку и проверьте ее работу.

Заданная нами политика будет определять поведение клиентских компьютеров при отправке уведомлений. Но если компьютер не имеет доступа к почтовому серверу, то и уведомление иа почту администратора он не отправит.

Отправка уведомлений сервером администрирования настраивается через узел Отчеты и уведомления, вкладка Уведомления (рис. 5.92).

Настройка доставки уведомлений

Рис. 5.92. Настройка доставки уведомлений

Если перейти по ссылке Изменить параметры доставки уведомлений, то отроется окно (рис. 5.93), где можно указать реквизиты электронной почты или сконфигурировать запуск исполняемого файла. Там же можно задать шаблон для автоматически формируемого текста сообщения.

Задание 3.

Настройте сервер для отправки сообщений по электронной почте. При наличии технической возможности проверьте доставку сообщений.

Настройка параметров отправки

Рис. 5.93. Настройка параметров отправки

Отчет о вирусах

Рис. 5.94. Отчет о вирусах

С задачей, создающей по расписанию отчет об обнаруженных вирусах, мы уже работали в ходе выполнения предыдущей лабораторной работы. Быстро просмотреть отчет о текущем состоянии системы можно, перейдя на узел Отчеты и уведомления и раскрыв Отчет о вирусах, см. рис. 5.94. Из отчета можно получить информацию об обнаруженных вирусах, числе зараженных компьютеров, времени обнаружения и т. д. В частности, на рис. 5.94 видно, что на компьютере NB1 был несколько раз обнаружен тестовый файл EICAR.

Задание 4.

Сформируйте отчет о вирусах, ознакомьтесь с его содержимым.

Карантин

Рис. 5.95. Карантин

Как мы выяснили в ходе экспериментов, файлы, содержащие вирусы и прочее вредоносное ПО, если их нельзя сразу вылечить, удаляются с клиентского компьютера. Но эти файлы не нужно считать потерянными безвозвратно. В случае если в сети развернут Security Center, антивирус перемещает файл в одно из централизованных хранилищ. В Карантин (рис. 5.95) попадают файлы, которые аптивирус не может вылечить на момент обнаружения в них вируса. Если после очередного обновления станет известен способ излечения файла, то его можно будет восстановить и вернуть на компьютер.

В Резервное хранилище (рис. 5.96) помещаются копии файлов, удаляемых с клиентских компьютеров или изменяемых в процессе лечения. Например, туда попал файл eicar.com, удаленный с компьютера NB1. Если выяснилось, что действия антивируса были ошибочны, файл можно восстановить, воспользовавшись соответствующей ссылкой.

Резервное хранилище

Рис. 5.96. Резервное хранилище

И последнее рассматриваемое в данной работе хранилище Файлы с отложенной обработкой (рис. 5.97). Решение о действиях в отношении таких файлов должен принять администратор антивирусной защиты.

Задание 5.

Ознакомьтесь с содержимым централизованных хранилищ на вашем сервере администрирования.

Объясните, почему там оказались найденные в хранилищах файлы.

Файлы с отложенной обработкой

Рис. 5.97. Файлы с отложенной обработкой

При обнаружении в сети вирусного заражения можно рекомендовать сначала для получения последних обновлений вручную запустить задачу Загрузка обновлений в хранилище (в задачах для сервера администрирования). После этого можно воспользоваться выборкой Компьютеры со статусом «Критический», чтобы определить те компьютеры, на которых обнаружены вирусы или давно не выполнялась проверка. Для отобранных компьютеров следует создать задачу Поиск вирусов.

Когда инцидент и его последствия устранены, для затронутых им компьютеров надо обнулить счетчик вирусов, как это показано на рис. 5.98.

Задание 6.

С помощью файла cicar.com выполните имитацию вирусной атаки. Выполните рекомендуемые при вирусном инциденте действия. В результате запуска поиска вирусов на компьютерах был ли обнаружен тестовый файл в *.zip архиве? А в *.7z? Как можно объяснить появление файла из *.7z архива в хранилище Файлы с отложенной обработкой?

После этого эксперимента обнулите счетчик вирусов компьютера NB1.

Обнуление счетчика вирусов

Рис. 5.98. Обнуление счетчика вирусов

Также не надо забывать политику, активирующуюся по событию «Вирусная атака», которую мы создавали в предыдущей лабораторной работе. Называлась она «Сверхнадежная защита».

Задание 7.

Инициируйте на компьютере NB1 такое число инцидентов, чтобы стала активной политика для антивируса, созданная на случай вирусной атаки. Убедитесь в этом (рис. 5.99).

Сработала политика на случай вирусной атаки

Рис. 5.99. Сработала политика на случай вирусной атаки

Стали ли проверяться открываемые *.zip архивы?

Спустя некоторое время вновь назначьте активной использующуюся по умолчанию Политику защиты.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >