Обзор Kaspersky Security для виртуальных сред 3.0 - легкий агент



«Лаборатория Касперского» представила новую версию решения для защиты виртуальных инфраструктур Kaspersky Security для виртуальных сред 3.0 Легкий агент. Новая версия предлагает защиту с агентом, устанавливаемым на виртуальные машины, и работает во всех популярных средах виртуализации – VMware vSphere, Microsoft Hyper-V и Citrix XenServer. 

Сертификат AM Test Lab

Номер сертификата: 132

Дата выдачи: 25.06.2014

Срок действия: 25.06.2019

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Системные требования Kaspersky Security для виртуальных сред 3.0

3. Функциональные возможности Kaspersky Security для виртуальных сред 3.0

4. Описание стенда и установка Kaspersky Security для виртуальных сред 3.0

5. Настройка Kaspersky Security для виртуальных сред 3.0 и управление защитой

6. Мониторинг работы Kaspersky Security для виртуальных сред 3.0

7. Проверка работы Kaspersky Security для виртуальных сред 3.0

8. Выводы

 

Введение

Технология виртуализации с каждым годом набирает обороты. В последнее время большое распространение получила технология виртуальных рабочих столов (VDI): отказ от высокопроизводительных рабочих компьютеров в пользу «тонких клиентов» – маломощных мини-компьютеров – подключаемых к серверам виртуализации, которые предоставляют пользователю полноценную  рабочую среду. Антивирусная защита должна применяться на любых компьютерах, в том числе и виртуальных. Однако, при наличии виртуальной инфраструктуры, задача которой – сокращение расходов и оптимизация использования аппаратного обеспечения, неправильно использовать классические антивирусные продукты, которые работают изолированно на каждом виртуальном компьютере. Для решения этой проблемы антивирусные производители предлагают специализированные решения по защите виртуальных машин, основное отличие которых – выделение отдельной виртуальной машины,  выполняющей задачи сканирования. Такой подход позволяет сократить нагрузку на виртуальные машины и оптимизировать использование аппаратного обеспечения. Одно из специализированных решений для антивирусной защиты в виртуализации – продукт «Kaspersky Security для виртуальных сред 3.0 Легкий агент».

Предыдущая версия (2.х) продукта «Kaspersky Security для виртуальных сред» была выполнена с использованием технологии VMware vShield и функционировала только в среде виртуализации VMware vSphere. Подробный обзор на эту версию был опубликован на нашем сайте.

Данный подход имел несколько существенных недостатков – поддержка только одной среды виртуализации, отсутствие ряда важных механизмов проверок из-за ограничений vShield. Для снятия технических ограничений в «Лаборатории Касперского» выпустили новую версию продукта (3.0), в которой реализован т.н. «легкий агент» - клиентская часть, устанавливаемая на виртуальные компьютеры. Все антивирусные проверки, как и в старой версии, проводятся на отдельной виртуальной машине (такую виртуальную машину называют «virtual appliance»), но изменился механизм передачи данных для проверки. Если раньше информация передавалась через «посредника» vShield и его агента, то теперь все данные идут от собственного агента «Kaspersky Security для виртуальных сред». Этот подход позволил реализовать поддержку всех популярных технологий виртуализации и осуществлять полноценную антивирусную проверку и дополнительные функции по защите, о которых будет рассказано ниже.

 

Системные требования Kaspersky Security для виртуальных сред 3.0

«Kaspersky Security для виртуальных сред», как и в предыдущей версии, требует наличие установленного на одном из серверов в локальной сети программного обеспечения  «Kaspersky Security Center» версии «10 Maintenance Release 1». Данное программное обеспечение используется для управления всеми функциями по защите и мониторинга работы защитных компонентов. Стоит отметить, что установить данный продукт можно как на физический компьютер, так и на виртуальную машину. На компьютере, на котором установлена «Консоль администрирования» «Kaspersky Security Center», должна быть установлена платформа «Microsoft .NET Framework» версии 4.0 или выше.

Требования к виртуальной инфраструктуре

«Kaspersky Security для виртуальных сред» поддерживает следующие гипервизоры:

  • Microsoft Windows Server 2008 R2 Hyper-V;
  • Microsoft Windows Server 2008 R2 Hyper-V SP1;
  • Microsoft Windows Server 2012 Hyper-V;
  • Citrix XenServer 6.0.2;
  • Citrix XenServer 6.1.0;
  • VMware ESXi 5.1u2;
  • VMware ESXi 5.5.

Виртуальный сервер защиты по умолчанию устанавливается в следующей конфигурации:

  • виртуализированный процессор с частотой 2 ГГц;
  • 2 Гб выделенной оперативной памяти;
  • 30 Гб выделенного свободного места на диске;
  • виртуализированный сетевой интерфейс с полосой пропускания 100 Мбит/сек.

В данной конфигурации виртуальный сервер защиты способен работать без задержек с 50-70 виртуальными рабочими столами со средней офисной активностью пользователей. Для защиты большего числа виртуальных машин или машин с большей нагрузкой рекомендуется увеличить максимальную мощность виртуального сервера защиты. Подробные формулы для расчета нагрузки приведены в пользовательской документации на продукт.

Требования к защищаемым виртуальным компьютерам

Компонент «Легкий агент Kaspersky Security для виртуальных сред», устанавливаемый на защищаемые виртуальные машины функционирует в следующих операционных системах:

  • Windows XP Professional SP3 (не поддерживается в VMware ESXi);
  • Windows Vista Business/Enterprise/Ultimate SP2 (не поддерживается в VMware ESXi и Citrix XenServer);
  • Windows 7 Professional/Enterprise/Ultimate SP1;
  • Windows 8 Pro/Enterprise;
  • Windows Server 2003 SP2 (не поддерживается в VMware ESXi);
  • Windows Server 2003 R2 (не поддерживается в Citrix XenServer);
  • Windows Server 2008;
  • Windows Server 2008 R2;
  • Windows Server 2012;
  • Windows Small Business Server 2008 (не поддерживается в VMware ESXi и Citrix XenServer);
  • Windows Small Business Server 2011 (не поддерживается в VMware ESXi и Citrix XenServer).

Требования к минимальному аппаратному обеспечению защищаемой виртуальной машины:

  • виртуализованный процессор с частотой 1 ГГц (1.5 ГГц для серверных операционных систем);
  • 1 Гб оперативной памяти  для 32-разрядных операционных систем и 2 Гб – для 64-разрядных;
  • от 1.5 до 20 Гб выделенного свободного места на диске (в зависимости от версии операционной системы);
  • виртуализированный сетевой интерфейс с полосой пропускания 100 Мбит/сек.

Перед установкой данного компонента на виртуальной машине необходимо установить утилиты гипервизора – XenTools, VMware Tools или Hyper-V Integration Services.

 

Функциональные возможности Kaspersky Security для виртуальных сред 3.0

«Kaspersky Security для виртуальных сред» предлагает не только функции классического антивируса. В состав функциональных компонентов продукта также входит ряд других защитных механизмов:

  • Контроль запуска программ – данный механизм отслеживает попытки запуска программ в виртуальной машине и позволяет разрешать или запрещать запуск по установленным правилам.
  • Контроль активности программ – классические механизмы системы предотвращения вторжений уровня узла («Host-based Intrusion Prevention System»). Агент «Kaspersky Security для виртуальных сред» регистрирует все действия, совершаемые процессами в операционной системе и позволяет разрешать или запрещать определенную деятельность программы на основании группы, к которой данный компонент отнес эту программу. Правила для групп приложений регламентируют доступ процессов к данным пользователя (папка «Мои документы», файлы cookie, данные об активности пользователя, файлы, папки и ключи реестра, содержащие данные популярных приложений) и ресурсам операционной системы.
  • Мониторинг уязвимостей – еще один механизм системы предотвращения вторжений. Данный компонент в реальном времени осуществляет контроль запущенных и запускаемых программ на наличие уязвимостей.
  • Контроль устройств – разграничение доступа к носителям данных (жесткие диски, флеш-накопители, съемные носители и т.д.), устройствам передачи информации (модемам), принтерам и интерфейсами, к которым могут быть подключены устройства (например, USB, Bluetooth, инфракрасный порт).
  • Веб-Контроль – ограничение доступа пользователей к веб-ресурсам.
  • Сетевой экран – классический персональный сетевой экран, позволяющий фильтровать сетевую активность защищаемой виртуальной машины. Позволяет настроить правила доступа как на уровне сетевых параметров соединений, так и на уровне отдельных приложений.
  • Защита от сетевых атак – мониторинг входящего сетевого трафика для обнаружения активности, характерной для сетевых атак. При обнаружении такой активности, осуществляется блокировка источника подозрительного трафика.
  • Антивирусные возможности «Kaspersky Security для виртуальных сред» представлены следующим набором компонентов:
  • Файловый Антивирус – резидентная проверка всех открываемых, сохраняемых и запускаемых файлов.
  • Почтовый Антивирус – проверка входящих и исходящих сообщений электронной почты на наличие в них вирусной угрозы.
  • Веб-Антивирус – обнаружение вирусных угроз в веб-трафике и защита от подозрительных веб-ресурсов и веб-ресурсов, подделывающих популярные сайты («фишинг»).
  • IM-Антивирус – проверка трафика интернет-мессенджеров, программ, предназначенных для обмена сообщениями и файлами между пользователями сети Интернет.

 

Описание стенда и установка Kaspersky Security для виртуальных сред 3.0

Описание стенда

Для проведения функциональных проверок продукта «Kaspersky Security для виртуальных сред» был развернут стенд, работающий в среде виртуализации Microsoft Hyper-V под управлением операционной системы Microsoft Windows Server 2012.

Были созданы следующие виртуальные машины:

  1. Сервер для «Kaspersky Security Center», операционная система – Microsoft Windows Server 2012;
  2. Виртуальный сервер защиты «Kaspersky Security для виртуальных сред»;
  3. Два защищаемых компьютера, операционные системы – Microsoft Windows 8 и Microsoft Windows 7 SP1.

Подготовка к установке Kaspersky Security для виртуальных сред 3.0

На все виртуальные машины под управлением операционных систем Microsoft были установлены пакеты интеграционных сервисов Hyper-V (Integration Services).

Перед установкой «Kaspersky Security для виртуальных сред» был установлен «Kaspersky Security Center» на отдельную выделенную виртуальную машину. Процесс установки и настройки данного продукта рассмотрен в отдельном обзоре на нашем сайте.

 

Рисунок 1. Установка Kaspersky Security Center 10 Maintenance Release 1

 Установка Kaspersky Security Center 10 Maintenance Release 1

 

Установка Kaspersky Security для виртуальных сред 3.0

Установка «Kaspersky Security для виртуальных сред» начинается с инсталляции плагинов управления для «Kaspersky Security Center». Этот этап делается в виду того, что установить виртуальный сервер защиты через стандартные механизмы гипервизора невозможно. Установка главного компонента «Kaspersky Security для виртуальных сред» осуществляется только через плагин управления для «Kaspersky Security Center».

Плагинов управления два – один для управления агентами «Kaspersky Security для виртуальных сред», второй для управления виртуальным сервером защиты «Kaspersky Security для виртуальных сред». Установка плагинов выполняется последовательным запуском файлов klcfginst.exe и klcfginst.msi на компьютере с установленным «Kaspersky Security Center». Каждый из инсталляторов обладает графическим интерфейсом, а сама установка производится за несколько простых шагов мастера, поэтому подробно рассматривать данный этап не будем.

Второй этап – разворачивания виртуального сервера защиты. Открываем консоль управления «Kaspersky Security Center», проверяем наличие и правильность установки плагинов управления с помощью выбора раздела «Свойства» в контекстном меню папки «Сервер администрирования» в левой части интерфейса. В открывшемся окне свойств следует перейти в раздел «Информация об установленных плагинах управления программами» и убедиться, что оба плагина присутствуют.

 

Рисунок 2. Проверка установки плагинов управления Kaspersky Security Center

Проверка установки плагинов управления Kaspersky Security Center

 

Закрываем окно свойств и запускаем установку виртуального сервера защиты, для этого выбираем в панели навигации пункт «Сервер администрирования» и нажимаем ссылку «Управление Kaspersky Security для виртуальных сред Легкий агент» в рабочей области (блок «Развертывание»).

 

Рисунок 3. Начало установки виртуального сервера защиты

 Начало установки виртуального сервера защиты

 

В открывшемся мастере выбираем действие «Установка виртуальной машины защиты» и следуем указаниям мастера.

 

Рисунок 4. Выбор действия при установке виртуального сервера защиты

 Выбор действия при установке виртуального сервера защиты

 

Отдельно следует отметить, что для установки требуются два файла – файл образа виртуального сервера защиты и XML-файл с описанием настроек образа. Эти файлы присутствуют в составе дистрибутива, но заархивированы в ZIP. Перед установкой следует распаковать данные файлы и обязательно воспользоваться функций проверки целостности образа, которая доступна на одном из шагов мастера установки.

 

Рисунок 5. Выбор образа виртуальной машины и проверка целостности

 Выбор образа виртуальной машины и проверка целостности

 

В случае успешной установки виртуального сервера защиты в списке виртуальных машин появится новый сервер с названием «LightAgentSvm».

 

Рисунок 6. Виртуальный сервер защиты в списке виртуальных машин

 Виртуальный сервер защиты в списке виртуальных машин

 

Открыв консоль виртуального сервера можно проконтролировать процесс его запуска. В качестве базовой операционной системы для сервера используется один из популярных свободно распространяемых дистрибутивов GNU/Linux.

 

Рисунок 7. Консоль виртуального сервера защиты после загрузки

 Консоль виртуального сервера защиты после загрузки

 

Третий этап установки – развертывание агентов на защищаемых виртуальных машинах. Продукт «Kaspersky Security для виртуальных сред 3.0» поддерживает установку агентов множеством способов:

  • локально с помощью стандартного мастера;
  • локально в «тихом» режиме с поддержкой параметров командной строки;
  • удаленно с помощью «Kaspersky Security Center»;
  • удаленно через групповые политики Active Directory.

В целях тестирования самым простым способом установки является локальный вариант со стандартным мастером.

Локальная установка делается в два этапа – сначала запускается файл ksvla.exe из состава дистрибутива продукта, который не устанавливает сам агент, а лишь распаковывает его установочные и служебные файлы.

 

Рисунок 8. Внешний вид распаковщика ksvla.exe

Внешний вид распаковщика ksvla.exe

 

Затем, после распаковки, нужно запустить файл setup.exe, который является инсталлятором агента. Процесс установки агента не вызывает затруднений, опционально можно выбрать устанавливаемые компоненты защиты.

 

Рисунок 9. Выбор компонентов защиты Легкого агента

 Выбор компонентов защиты Легкого агента

 

В соответствии с документацией на «Kaspersky Security для виртуальных сред» агент после завершения установки должен отобразиться в списке нераспределенных компьютеров как защищаемый, но не настроенный. Однако в указанном списке компьютер отображался как неопределенный – без обнаруженных продуктов «Лаборатории Касперского».  Для корректного обнаружения агента и управления защитой необходимо дополнительно на защищаемый компьютер установить агент «Kaspersky Security Center».

Как и агент «Kaspersky Security для виртуальных сред», агент «Kaspersky Security Center» поддерживает различные способы установки. Для упрощения процесса было решено провести установку удаленно из консоли «Kaspersky Security Center».

 

Рисунок 10. Выбор пакета «Kaspersky Security Center» для удаленной установки.

 Выбор пакета «Kaspersky Security Center» для удаленной установки.


Но все попытки запуска задачи по установке завершались неудачей – консоль сообщала о невозможности подключения к административному ресурсу «ADMIN$». Причем данная ошибка возникала только в Windows 7, установка в Windows 8 завершилась успехом с первого раза. Выяснилось, что при стандартных настройках Windows 7 не позволяет удаленные подключения к служебным общим ресурсам («C$», «ADMIN$» и т.д.), данная проблема решилась созданием ключа реестра «LocalAccountTokenFilterPolicy» со значением DWORD = 0x00000001 по пути «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System».

После установки агента «Kaspersky Security Center» защищаемые компьютеры отобразились с перечнем установленных продуктов в списке нераспределенных. Выбрав нужные компьютеры переносим их в управляемые. На этом установка продукта завершена, переходим к настройке.

 

Рисунок 11. Список управляемых компьютеров в «Kaspersky Security Center»

 Список управляемых компьютеров в «Kaspersky Security Center»

 

Настройка Kaspersky Security для виртуальных сред 3.0 и управление защитой

«Kaspersky Security для виртуальных сред» поддерживает два режима настройки – локально на защищаемой виртуальной машине и удаленно через консоль «Kaspersky Security Center». В целом, процесс настройки и управления продуктом точно такой же, как в «Kaspersky Endpoint Security». Рассмотрим внешний вид и функции Легкого агента на виртуальной машине.

Легкий агент «Kaspersky Security для виртуальных сред» после установки отображает значок приложения в панели уведомлений, поддерживает стандартный перечень действий по контекстному меню – открытие основного интерфейса, открытие окна настроек, приостановка защиты, выход и отображение информации о продукте. Основное окно программы выполнено в общем стиле всех продуктов «Лаборатории Касперского» - две основных вкладки: «Центр управления» с оперативной информацией о работе продукта и «Настройка» с окном управления параметрами работы.

 

Рисунок 12. Основной интерфейс Легкого агента «Kaspersky Security для виртуальных сред»

 Основной интерфейс Легкого агента «Kaspersky Security для виртуальных сред»

 

В разделе настроек доступны для изменения параметры всех защитных компонентов, перечисленных в разделе «Функциональные возможности» данного обзора.

 

Рисунок 13. Раздел «Настройки» Легкого агента «Kaspersky Security для виртуальных сред»

 Раздел «Настройки» Легкого агента «Kaspersky Security для виртуальных сред»

 

Отдельно следует отметить удобство настройки контроля устройств – предусмотрена настройка правил как по типам устройств, так и по шинам подключения. Отдельно отображаются доверенные устройства, что удобно при контроле сделанных настроек.

 

Рисунок 14. Настройка контроля устройств Легкого агента Kaspersky Security для виртуальных сред 3.0

 Настройка контроля устройств Легкого агента Kaspersky Security для виртуальных сред 3.0

 

Правила контроля программ и перечень защищаемых ресурсов (настройки действий при доступе программ к этим ресурсам) доступны в отдельном интерфейсе, вызываемом из центра управления или настроек. В этом же интерфейсе представлена вкладка мониторинга активности программ, в которой можно отследить текущие действия всех процессов. Все правила позволяют делать гибкие настройки и максимально точно ограничить поведение недоверенных приложений.

 

Рисунок 15. Правила контроля программ Легкого агента Kaspersky Security для виртуальных сред 3.0

 Правила контроля программ Легкого агента Kaspersky Security для виртуальных сред 3.0


Рисунок 16. Настройка защищаемых ресурсов Легкого агента Kaspersky Security для виртуальных сред

 Настройка защищаемых ресурсов Легкого агента Kaspersky Security для виртуальных сред

 

Как и в обычном антивирусе, поддерживается запуск задач по расписанию. Легкий агент «Kaspersky Security для виртуальных сред» позволяет задать распорядок выполнения обновлений базы, время и частоту запуска полной проверки, проверки важных областей и выборочной проверки заданных пользователем файлов и директорий. Дополнительно настраивается частота и время запуска процесса поиска уязвимостей в установленном программном обеспечении.

 

Рисунок 17. Настройка выполнения задач по расписанию в Легком агенте Kaspersky Security для виртуальных сред

 Настройка выполнения задач по расписанию в Легком агенте Kaspersky Security для виртуальных сред

 

Все настройки, выполняемые локально по умолчанию доступны для всех пользователей виртуальных машин, для исключения несанкционированного изменения настроек поддерживается включение парольной защиты на доступ в режиме конфигурирования.

Настройка продукта через «Kaspersky Security Center» отличается от локальной настройки поддержкой политик безопасности. Правила в политике безопасности аналогичны настройкам, которые доступны локально на отдельных виртуальных машинах, но в отличие от локального конфигурирования, политики могут применяться сразу на группы агентов. Таким образом значительно упрощается процесс конфигурирования установленных Легких агентов.

Для создания и применения политики открываем консоль «Kaspersky Security Center», переходим в раздел «Управляемые компьютеры» и в рабочей области открываем вкладку «Политики».

 

Рисунок 18. Раздел политик в Kaspersky Security Center

 Раздел политик в Kaspersky Security Center

 

Далее необходимо создать политику, нажав соответствующую ссылку в рабочей области. Откроется мастер создания новой групповой политики, на первом шаге мастера происходит выбор программы, для которой создается политика. В нашем случае выбираем «Kaspersky Security для виртуальных сред 3.0 Легкий агент». Также можно выбрать следующий пункт и создать политику для сервера защиты, данная политика содержит настройки для виртуального сервера защиты, но, в общем случае, изменять настройки для этого сервера не требуется.

 

Рисунок 19. Выбор программы для создания политики в Kaspersky Security Center

 Выбор программы для создания политики в Kaspersky Security Center

На следующем шаге мастера выбираются компоненты защиты, для которых будет настраиваться политика. Для гибкой настройки защищаемых компьютеров можно создавать разные политики для отдельных компонентов защиты и применять такие политики совместно друг с другом на защищаемые компьютеры.

 

Рисунок 20. Настройка параметров защиты в политике в Kaspersky Security Center

 Настройка параметров защиты в политике в Kaspersky Security Center

 

На следующем этапе указывается название политики для её идентификации в списке созданных политик. По завершению работы мастера в списке политик появляется только что созданный пункт. Далее следует открыть свойства этой политики и произвести её настройку. Разделы в левой части открывшегося окна повторяют разделы настройки Легкого агента, содержимое разделов также аналогично. Отдельно стоит обратить внимание на параметры наследования. В «Kaspersky Security Center» поддерживается иерархическая модель применения политик, политики безопасности могут быть применены к группе компьютеров или к отдельным защищаемым компьютерам. При этом наследование политик настраивается в свойствах каждой политики в группе параметров наследования.

 

Рисунок 21. Свойства политики в Kaspersky Security Center

 

После создания и настройки политики они применяются к защищаемым компьютерам. Проверить работоспособности и корректность настройки агентов на компьютерах можно во вкладке «Компьютеры». В списке отображаются все добавленные в управляемые компьютеры, выделив один из них, в правой части отразится его текущий статус, параметры и ссылки на быстрые действия.

 

Рисунок 22. Защищаемые компьютеры в Kaspersky Security Center

 Защищаемые компьютеры в Kaspersky Security Center

 

Открыв свойства компьютера, можно посмотреть общие сведения о нем, список установленных программ «Лаборатории Касперского» (в нашем случае там должен быть Легкий агент «Kaspersky Security для виртуальных сред» и Агент администрирования «Kaspersky Security Center»), список задач, событий и информация о системе.

 

Рисунок 23. Свойства защищаемого компьютера в Kaspersky Security Center

 Свойства защищаемого компьютера в Kaspersky Security Center

 

После успешного создания и применения политик, а также проверки статусов агентов и установленных программ защиты, настройка может считаться законченной. Следующий этап – мониторинг состояния системы защиты.

 

Мониторинг работы Kaspersky Security для виртуальных сред 3.0

«Kaspersky Security Center» предоставляет широкие возможности по мониторингу за установленными средствами защиты «Лаборатории Касперского». Доступен как оперативный мониторинг с диаграммами и важной информацией, так и журнал событий с гибкими возможностями по поиску и фильтрации событий. Кроме того, по различным типам событий «Kaspersky Security Center» позволяет строить подробные отчеты.

Посмотрим на интерфейс оперативного мониторинга. В левой части консоли «Kaspersky Security Center» перейдем на верхний уровень, установив курсор на пункт «Сервер администрирования». В правой части откроется окно «Начало работы», в котором содержаться подпункты для всех областей работы – развертывание, управление, защита, обновления и так далее. Из этого интерфейса удобно следить за состоянием всех систем – оперативно получать статус развертывания при защите новых компьютеров, проверять текущее состояние агентов защиты, правильность обновлений вирусных баз и наличие оперативных событий, например, обнаруженных вирусов.

 

Рисунок 24. Общий мониторинг – окно «Начало работы» в «Kaspersky Security Center»

 Общий мониторинг – окно «Начало работы» в «Kaspersky Security Center»

 

Для получения информации о событиях на защищаемых компьютерах, переходим в панели навигации в раздел «Отчеты и уведомления». В рабочей области отображаются наглядные диаграммы текущего состояния защиты, графики истории статусов компьютеров и другие важные параметры в графическом виде. Верхний переключатель позволяет менять режим работы – «Статистика», «Отчеты» и «Уведомления». Нижний переключатель в режиме «Статистика» вызволяет переключить параметры, по которым отображается информация. Доступны разделы со статистикой по развертыванию, обновлениям баз, антивирусным функциям и так далее. Весь интерфейс раздела «Статистика» настраивается – можно перемещать и изменять размеры и виды диаграмм, удалять и добавлять отображаемые показатели и привести внешний вид в соответствии с потребностями любого администратора.

 

Рисунок 25. Статистика в «Kaspersky Security Center»

 Статистика в «Kaspersky Security Center»

 

Вкладка «Отчеты» открывает интерфейс построения отчетов. На выбор предлагаются стандартные шаблоны, отсортированные по разделам. По желанию, доступна возможность создания собственного шаблона для вывода в отчет только интересующей администратора информации. Отчеты позволяют получить информацию не только по событиям безопасности, но и по параметрам настройки, перечню оборудования и программного обеспечения на защищаемых виртуальных машинах.

 

Рисунок 26. Отчеты в «Kaspersky Security Center»

 Отчеты в «Kaspersky Security Center»

 

Для просмотра журнала событий в панели навигации доступен выпадающий подраздел «События» в разделе «Отчеты и уведомления». События отсортированы по подкатегориям – последние события, критические, отказы, предупреждения, события аудита и так далее. В рабочей области отображается список событий, ссылки для экспорта и очистки событий. При выборе одного события в правой части отображаются полные данные по событию и ссылки для оперативных действий, изменяющиеся в зависимости от типа событий.

 

Рисунок 27. События в «Kaspersky Security Center»

 События в «Kaspersky Security Center»

 

Проверка работы Kaspersky Security для виртуальных сред 3.0

Для выполнения общей проверки работы «Kaspersky Security для виртуальных сред 3.0» был подготовлен набор вирусов для тестирования. На защищаемую виртуальную машину был скопирован архив с вирусами, затем был запущен процесс распаковки. Резидентный сканер успешно обнаружил все вирусы в момент их записи на диск и поместил зараженные файлы в карантин.

 

Рисунок 28. Обнаруженные угрозы в Легком агенте «Kaspersky Security для виртуальных сред»

 Обнаруженные угрозы в Легком агенте «Kaspersky Security для виртуальных сред»

 

Обнаруженные угрозы отображались в консоли «Kaspersky Security Center» практически моментально. Во вкладке «Антивирусная статистика» раздела статистики отрисовывались графики вирусной активности и распространённости вирусов.

 

Рисунок 29. Обнаруженные угрозы в «Kaspersky Security Center»

 Обнаруженные угрозы в «Kaspersky Security Center»

 

Следующей проверкой было отключение виртуального сервера защиты «Kaspersky Security для виртуальных сред». Через Hyper-V Manager была остановлена виртуальная машина «LightAgentSvm». После этого на защищаемый компьютер вновь были распакованы вирусы, в этот раз ни один из распакованных файлов не был помещен в карантин и счетчик угроз не изменялся. При этом, никаких уведомлений в Легком агенте не отображалось.

Консоль «Kaspersky Security Center» также не отреагировала на отключение виртуального сервера защиты, даже спустя 14 минут после отключения, статус сервера всё еще отображался как видимый в сети. При дальнейшем ожидании статус изменился лишь через 20-25 минут. В реальных условиях за это время по сети виртуальных машин может распространиться серьезная вирусная эпидемия.

 

Рисунок 30. Отображение состояния виртуального сервера защиты в «Kaspersky Security Center» при отключенном сервере

 Отображение состояния виртуального сервера защиты в «Kaspersky Security Center» при отключенном сервере

 

Некоторые вредоносные программы, доступ к которым блокировался при нормальной работе системы защиты, при отключенном виртуальном сервере защиты удалось запустить. При этом правила контроля действий приложений продолжали работать, вредоносная деятельность была существенно ограничена.

Затем была запущена принудительная проверка на вирусы через контекстное меню «Проводника». Открылось окно состояния проверки, в котором в качестве объекта был отображен первый файл из директории, на этом проверка остановилась, только изменялся счетчик длительности и прогноз окончания.

 

Рисунок 31. Проверка на вирусы по требованию при неработающем виртуальном сервере защиты

 Проверка на вирусы по требованию при неработающем виртуальном сервере защиты

После включения виртуального сервера защиты Легкий агент заработал почти мгновенно. Кроме того, все файлы, к которым были обращения во время недоступности агента, были со временем проверены, а вредоносные – нейтрализованы. Легкий агент во время недоступности виртуального сервера защиты выстраивает и запоминает очередь объектов для проверки и отправляет задачу на сервер сразу после восстановления подключения.

Дальнейшее изучение продукта показало, что Легкий агент не уведомляет пользователя, если виртуальный сервер защиты недоступен менее 30 минут. Такая настройка установлена для возможности техническому персоналу проводить работы по обслуживанию серверов без беспокойства пользователей.

Отсутствие уведомления пользователя Легкого агента о недоступности виртуального сервера защиты представляет собой угрозу безопасности, но только в том случае, если в виртуальной инфраструктуре используется только один сервер. При проектировании системы защиты рекомендуется устанавливать несколько виртуальных серверов защиты и распределять их по разным физическим серверам виртуализации. Легкий агент при недоступности одного сервера в течение короткого времени устанавливает соединение с одним из других доступных серверов. При этом возможны кратковременные некритичные перебои в работе сканера (не больше минуты). Стоит также отметить, что в предыдущей версии «Kaspersky Security для виртуальных сред» не было поддержки резервирования серверов виртуальной защиты.

Если же виртуальная инфраструктура не позволяет развернуть несколько виртуальных серверов защиты, рекомендуется изменить порог времени недоступности сервера, после которого Легкий агент уведомляет пользователя. Данная настройка изменяется через реестр защищаемой операционной системы, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\KSVLA3\profiles\RemoteServicesProvider\settings (или HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\KSVLA3\profiles\RemoteServicesProvider\settings для 64-разрядных операционных систем) необходимо изменить или создать ключ «svmUnavailableTimeoutSeconds» типа DWORD со значением, равным количеству секунд до уведомления.

 

 

Выводы

В рамках данного обзора была рассмотрена новая версия продукта «Лаборатории Касперского» «Kaspersky Security для виртуальных сред». В отличие от предыдущей версии продукта, использование собственного агента позволило полностью решить проблему антивирусной защиты виртуальных машин, работающих под управлением популярных гипервизоров. Кроме того, в новой версии реализованы все защитные компоненты, доступные в других продуктах «Лаборатории Касперского».

Таким образом, в виртуальной инфраструктуре с помощью «Kaspersky Security для виртуальных сред» можно реализовать меры по защите от большинства угроз для виртуальных серверов и рабочих станций. Из-за особенности работы Легкого агента «Kaspersky Security для виртуальных сред» при недоступности виртуального сервера защиты, в инфраструктуре необходимо разворачивать резервные сервера защиты, а в случае невозможности – требуется вручную перенастроить поведение агента. Кроме этого, при недоступности виртуального сервера защиты задержки наблюдаются и в консоли «Kaspersky Security Center», на это следует обратить внимание и, возможно, перенастроить «Kaspersky Security Center» или усилить защиту с помощью сторонних средств мониторинга.

Продукт «Kaspersky Security для виртуальных сред» активно развивается и совершенствуется, по функциональным возможностям новая версия шагнула далеко вперед и теперь позволяет решить все задачи по защите виртуальных машин.

Достоинства:

  • Поддержка всех популярных гипервизоров.
  • Широкие функциональные возможности, не ограничивающиеся антивирусной защитой.
  • Наличие большого числа способов развертывания, в том числе удаленного.
  • Простота и удобство централизованной настройки, продуманные политики безопасности и механизмы управления и назначения политик.
  • Снижение нагрузки на виртуальную инфраструктуру путем переноса механизмов антивирусной проверки на виртуальный сервер защиты.
  • Обширные возможности по мониторингу, просмотру событий и построению отчетов.
  • Возможность построения гибридных решений с единым управлением и использованием в одной инфраструктуре защиты без агента для VMware ESXi, защиту с легким агентом для всех популярных гипервизоров и защиту с тяжелым агентом для любых виртуальных машин.
  • Поддержка резервирования виртуального сервера защиты.

Недостатки:

  • Недостаточная документированность процесса установки – опущено описание особенностей удаленного развёртывания на Windows Vista/7, не указана необходимость устанавливать Агент администрирования «Kaspersky Security Center».
  • Не продуманный комплект поставки – ZIP-архивы, которые необходимо самостоятельно распаковывать, двойной пакет установки агента (один инсталлятор распаковывает второй, который нужно запускать вручную).
  • Задержка в реакции Легкого агента на потерю соединения с виртуальным сервером защиты при отсутствии резервных серверов и настроек по умолчанию.
  • Значительная инерционность «Kaspersky Security Center» на потерю соединения с виртуальным сервером защиты.
  • Отсутствует возможность сканирования выключенных виртуальных машин.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.