G Data Üzleti megoldások
Referencia Útmutató
Tartalomjegyzék Bevezetés............................................................................................................................................7 A Szakasz: Tervezés és telepítés ........................................................................................................8 1.
2.
3.
Hálózat és klienskezelés .........................................................................................................8 1.1
A hálózat felépítése ........................................................................................................8
1.2
Biztonsági komponensek..............................................................................................14
A megoldás kiválasztása ......................................................................................................15 2.1
G Data üzleti megoldások .............................................................................................15
2.2
Rendszerkövetelmények.................................................................................................17
2.3
Licencelés .....................................................................................................................19
Telepítési forgatókönyvek................................................................................................20 3.1
Helyi telepítés...............................................................................................................20
3.1.1.Hálózati komponensek ................................................................................................20 3.1.2. ManagementServer telepítés ...................................................................................22 3.2 4.
ManagedService ...........................................................................................................26
Telepítés ...............................................................................................................................27 4.1
Előkészületek ...............................................................................................................27
4.2
Friss telepítés ................................................................................................................28
4.2.1 Szerver .......................................................................................................................28 4.2.2 Adminisztráció ...........................................................................................................30 4.2.3 Kliensek ......................................................................................................................30 4.2.4 Levelezőszerver-biztonság .........................................................................................30 4.2.4.1 Exchange beépülő (plugin) ......................................................................................31 4.2.4.2 Független (Standalone) telepítés ............................................................................31 4.3
Frissítések telepítése .....................................................................................................31
4.4
Kezdeti beállítások .......................................................................................................32
4.5
Szerverfrissítés és regisztráció .....................................................................................34
4.6
A szerveradatbázis biztonsági mentése és visszaállítása ..............................................36
4.7
Klienstelepítés ..............................................................................................................37
4.7.1 Távoli telepítés ...........................................................................................................39 4.7.2 Helyi telepítés ............................................................................................................40 4.7.3 Klienstelepítő csomag ................................................................................................41 4.7.4 Hibaelhárítás ..............................................................................................................42 4.7.5 Mobilkliensek .............................................................................................................43 4.7.6 Linux kliensek .............................................................................................................43
4.8 5.
Telepítés befejezése ..................................................................................................44
Távoli adminisztráció .........................................................................................................46 5.1
Asztali alkalmazás ........................................................................................................46
5.2
Böngésző ......................................................................................................................47
5.3
Mobil ............................................................................................................................50
5.4
MasterAdmin ...............................................................................................................51
B Szakasz:
A G Data üzleti megoldások használata .....................................................................52
Irányítópult és felügyelet......................................................................................................52
6.
6.1
Statisztikák ...................................................................................................................52
6.2
Jelentések ....................................................................................................................55
6.3
Jelentéskezelő (ReportManager) ..................................................................................57
7.
Kliensek kezelése .................................................................................................................59 7.1
Csoportok használata....................................................................................................59
7.2
Active Directory integrálása.........................................................................................61
7.3
Szignatúra- és programfájlfrissítések ...........................................................................61
7.3.1 Frissítések beszerzése ................................................................................................62 7.3.2 Frissítések telepítése..................................................................................................63 7.3.3 Visszavonások (Rollbacks) ..........................................................................................65 7.4
Kliens eltávolítása ........................................................................................................66
7.5
Teljesítmény .................................................................................................................66
8.
Valós idejű védelem .............................................................................................................68 8.1
A forgalom ellenőrzése ................................................................................................69
8.2
Fájlrendszer ..................................................................................................................71
8.3
Végfelhasználói biztonsági engedélyek .......................................................................74
8.4
Teljesítmény .................................................................................................................76
8.5
Operációsrendszer-biztonság........................................................................................77
9.
Víruskeresés (On demand protection) ................................................................................80 9.1
Őrjárat (Idle scan) ......................................................................................................80
9.2
Keresési munkafeladatok .............................................................................................81
9.2.1 Ismétlődő keresési munkafeladatok ..........................................................................83 9.2.2 Teljes keresés .............................................................................................................84 9.2.3 Gyorskeresés..............................................................................................................85 9.2.4 Egyéb ismétlődő keresések ........................................................................................87 9.2.5 Egyszerű kereső munkafeladatok...............................................................................88 9.3 10.
Kivételek ......................................................................................................................89 Kártevőfertőzés kezelése ..................................................................................................90
10.1
Automatizált felismerés és kárenyhítés ........................................................................90
10.1.1 Hozzáférés tiltása .....................................................................................................91
10.1.2. Megtisztítás ..............................................................................................................91 10.1.3 Karantén ..................................................................................................................92 10.1.4 Fájlok törlése............................................................................................................92 10.2
Bővített kárenyhítés......................................................................................................92
10.3
Analízis ........................................................................................................................94
11.
Mobileszköz-kezelés ........................................................................................................96
11.1
Mobileszközök kezelése ...............................................................................................96
11.2
Valós idejű védelem és víruskeresés ............................................................................97
11.3
Eszközházirendek .........................................................................................................97
11.4
Alkalmazások ...............................................................................................................99
11.5
Kapcsolatkezelés és -szűrés........................................................................................100
11.6
Lopásgátló ..................................................................................................................101
12.
Biztonsági mentések .........................................................................................................104
12.1
Biztonsági mentések kezelése ....................................................................................105
12.2
Biztonsági mentés létrehozása....................................................................................107
12.3
Dokumentumok ..........................................................................................................110
12.2.2 Adatbázisok ............................................................................................................110 12.2.3 Konfiguráció ...........................................................................................................111 12.2.4 Rendszerfájlok........................................................................................................112 12.2.5 Egyszeri biztonsági mentés ....................................................................................112 12.4 13.
Biztonsági mentés visszaállítása ................................................................................112 Tűzfal (Firewall) ............................................................................................................115
13.1
Tűzfalkliensek kezelése..............................................................................................116
13.2
Autopilóta ...................................................................................................................117
13.3
Szabálykészletek ........................................................................................................118
13.4
Felhasználói jogosultságok ........................................................................................120
13.5
Naplók (logs) ..............................................................................................................121
14.
Házirendkezelő (PolicyManager).....................................................................................124
14.1
Alkalmazások .............................................................................................................125
14.2
Eszközök ....................................................................................................................127
14.3
Webes tartalom ...........................................................................................................129
14.4
Internethasználati idő .................................................................................................131
15.
Javítások kezelése (Patch management) ....................................................................133
15.1
Javításkezelési ciklus (Patch management cycle) ......................................................133
15.2
Szabványosított javítási házirend ...............................................................................135
15.3
Javításkezelő (PatchManager) ....................................................................................136
1. lépés: Leltárfrissítés ........................................................................................................136 2. lépés: Információgyűjtés.................................................................................................137
3. lépés: Stratégia és tervezés ............................................................................................138 4. lépés: Tesztelés ...............................................................................................................139 5. lépés: Ütemezés és értékelés .........................................................................................141 6. lépés: Javítások központi telepítése ................................................................................141 7. lépés: Ellenőrzés és jelentés ...........................................................................................141 16.
Levelezőszerver-biztonság .............................................................................................143
16.1
Exchange beépülő ......................................................................................................143
16.1.1 On-access ellenőrzés ...............................................................................................143 Víruskeresés (on-demand scan)..........................................................................................145 16.2
MailGateway ..............................................................................................................145
16.2.1 Bevezetés .................................................................................................................146 16.2.2 Vírusszignatúra-frissítések .......................................................................................147 16.2.3 E-mail adatfolyamok ................................................................................................147 16.2.4 Telepítés: A levelezőszerverre (portváltoztatásokkal) .............................................148 16.2.5 Telepítés: A levelezőszerverre (portváltoztatás nélkül) ...........................................151 16.2.6 Telepítés: Dedikált átjáró- (gateway) szerver ..........................................................153 16.2.7 SMTP relay védelem ................................................................................................156 16.2.8 Többszörös POP3 szerver ........................................................................................156 16.2.9 Várakozási sor (Queue) ............................................................................................156 16.2.10 Adminisztráció és migráció ....................................................................................158 16.2.11 Kártevővédelem .....................................................................................................159 16.2.12 Bejövő és kimenő e-mail ........................................................................................159 16.2.13 Keresési paraméterek ............................................................................................160 16.2.14 Kéretlenlevél-szűrő (Spam filter) ...........................................................................160 16.2.15 Értékszám alapú rangsorolás .................................................................................161 16.2.16 Feketelista/Fehérlista (Blacklist/Whitelist) ............................................................161 16.2.17 Kulcsszavak ............................................................................................................162 16.2.18 Valós idejű feketelisták (Real-time blacklists) ........................................................162 16.2.19 Bayesi tartalomszűrő .............................................................................................162 16.2.20 Egyedi szűrők (Filter) .............................................................................................163 16.2.21 Csatolmányok (Attachments) ................................................................................163 16.2.22 Tartalom (Content) ................................................................................................165 16.2.23 Külső hivatkozások (External references) ..............................................................165 16.2.24 Szürkelista (Greylist) ..............................................................................................165 16.2.25 HTML szkriptek (HTML scripts) ..............................................................................166 16.2.26 IP címek (IP addresses) ..........................................................................................166 16.2.27 Nyelv (Language) ...................................................................................................167
16.2.28 Levélnyugtázási kérés (Read receipt request)........................................................167 16.2.29 Feladó/Címzett (Sender/Recipient) .......................................................................167 16.2.30 Kéretlen levél (Spam) .............................................................................................167 17.
Haladó beállítások ..........................................................................................................168
17.1
Konfigurációs fájlok ...................................................................................................168
17.1.1 Adatbázis (Database) ...............................................................................................169 17.1.2 Portok (Ports)...........................................................................................................170 17.1.3 Szerver .....................................................................................................................171 17.1.4 Könyvtárak ............................................................................................................171 17.1.5 Peer-to-peer frissítésszétosztás ............................................................................172 17.1.6 Szakaszos szoftverszétosztás (Staged software distribution) ................................173 17.1.7 Elavult beállítások .................................................................................................174 17.1.8 Szerverfrissítések ..................................................................................................174 17.2
Konfigurációs eszközök .............................................................................................175
17.2.1 Adatbázis-karbantartás .........................................................................................175 17.2.2 Fájlrendszervédelem-aktivitás ..............................................................................175 17.2.3. Karantén (Quarantine) ............................................................................................176 17.2.4 Eltávolítás ..............................................................................................................177 17.2.5 Eltávolítás utáni megtisztítás.................................................................................178 17.3
Hibakeresési naplók (Debug logs) .............................................................................179
17.3.1 A telepítési varázsló hibakeresési naplózása .........................................................180 17.3.2 Kliensoldali hibakeresési naplózás ........................................................................180 17.3.3 Szerveroldali hibakeresési naplózás ......................................................................182 Mozaikszavak .................................................................................................................................184
Bevezetés A G Data professzionális védelmet biztosít a kártevők ellen, SMB-hez és a vállalati hálózatokhoz. A megoldás alapja a központi beállítási, illetve adminisztrálási lehetőség, a lehető legtöbb szolgáltatás automatizálása mellett, széles körű testre szabhatósággal. Az összes kliens, a munkaállomások, a laptopok, a fájlszerverek vagy a mobilkliensek mind központilag adminisztrálhatóak. A kliensfolyamatok láthatatlanul, a háttérben futnak, az automatikus internetes frissítéseknek köszönhetően a reagálási idő kiemelkedően alacsony. A G Data különféle adminisztrálási megközelítéseket támogat, akár a biztonsági funkciók szükséges beállításairól van szó az önálló működéshez vagy teljes hozzáférésről a program szolgáltatásaihoz. Ez a dokumentum segítséget nyújt a G Data üzleti megoldások központi telepítésével kapcsolatos döntéshozatalokban, továbbá biztosítja a szükséges, illetve az optimális beállításokat az SMB és a vállalati hálózatok megfelelő védelméhez. A hálózati és kliensbiztonság biztosítása három részre bontható. Ideális esetben a biztonságot már a kezdeti szakaszban figyelembe veszik, mielőtt bármilyen hardver vagy szoftver kiépítése vagy telepítése megtörténne. Ugyanakkor egy már meglévő hálózat is profitálhat egy megfelelően felépített biztonsági házirendből. A tervezési fázisban az adminisztrátor átgondolja a szükségleteket, illetve figyelembe veszi a végfelhasználó kívánalmait, a hardver fizikai korlátait, a vállalati hálózat optimális felépítését, illetve a csomópontokhoz rendelendő biztonsági lépcsőket. A magas szintű hálózati felépítés ismeretében tudatosan dönthet a megfelelő G Data biztonsági megoldás bevezetéséről. Az alapok elrendezése után az adminisztrátor továbbléphet a kiválasztott G Data üzleti megoldás tényleges bevezetéséhez. Függetlenül attól, hogy egy 50 klienssel rendelkező SMB hálózatról vagy egy több mint 1000 klienst számláló vállalati telepítésről van szó, a G Data program bármelyik szituációhoz megfelelő, illetve hozzáigazítható. A kliensek gyors telepítéséhez a G Data megoldás számos klienstelepítési lehetőséget támogat, kezdve az automatikus klienstelepítéssel az Active Directoryn keresztül. A szerver(ek) és a kliensek telepítése után megkezdődik a legutolsó fázis. Az újonnan felépített kliens-szerver infrastruktúrával az adminisztrátor beállíthatja a kliensvédelmet, a biztonsági mentéseket, a javítások kezelését, a biztonsági házirendeket, megadhatja a levelezőszerver biztonsági beállításait és még sok minden mást. Ez az útmutató segít a G Data program hatékony beállításában, az optimális biztonsághoz.
A Szakasz: Tervezés és telepítés
1. Hálózat és klienskezelés Egy biztonságos üzleti hálózat beállítása és kezelése nem egyszerű feladat. A hálózatnak, illetve a kliensgépek hardverének és szoftverének megfelelően be kell lennie állítva, hogy azok a felhasználók különféle munkafolyamat-igényeinek megfeleljenek, miközben kizárják a jogosulatlan felhasználókat, támadásokat, illetve egyéb fenyegetéseket. Mielőtt azonnal G Data programot telepítene a szerverekre és kliensekre a hálózaton, át kell gondolni a hálózat felépítését és a kliensek kezelését. A hálózat különböző zónákba sorolásával, a kliensszerepkörök meghatározásával az utólagos beállításokat lényegesen könnyebbé teheti. A hálózat felosztásával és egységesített kliensprofilok használatával időt spórolhat meg az új biztonsági frissítések telepítésekor, az ellenőrzések tervezésekor vagy a biztonsági mentések ütemezésénél. Továbbá meghatározhatóak a hálózat kritikus pontjai, illetve az ahhoz tartozó kliensek, így szükség esetén a legfontosabb helyekre figyelhet.
1.1
A hálózat felépítése
A hálózat felépítése az összes hálózati hardver fizikai elrendezését takarja, mint például modemek, routerek, switchek, szerverek, kliensek és egyéb hálózati eszközök. Ahelyett, hogy a különféle hálózati eszközöket abban a formában, ahogy megvásároltuk, telepíteni, majd használni kezdené, az egységes hálózati felépítéssel az adminisztrátornak lehetősége nyílik a hálózatot egy egészként fenntartani és áttekinteni. A hálózati zónák és kliensszerepkörök használatával azonnal átadható minden új eszköz számára egy egységesített beállítás, amint azt csatlakoztatták, ezzel időt megtakarítva, és biztosítva a szabályok betartását a teljes hálózaton. Ez az elgondolás kisebb és nagyobb hálózatokon is egyformán működik. Abban a pillanatban, amint egynél több kliens van használatban egy üzleti környezetben, az alapértelmezett beállítással elkerülheti a kliensek hibaelhárításával, a biztonsági problémákkal vagy a hálózati rendellenességekkel járó idegeskedést. A hálózat felépítése egy hálózati diagram létrehozásával megtervezhető. A diagramnak tartalmaznia kell az összes hálózati eszközt, beleértve a routereket, switcheket, illetve egyéb támogató eszközöket. Biztosítania kell egy áttekintést a különféle fizikai biztonsági rétegekről, beleértve a modemeket, routereket és tűzfalakat. Mielőtt bármilyen szoftveres biztonsági megoldást telepítene, ezeknek az eszközöknek, amelyek a hálózat első védelmi vonalát szolgáltatják, megfelelően kell beállítva lenniük. Például, ha beépített tűzfalú modemet vagy routert használ, akkor győződjön meg arról, hogy a tűzfal engedélyezve van, és a megfelelő szabálykészlet definiálva lett a rosszindulatú forgalom megállítására, illetve egyéb beépített biztonsági funkciók is, szükség szerint, aktiválva vannak. Vegye figyelembe, hogy ezek a beállítások a hálózat védelmének az első lépcsőfokai, önmagában a tűzfal bekapcsolása nem jelenti azt, hogy a hálózati kliensek védettek. Miután egy adott biztonsági megoldás telepítésre kerül a kliensekre, a hardvereszközökön korábban beállított szabályok módosítása válhat szükségessé a kompatibilitás további megtartásához.
A hálózati diagram, amellett, hogy megjeleníti a különféle hardveres hálózati rétegeket, a kliensek csoportba rendezésének egy nagyon hatékony módja. Itt lép a képbe a hálózati zónákkal és a kliensszerepkörökkel kapcsolatos elgondolás. Alapjaiban a hálózati zóna egy olyan meghatározott szegmense a hálózatnak, amelyhez egy adott rendeltetés van rendelve. A hálózati zónákkal lehetséges biztonsági rendszabályokat beállítani IP-tartományonként, azonnali bepillantást adva az adminisztrátornak a szükséges házirendekbe, amikor egy új eszközt akar telepíteni egy meghatározott zónán belül. A hálózati zónákon belüli csoportosítás az eszközök különféle paraméterek (például: fizikai elhelyezkedés, feladat, biztonsági korlátozások, egyéb) szerinti csoportosítását jelenti. Például a különféle eszközök hálózati zónába csoportosíthatóak az épületen belüli elhelyezkedésük alapján (marketingosztály, fejlesztési osztály). Az eszközök biztonsági korlátozások alapján történő megosztásakor a hálózati zónába tartozhatnak az internethez közvetlenül kapcsolódó szerverek (DMZ), a korlátozott hozzáférésű helyi kliensek vagy bármilyen egyéb eszközcsoport, amely általános házirendek szerint van beállítva. A DMZ telepítése különösen ajánlott olyan szervezeteknek, amelyek a saját, közvetlenül internetre kapcsolódó szerverüket hosztolják, például weboldallal, levelezőszerverrel vagy FTP szerverrel. Az ilyen számítógépek elkülönített hálózati zónába sorolásával, illetve szigorú tűzfalszabályok használatával elválaszthatóak a belső hálózattól, ezzel jelentősen lecsökkentve az esélyét egy sikeres külső támadásnak. Mindegyik hálózati zóna a saját, megbízható zónájaként látható, saját biztonsági korlátozásokkal. Az adatok áramlása minden egyes hálózati zónába vagy hálózati zónából korlátozható egy hálózati szinten, így biztosítva azt, hogy a kritikus infrastruktúra ne legyen hozzáférhető engedély nélkül. A már létező hálózatoknál legalább egy pár megbízható zóna meghatározása segíthet abban, hogy rálátást adjon arra, hogy a vállalat mely számítógépei a leginkább fontosak, amelyek azután annak megfelelően védhetőek. Mindegyik hálózati kliens hozzárendelhető egy meghatározott kliensszerepkörhöz, a felhasználásának, prioritásának, a biztonsági kockázatnak vagy egyéb paramétereknek megfelelően. A már létező hálózatokban, amelyekben a kliensek az Active Directoryban vannak rendszerezve, a kliensszerepkör nagyjából megfelel egy AD Szervezeti Egységnek. Az a kliensgép, amelyik többnyire alap irodai feladatokat lát el, hozzárendelhető az „Iroda” szerepkörhöz. A prioritás alapú szerepköröknél egy általános használatú, irodai munkára szánt kliensgép alacsonyabb prioritású kliensszerepkörbe sorolandó, mint egy kiemelt fejlesztői kliens. A kliensszerepkörök határozzák meg a helyi biztonsági házirendeket, illetve a szoftvertelepítéseket is. Elképzelhető valamennyi átfedés a kliensszerepkör és a hálózati zóna között, például ha a hálózati zóna a tényleges fizikai elhelyezkedés alapján van konfigurálva. Ideális esetben minél több az átfedés, az adminisztrátor annál könnyebben állíthat fel egy házirendet, amely az adott zóna összes kliensgépét lefedi. Például, ha a fizikai elhelyezkedés alapú hálózati zónák használatával az „Eladási részleg” zónába csak azok a kliensgépek tartoznak, amelyek az Eladási részlegen vannak, az adminisztrátor egyszerűen telepítheti ugyanazt a programot vagy alkalmazhatja ugyanazt a biztonsági házirendet mindegyikre. Ugyanakkor nem minden azonos hálózati zónába tartozó kliens használatos ugyanarra a célra. Amikor biztonsági jogosultságokon alapuló hálózati zónákat használ, akkor a kliensek megosztják a biztonsági beállításaik nagy részét, viszont lehet eltérő szoftvertelepítésük és így eltérő kliensszerepkörük. A következő ábrán a hálózati zónák, illetve a kliensszerepkörök vázlata látható, általános hálózati felépítésnél.
: Kis irodai hálózat A kis irodai hálózat erősen hasonlít az otthoni kiépítésre, általában egy szervert és aránylag kevés kliensgépet tartalmaz. Felépítését tekintve ez a legegyszerűbb hálózati felépítés. Mindegyik hálózati kliens ugyanabban a hálózati zónában található, az internetre közvetlenül, egy router segítségével csatlakozik. A hardverszintű hálózati védelmet a router beépített tűzfala látja el. A kliensekhez nem feltétlenül van különféle kliensszerepkör rendelve. Némely kliensek, mint például az okostelefonok, tabletek vagy laptopok, a megbízható irodai hálózatban és a nem megbízható, publikus vagy otthoni hálózatban is használatban vannak. Ezeket nem csak az irodai hálózatban kell kezelni, hanem a megfelelő biztonsági szintet akkor is biztosítani kell, amikor ezek az eszközök nem megbízható környezetből kívánnak újra csatlakozni az irodai hálózathoz. Kis irodai környezetben a legtöbb biztonsági intézkedést magán a kliensgépen kell megtenni. Az opcionális hardveres tűzfalat leszámítva egyéb hálózat szintű biztonsági megoldás nincs biztosítva. Nincs egyértelmű megkülönböztetés a hálózati zónák között, de a kliensszerepkörök kiosztása erőltethető, bár azok szerepkörönként csak egy-két gépet tartalmaznak. AD Csoport Házirend Objektum vagy G Data Management Server használatával a meghatározott kliensszerepkörök számára központilag beállított biztonsági házirendekkel testre szabható a biztonság. Amennyiben a szerver valamilyen hardverhiba miatt hibásan működik vagy kapcsolati hiba áll fenn, a kliensnek továbbra is képesnek kell lennie hozzáférnie a hálózati erőforrásokhoz. Továbbá nem lehetséges hatékonyan automatizálni az adatmentési eljárásokat, mert a szerver önmagában működik. A szerverbeállításokat és az adatbázist egy másik, különálló eszközre vagy külső adattárolóra kell elmenteni.
: Közepes-nagy irodai hálózat Ahogy a hálózati kliensek száma nő, az egyszerű hálózat akadályozza a hatékony telepítést és karbantartást. A formalizált hálózati felépítés – a hálózati zónákkal és a kliensszerepkörökkel – engedi az adminisztrátor számára, hogy kialakítson házirendeket a különféle kiszolgált kliensek számára. Ez a fajta hálózat egyszerűen skálázható, tíztől néhány százas kliensszámig. Egy tipikus közepes-nagy irodai hálózat nem támaszkodik egyetlen (modem, router, tűzfal) eszközre, ehelyett számos átjáró (gateway) eszközt alkalmaznak a biztonságos internet-hozzáférés érdekében. Egy elkülönített, hálózati szintű tűzfallal, nagy teljesítménnyel szűrhető a hálózati forgalom, amely ezt követően kerül szétosztásra a belső hálózaton. A különféle hálózati zónákhoz különböző eszközökhöz vannak rendelve, így fizikailag el vannak választva egymástól, illetve különböző alhálózatokra vannak osztva. A routerek és a switchek hozzáférést biztosítanak a kábeles összeköttetés számára a különféle hálózati zónákba, kezelik és korlátozzák a forgalmat a különböző megbízható zónák között. Amennyiben beállítva és telepítve vannak a vállalati hálózat számára, a mobileszközök kapcsolódhatnak egy megbízható, vezeték nélküli eszközhálózathoz. Az ismeretlen eszközök számára egy elkülönített, nem megbízható vendéghálózat van használatban.
: Közepes-nagy irodai hálózat, demilitarizált zónával (DMZ) Fontos, hogy különbséget tegyünk a különféle típusú szerverek, illetve a kliensek között, amelyeket kiszolgálnak. Kis vagy közepes-nagy irodai hálózatokban mindig van egy vagy több belső szerver. Függetlenül attól, hogy egy kijelölt hálózati zónában található-e vagy sem, ezek a szerverek belső szolgáltatásokat biztosítanak a kliensek felé, mint például adattárolás, nyomtatási szolgáltatások vagy ERP, ugyanakkor egy vagy több szerver levelezőszerverként, webszerverként vagy FTP szerverként üzemel, szolgáltatásokat biztosítva a hálózaton kívül található kliensek számára. Habár a közepes és nagy hálózatok működtethetőek befelé és kifelé tekintő szerverekkel is a belső zónában, egy extra biztonsági réteg hozzáadható, ha az internethez közvetlenül kapcsolódó szervert üzemeltetünk a hálózaton belülről. A demilitarizált zóna (demilitarized zone [DMZ]) egy logikai alhálózat, amely kifejezetten csak azokat a szolgáltatásokat tartalmazza, amelyeknek kommunikációs kéréseket kell fogadniuk a hálózaton kívülről. A belső hálózaton bármilyen, nem hitelesített hozzáférés megakadályozásához a kapcsolatnak a DMZ és a belső hálózati zónák között, ezekre a szolgáltatásokhoz szükséges kommunikációra kell korlátozódnia (pl. e-mail). Ebben az esetben a két hálózati szintű tűzfal fontos szerepet játszik, biztosítaniuk kell, hogy majdnem az összes, kintről érkező forgalom a DMZ-be irányuljon, hacsak nem igényli azt egy belső kliens. Bármilyen kapcsolatot a DMZ-n belüli szolgáltatások és a belső szolgáltatások között körültekintően át kell vizsgálni. Nagyobb cégeknél, amelyek több irodahellyel rendelkeznek, a hálózati kialakítás némileg összetettebb. Az irodahelyeken a helyi szolgáltatások gyakran duplikáltak, míg a kifelé tekintő szerverek nem feltétlenül vannak minden helyen telepítve. Mindazonáltal az alapfeltételek megegyeznek az olyan cégekkel, ahol csak egy iroda van. Az internetkapcsolat keresztülmegy egy sor hálózati szintű eszközön, amelyek kiszűrik az ártó szándékú forgalmat, majd tovább irányítják egy szerver felé a DMZ-ben vagy az egyik belső hálózati zónába. Rengeteg olyan eszköz létezik, amelyek nem fedik le az általános hálózati mintát. Az
alkalmazottak használhatnak mobileszközöket, amelyeket hol a vállalati hálózatban, hol azon kívül működtetnek. Függetlenül attól, hogy ezek a vállalat tulajdonába tartoznak-e vagy sem, meg kell felelniük a biztonsági házirendeknek, amikor a vállalati hálózathoz csatlakoznak. Ugyanez vonatkozik az olyan eszközökre is, amelyek fizikailag a hálózaton kívül találhatóak, de hozzáférnek a hálózaton belüli erőforrásokhoz, például VPN-en keresztül csatlakoznak. Ezeknek az eszközöknek a biztonsága mind hardverkomponenseken, mind szoftveres biztonsági házirendeken nyugszik.
: Közepes-nagy irodai hálózatok, demilitarizált zónával, több telephelyre elosztva A rendszerezett fizikai hálózati felépítéssel a logikai egységek beállítása a hálózati kliensek számára viszonylag egyszerű. Ideális esetben mindegyik hálózati zóna egy klienscsoportot tartalmaz, amelyek mind egyazon szerepkörön osztoznak. Bizonyos esetekben a hálózati zónában olyan kliensek lehetnek, amelyek egynél több szerepkörbe tartoznak, ilyenkor több csoport létrehozása szükséges. A hálózat szervezeti egységeinek tükrözniük kell ezt a kliensstruktúrát. Windows alapú hálózatoknál ez általában egy Active Directory struktúra, ahol minden egyes kliensszerepkör hozzá van rendelve a saját Szervezeti Egységéhez, amely az alkalmazandó házirendeket tartalmazza.
1.2
Biztonsági komponensek
Amint azt az 1.1. fejezetben szereplő hálózati diagram bemutatja, néhány hálózati rendszabály bevezetésre került hardverszinten. Egy router beépített tűzfallal vagy egy különálló tűzfal tökéletes fizikai biztonsági eszköz, amely a forgalom nagy részét szűri, de egymagában képtelen teljes biztonságot adni. Mindegyik hálózati biztonsági házirendnek különféle rétegek és megoldások kombinációjának kell lennie, hogy egy mindent átfogó biztonsági szerkezetet alkosson. Ezek közül néhány réteg hardveres szintű, mások szoftveres megoldásúak. Némelyik a hálózati forgalmat analizálja, mások korlátozzák a veszélyes aktivitásokat a klienseken. Ugyanakkor ezek közül egyik sem elegendő önmagában, biztosítani kell, hogy a biztonsági összetevők lefedjék az összes lehetséges belépési pontot, és hatékonyan együtt tudjanak dolgozni. A hálózati diagram kiindulási pontnak használható annak kiderítésére, hogy mely biztonsági összetevők alkalmazása szükséges, illetve hol. A hardver alapú rendszabályok mellett az egyedi hálózati eszközöket is biztosítani kell. A hálózati diagramon található minden egyes eszköznek vagy eszközkategóriának figyelembe kell vennie annak a forgalomnak a típusát, amelyet bonyolít, a hasznát és a szükségességét a vállalat számára. Az egyik rendszabály a helyi gépekre és szerverekre való biztonsági programok telepítése, ezzel biztosítva, hogy a kártékony programok nem terjednek szét az egyedi kliensek között. A kényes szervereket szintén védeni kell, ellenőrizni a levelezőszerverek bejövő és kimenő leveleit a kártékony programokkal kapcsolatban, kiegészítve a kéretlen levelek szűrésével. A 3. fejezet felvázolja a G Data programtelepítési lehetőségeit a kritikus hálózati eszközökre, a maximális védelem elérésének érdekében.
2. A megoldás kiválasztása A megfelelően szervezett kliensmenedzsment és hálózati elrendezés birtokában tudatosan választhat a G Data üzleti megoldásai közül. A vállalat szükségletei alapján kiválasztható a legmegfelelőbb megoldás a hálózat számára. Akár maximális biztonságra, rugalmasságra, teljesítményre vagy ezek közül mindegyikre van szüksége, a G Data üzleti megoldásban található modulok kombinációja mindezekre megoldást szolgáltat. Lényeges, hogy tudjuk, hogy melyik biztonsági modulokra van szükségünk a hálózat optimális biztonságához. Például olyan vállalatok számára, ahol Microsoft Exchange levelezőszervert használnak, a megoldásnak tartalmaznia kell a G Data MailSecurityt, és annak Exchange bővítményét.
2.1
G Data üzleti megoldások
Az alul található táblázatban megtalálható az összes G Data üzleti megoldás, illetve az azokhoz tartozó modulok. A kártevők elleni védelem képezi a G Data termékvonal alapját. Mindegyik megoldás, kezdve a belépőszintű AntiVirus termékkel, tartalmazza az AntiVirus modult, amely kombinálja a szignatúra alapú védelmet a heurisztikus megközelítéssel, így kiváló kliens alapú védelmet biztosít. Az aktív hibrid technológia egyszerre két keresőmotort működtet az optimális felismerési arány érdekében. Az új G Data CloseGap motor optimalizálja a teljesítményt, miközben felismeri akár az elzárt, helyi fenyegetéseket is. A BankGuard modul további védelmet biztosít online banki szolgáltatások használatakor, míg a ReportManager segítségével az adminisztrátor betekintést nyerhet a hálózat és a csatlakozott kliensek állapotába. A MobileDevice Management integrálja a mobileszközöket a G Data kezelőpaneljébe, így engedélyezve a biztonság kezelését, az adatvédelmi és lopásgátló rendszabályokat. A ClientSecuritynél megjelenik a G Data Tűzfal (Firewall), egy hoszt alapú behatolásmegakadályozó rendszer (HIPS), amely felügyeli a kliens hálózati forgalmát, megakadályozva a nem kívánt hozzáférést a kliens rendszeréhez. A kliens alapú AntiSpam modul védelmet biztosít a kéretlen, illetve a fertőzött levelekkel szemben, hálózati szintű kereséssel és a Microsoft Outlook beépülő segítségével egyaránt. Végül az EndpointProtection azon vállalatok számára tesz szolgálatot, amelyek központilag szeretnék kezelni a biztonsági házirendeket, mint például a multimédiás eszközök vagy az internethasználati idő felügyelete.
: G Data szoftvermegoldások A kiegészítő MailSecurity és Backup modulok mindegyik termék Enterprise változatában elérhetőek. A MailSecurity protokollszinten szűri a kártékony és a kéretlen leveleket a levelezőszervereken, illetve feltelepíthető önálló átjáróként (gateway) is. A Microsoft Exchange beépülő, kártevő elleni védelme észrevehetetlenül beépül a szerveres munkafolyamatba. A Backup modullal az adminisztrátor rugalmasan időzíthet fájl alapú biztonsági mentéseket az összes kliens számára a hálózaton, megakadályozva ezzel az esetleges adatvesztést. A programok javítófoltjainak tesztelésével és telepítésével kapcsolatos költségek csökkentésére használható az opcionális PatchManager (Javításkezelő) modul, amely mindegyik Üzleti (Business) és Vállalati (Enterprise) termékhez elérhető kiegészítő. A beépített megoldás az összes ismert szoftverfejlesztő cégtől származó legfrissebb javítófoltok beszerzésére és szétosztására használható. Kis cégeknek a G Data SmallBusiness Security szolgál hasznos modulcsoporttal. Mindegyik biztonsági modul beletartozik, kivéve a PatchManager és a PolicyManager, és öt számítógépre tartalmaz licencet (a licenc bővíthető tíz számítógépig). Továbbá akár három, hálózat nélküli számítógép is kezelhető a G Data InternetSecurity beépített licencével. Annak eldöntéséhez, hogy melyik megoldást telepítsük, válasszuk ki azt a terméket, amely a szükséges modulokat tartalmazza. A PatchManager bármikor elérhető mint opcionális kiegészítő. Győződjön meg róla, hogy a hálózat minden résztvevőjét védeni fogja a választott termék: (levelező) szerverek, hálózati kliensek, mobileszközök. Keverje és párosítsa a modulokat, hogy megtalálja a hálózathoz az optimális választást. Például ha nem akarják használni a beépített biztonsági mentést, választhatják az AntiVirus Business megoldást. Ha később felmerül az igény a levelezőszerver alapú védelemre, a MailSecurity termék külön is hozzáférhető, az Enterprise változat részeként. A leginkább átfogó megoldás az EndpointProtection Enterprise, amely opcionálisan tovább bővíthető a PatchManager modullal.
2.2
Rendszerkövetelmények
Hogy biztosítsa a problémamentes telepítést, a vállalati hálózatban használt számítógépeknek meg kell felelniük a G Data program rendszerkövetelményeinek. Győződjön meg róla, hogy az összes szerver és kliens, amelyet védeni kell, megfelel a program rendszerkövetelményeinek, szükség szerint bővítse vagy egységesítse a hardverkiépítést. A G Data optimalizálja a programjait, így a szerver és kliens operációs rendszerek, illetve hardverek széles skáláján a telepítés problémamentesen végbemegy. Különálló szerverszámítógép használata nem szükséges, ugyanakkor nagy hálózatoknál ajánlott. G Data ManagementServer/G Data MailSecurity MailGateway •
•
Operációs rendszer: Windows 8, Windows 7, Windows Vista, Windows XP SP3 (32 bites), Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 vagy Windows Server 2003 RAM: 1 GB
G Data Administrator/G Data WebAdministrator/G Data MailSecurity Administrator •
Operációs rendszer: Windows 8, Windows 7, Windows Vista, Windows XP SP3 (32 bites), Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 vagy Windows Server 2003
G Data MobileAdministrator •
Operációs rendszer: Windows 8, Windows 7, Windows Server 2012 vagy Windows Server 2008 R2
G Data Security Client •
•
Operációs rendszer: Windows 8, Windows 7, Windows Vista, Windows XP SP3 (32 bites), Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, vagy Linux kernel 2.6.25 vagy magasabb RAM: 1 GB
G Data Internet Security for Android • •
Operációs rendszer: Android 2.1 vagy magasabb Szükséges tárterület: 14 MB
G Data MailSecurity for Exchange (64 bites Exchange beépülő) •
Levelezőszerver: Microsoft Exchange Server 2013, Microsoft Exchange Server 2010 vagy Microsoft Exchange Server 2007 SP1
A G Data ManagementServerhez szükséges a Microsoft .NET keretrendszer 4.0, amely a ManagementServerrel együtt automatikusan települ. A WebAdministratorhoz és a MobileAdministratorhoz szintén szükséges a Microsoft .NET keretrendszer telepítése. Továbbá, mivel ezek webes szolgáltatások, szükséges, hogy a Microsoft Internet Information Services (IIS) előtelepítve legyen. A WebAdministratorba való bejelentkezéshez a helyi böngészőnek rendelkeznie kell a Microsoft Silverlight beépülővel. Adattároláshoz a G Data ManagementServer SQL szervert használ. Microsoft SQL Server 2008 SP3 vagy a Microsoft SQL Server 2008 vagy 2012 egy meglévő példánya használható. Ha helyi SQL adatbázissal használja a G Data ManagementServert/G Data MailSecurity MailGatewayt, vagy egyéb erőforrás-igényesebb alkalmazásokkal egy gépen, a következő ajánlott rendszerkövetelmények érvényesek: • RAM: 4 GB • CPU: többmagos A G Data termékek a TCP/IP protokollt használják a szerver és a kliensek közötti kommunikációra. Bizonyos portok elérésére szükség van a szerver(ek)en és a klienseken, a kommunikáció és a szétosztások vezérléséhez. Győződjön meg róla, hogy a tűzfalban és a hálózati szintű ellenőrző programban engedélyezve van a forgalom ezeken a portokon. Abban az esetben, ha portütközés áll fenn, a kézi újrakonfigurálás néhány port esetében lehetséges (bővebben a 17.1.2. fejezetben). Fő szerver/másodlagos szever • Port 7161 (TCP): Kommunikáció a kliensekkel és az alhálózati szerverekkel • Port 7182 (TCP): Kommunikáció a G Data Administratorral • Port 7183 (TCP): Kommunikáció a mobilkliensekkel • Port 7184 (TCP): Kommunikáció a mobilkliensekkel (mobilkliens-telepítő fájlok szétosztása) Alhálózati szerverek • Port 7161 (TCP): Kommunikáció a kliensekkel és az (alhálózati) szerverekkel Kliensek • Port 7167 (TCP): Kommunikáció az (alhálózati) szerverekkel • Port 7169 (TCP): Kommunikáció a kliensekkel (peer-to-peer frissítés szétosztása) MailSecurity MailGateway szerver • Port 7182 (TCP): Kommunikáció a G Data MailSecurity Administratorral MailSecurity Exchange beépülő • Port 7171 (TCP): Kommunikáció a G Data Administratorral
2.3
Licencelés
A licenceléssel kapcsolatos információk megtalálhatóak a G Data weboldalán1 vagy egy hivatalos eladópartnernél. Általánosságban az üzleti licencek 5 vagy több kliensre elérhetőek, az egyedi licenceknél az ár a kiválasztott megoldástól, a lehetséges bővítőmoduloktól és a telepíteni kívánt kliensek számától függ.
1
Lásd: www.virusirto.hu
3. Telepítési forgatókönyvek Miután kiválasztottuk a megfelelő G Data megoldást a hálózat számára, meg kell tervezni a telepítést. A G Data termékek a kliens-szerver modellt alkalmazzák. Egy központi szerveralkalmazás kezeli a tetszőleges számú klienst a hálózaton, opcionálisan egy másodlagos szerver és egy vagy több alhálózati szerver által támogatva. Minden egyes kliensgépen a kliensprogram kezeli a biztonságot, a biztonsági mentéseket, a javítófoltokat és egyéb folyamatokat. A telepítés először a szerver(ek) beállításaira fókuszál, amelyek később telepítik a kliensprogramot a hálózati számítógépekre. Az egy vagy több szerver használata a hálózati kialakítástól függ. A kisebb hálózatok kezelhetőek egy helyi ManagementServerrel, ugyanakkor a telepítés a nagyobb hálózatokon vagy eltérő helyszíneken hatékonyabb több ManagementServer felállításával, amelyeket távolról vezérel egy központi MasterAdmin telepítés. A G Data megoldás telepíthető helyileg menedzselt termékként vagy ManagedService-ként. Az előbbi megadja a rugalmasságot az adminisztrátor számára, hogy bármikor a szükségletek szerint beállíthassa a terméket, ugyanakkor időt és munkát igényel a termék megismerése és a hálózat igényeinek megfelelő testreszabása. A második megoldás leveszi ezt a terhet az adminisztrátor válláról, és a ManagedService partner távolról beállítja és kezeli a helyzetet. A G Data megoldás beállítása a G Data Administrator, G Data WebAdministrator és/vagy G Data MobileAdministrator használatával történik. Ezekkel az eszközök különféle beállítási lehetőségeket nyújtanak, mint a helyi vagy távoli adminisztráció, böngésző alapú hozzáférés és mobilkonfiguráció. Bővebb információkért az adminisztrációs eszközökkel kapcsolatosan nézze meg az 5. fejezetet.
3.1
Helyi telepítés
A G Data kliens-szerver modellje minden egyes hálózati beállításra alkalmazható. Az egyik szerverkomponens (G Data ManagementServer ‒ illetve annak másodlagos és alhálózati szerverei ‒ és a G Data MailSecurity) kombinálva egy kliensprogrammal (G Data Security Client és G Data Internet Security for Androiod), minden egyes kliensen. A különféle komponenstípusok és a telepítési lehetőségek a központi ManagementServer számára, a hálózatfelépítési diagramokon alapulva, a 1.1. fejezetben találhatóak.
3.1.1.Hálózati komponensek A G Data megoldás több hálózati komponensből áll össze. A hálózat felépítésétől, illetve a hálózat szükségleteitől függően eltérő komponensek telepítése válhat szükségessé. A ManagementServer a központja a kliens-szerver alapú védelmi elgondolásnak, és központi szerepet játszik minden egyes telepítésben. A telepítésére több lehetőség van, a 3.1.2. fejezetben példák láthatóak a kis irodai hálózatoktól a nagyvállalati környezetig. A klienskomponensek (G Data Security Client) a hálózati számítógépekre lesznek telepítve. A Security Client többszintű védelmet biztosít: tűzfala a bejövő és a kimenő hálózati forgalmat
ellenőrzi, míg a rendszermonitor az összes fájlt a károkozókkal kapcsolatosan. A SmallBusiness Security önálló biztonsági megoldás három G Data Internet Security licencet tartalmaz azon kliensek számára, amelyek nem a vállalati hálózaton vannak. A mobileszközök védelme a G Data Internet Security for Androiddal oldható meg.
: Kis irodai hálózati telepítés Azokhoz a hálózatokhoz, amelyeken saját levelezőszerver üzemel, az Enterprise megoldások és a SmallBusiness Security tartalmazza a MailSecurityt. Ez a levelezőszerver-védelmi komponens ellenőrzi a leveleket a kártékony programokkal szemben, illetve kezeli a kéretlen leveleket. Telepíthető különálló termékként is, egy külön szerverre, megszűrve a forgalmat, még mielőtt az elérné a levelezőszervert, vagy beépülő modulként a széles körben használt Microsoft Exchange levelezőszerverhez.
: Kis irodai hálózat – levelezőszerverrel
3.1.2. ManagementServer telepítés A kiválasztandó telepítési mód a hálózat egészétől függ. A hálózat jelenlegi és jövőbeni tulajdonságait is figyelembe kell venni, úgymint az infrastruktúra típusa, a kliensek darabszáma és a klienshozzáférések típusai. Az alant található forgatókönyvek útmutatást adnak a G Data telepítésére többféle típusú hálózaton. A moduláris felépítés miatt a telepítés mindegyik hálózati környezethez hozzáigazítható, továbbá egy telepítési forgatókönyv kiválasztása nem jelenti azt, hogy a telepítést nem lehet később átalakítani. Ha a kliensek száma a hálózaton túlnő egy meghatározott számon, a komponensek mozgathatóak a hálózaton, illetve további (alhálózati) szerverek telepíthetőek. A G Data megoldás központja, a szerverkomponens, a G Data ManagementServer. Az optimális teljesítmény érdekében nem ajánlott a ManagementServer telepítése a kliensgépek egyikére, amelyik egyéb, hétköznapi feladatokat is ellát, ugyanakkor a lehetőség megvan rá. A ManagementServernek nincs szükséges szerver operációs rendszerre, így könnyedén telepíthető Windows XP, Windows 7 vagy egyéb támogatott Windows operációs rendszerre. Ha egy különálló szervert használ, akkor sincs szükség szerver operációs rendszerre vagy szerverhardverre, de a szervert csak a ManagementServer kiszolgálására használja. Legyen nagyon körültekintő, ha egyéb szolgáltatásokat is kíván telepíteni az adott szerverre (például: adatbázis, levélbiztonság, domainvezérlő vagy webszerver). Minél több szolgáltatás fut egy adott szerveren, annál inkább lehet késésekre számítani a kimagaslóan forgalomigényes órákban. Ugyanígy érvényes az is, hogy a kiszolgált kliensek száma is hatással van a szerver teljesítményére. Az olyan hálózatokon, ahol a kliensek száma alacsony, a terhelés viszonylag kicsi, lehetséges egyszerre több szolgáltatás futtatása egyazon szerveren. Nagyobb hálózatoknál, ahol a szerver korlátait sokkal hamarabb el lehet érni, a szolgáltatások különálló szerverre mozgatása vagy több szerver közötti elosztása szükséges.
: „Minden egyben” ManagementServer telepítés Szerverszinten a legegyszerűbb telepítési típus a „minden egyben” telepítés. Olyan hálózatok számára, ahol viszonylag kevés kliens található vagy nem rendelkeznek különálló szerverrel, a ManagementServer mindegyik komponense telepíthető ugyanarra a számítógépre. Ebbe beletartozik a ManagementServer-telepítés, a Microsoft SQL Server vagy a mellékelt Microsoft SQL Server 2008 SP3 Express telepítése és a G Data Administrator helyi telepítése. Amikor a távoli adminisztráció szükségessé válik, a Microsoft Internet Information Services (IIS) és a G Data WebAdministrator vagy MobileAdministrator szintén telepíthető ugyanerre a számítógépre.
: ManagementServer-telepítés, dedikált webszerverrel A ManagementServer, annak adatbázisai és adminisztrációs komponenseinek telepítése egy gépre egy egyszerűen menedzselhető, ugyanakkor a hálózat növekedése során teljesítménybeli gondokkal küzdő szervert eredményeznek. Opcionálisan az IIS és az adminisztrációs komponensek telepíthetőek a saját webszerverükre is. Mivel ezek nem túlzottan teljesítményigényes dolgok, azon a hálózaton, ahol már van egy IIS szerver, nem szükséges egy további IIS-telepítés a ManagementServeren. A WebAdministrator és a MobileAdministrator könnyedén telepíthető bármilyen IIS szerverre (IIS 5.1 – Windows XP-től kezdődően). Ahogy az az 1.1-es fejezetben, a hálózati felépítésnél részletezve van, a webszerver elhelyezkedhet önmagában a hálózatban vagy a DMZ-ben is.
: ManagementServer-telepítés, dedikált (fürtözött) SQL szerverrel A 1000-nél több klienst tartalmazó hálózatoknál a „minden egyben” ManagementServer-telepítés hamar eléri a teljesítménybeli korlátait. Bár a ManagementServer rendelkezik beépített terheléskorlátozó képességgel (lásd 7.5. fejezet), a telepítés megváltoztatása sokkal inkább hatékony megoldás lehet. A szerver terhelésének nagy része megszüntethető egy (fürtözött) Microsoft SQL Server telepítésével. A ManagementServer adatbázisának egy dedikált SQL szerverre való helyezésével növelhető a ManagementServer teljesítménye. Habár lehetséges a dedikált SQL szerver használata a kezdetektől, általánosságban a megnövekedett kliensszám
utáni migráció a gyakori eljárás. A folyamat egyszerű, a dedikált Microsoft SQL szerver telepítése és beállítása után a GdmmsConfig.exe eszköz futtatásával áttelepíthető az adatbázis. Nézze meg a 17.2.1-es fejezetet bővebb információért az adatbázis-migrációval kapcsolatosan.
: ManagementServer-telepítés, másodlagos ManagementServerrel A közepes és nagy irodai hálózatoknál előnnyel jár egy másodlagos, tartalék ManagementServer telepítése. A másodlagos ManagementServer egy másik szerverre települve funkciójában párhuzamosan működik az elsődleges ManagementServerrel. Ha az elsődleges ManagementServer több mint egy órára elérhetetlenné válik, a kliensek a másodlagos szerverhez kapcsolódnak, hogy a frissítésekhez hozzájussanak. Az elsődleges és a másodlagos ManagementServer egyazon adatbázist használja, így ez a lehetőség csak akkor hozzáférhető, ha az adatbázis egy külső Microsoft SQL szerveren található. A két szerver egyazon adatbázison osztozik, de a frissítéseket önállóan töltik le a G Data frissítőszerverről, extra redundanciát biztosítva arra az esetre, ha esetleg az egyik szerver elveszti az internetkapcsolatot. Egy dedikált, fürtözött SQL szerverrel kombinálva a második szerver telepítése magas megbízhatóságot biztosít, és megakadályozza a hibákat az esetleges hardveres problémáknál.
: ManagementServer-telepítés, alhálózati szerverrel A terhelés jobb elosztására a G Data ManagementServer támogatja egy vagy több alhálózati szerver telepítését, amelyek a kliensek egy csoportját kezelik, ezáltal csökkentve a fő
ManagementServer terhelését. Ez különösen nagy, több fiókirodával rendelkező, átívelő hálózatoknál hasznos. Az alhálózati szerver egy olyan ManagementServer-telepítés, amely a kliensek egy csoportját kezeli. Csökkenti a hálózati terhelést, mivel a ManagementServernek csak az alhálózati szerverekkel kell tartania a kapcsolatot, amelyek automatikusan kiszolgálják a klienseket. Az alhálózati szerverek használatával egy egyszerű ManagementServer-telepítés több ezer klienst is hatékonyan ki tud szolgálni. Az alhálózati szerverek általánosságban a fő ManagementServer és a kliensek telepítése után kerülnek telepítésre, bármelyik kliens beállítható alhálózati szerverként, helyi vagy távoli telepítésen keresztül. A fő ManagementServernek nem szükséges ugyanabban a fizikai hálózatban tartózkodnia, mint az alhálózati szervernek. A fiókirodák kezelhetőek egy alhálózati szerverrel, amely kapcsolódik a központi ManagementServerhez. Ugyanezt a beállítást használhatják a szervizpartnerek is, hogy az ügyfélnél kezeljék a telepítést. A közvetlen kommunikáció a ManagementServer és a kliensei között az interneten keresztül korlátozott. Például a kliensen a könyvtárkiválasztás, amelyet néhány fájlkiválasztási párbeszédablak használ, nem működik. Bizonyos helyzetekben több ManagementServer kezelése szükséges. Nagy cégeknél a kliensek megoszthatóak több ManagementServer között, a szervizpartnerek több ügyfélnél kezelhetik a ManagementServert. Ilyen esetben az adminisztráció központosítható, az összes ManagementServert hozzáadva egy MasterAdmin telepítéshez. A ManagementServerek egymástól függetlenül működnek, de a MasterAdmin-telepítés központilag kezeli azokat. Ehhez szükség van a megfelelő port forward (porttovábbítási) beállításra, biztosítva, hogy a szerverek elérhetőek legyenek az interneten keresztül, ellenkező esetben sokkal inkább egy általánosan kezelt telepítésnek tűnik. A MasterAdmin használatával az adminisztrátorok az összes modulhoz és beállításhoz hozzáférnek. A MasterAdmin által kezelt szerverekkel kapcsolatban bővebb információért olvassa el az 5.4-es fejezetet.
: ManagementServer-telepítés, MasterAdminnal A biztonsági modulok a klienscsoport elgondolás köré szerveződnek. A biztonsági beállítások, a kereső és biztonsági mentés feladatok, illetve bármilyen más biztonsági szempont alkalmazható egy egyszerű kliensre vagy a kliensek csoportjára. A csoportok manuálisan hozhatóak létre és akárhány klienst tartalmazhatnak, akár egy hálózati zóna és/vagy kliens szerepkör tükrözésével, vagy bármilyen más tulajdonság szerint csoportosítva. Az olyan hálózatoknál, ahol a kliensek Active Directory szervezeti egységbe (OU) vannak szervezve, a klienscsoportok a szervezeti egységhez kapcsolhatóak, hogy automatikusan örököljék azok klienslistáit.
3.2
ManagedService
A helyi telepítés és adminisztráció alternatívája a G Data ManagedService termék használata. Az adminisztrátorok választhatják a G Data EndpointProtectiont mint ManagedService, minimum 75 klienssel. Ez a lehetőség leveszi a G Data ügyfeleinek a válláról az összes munkát, hiszen a telepítés és a teljes megoldás kezelése a partner által történik. Nincs szükség az alkalmazottak betanítására, a biztonsági megoldás működtetésére, így az adminisztrátorok egyéb üzemeltetési feladatokra koncentrálhatnak. A partnerek számára a ManagedService segít elérni azokat az ügyfeleket, akik még nem fontolták meg a lokálisan menedzselt G Data megoldás használatát.
A menedzsmentfeladatok távolról is elvégezhetőek, a helyi adminisztrátor bármilyen erőfeszítése nélkül. A ManagedService nem pusztán nagyban leegyszerűsíti a telepítést, de egy átlátható licencelési modellt is kínál. A partnerek a pontos kliensszám alapján számolnak el a vállalattal, beleértve a havi fluktuációt, új kliensek hozzáadását, a már meglévők eltávolítását. A partnerek távolról adminisztrálják a ManagedService hálózatokat a MasterAdmin használatával (lást 5.4. fejezet).
4. Telepítés A telepítéskor, akár a helyileg, akár távolról történik, többféle forgatókönyv is követhető, attól függően, hogy az adott megoldás telepítése frissítésként vagy új telepítésként lesz végrehajtva. Mindkét esetben ajánlott egy próbatelepítést végezni, mielőtt a fizikai hálózat ténylegesen érintve lenne. Egy virtuális hálózat vagy a fizikai hálózat egy része használható a G Data megoldás telepítésére a szerverre és a kliensekre, így könnyen észlelhető bármilyen esetleges hiba. Bizonyosodjon meg arról, hogy a próba a kliensek olyan csoportján történik, amelyek az összes kliensszerepkört felölelik (pl. IT, marketing, fejlesztés), hogy pontos teszttelepítési eredményeket kapjon a teljes hálózaton keresztül. A G Data biztonsági megoldás tesztüzemét és a tényleges telepítést is a meglévő vállalati telepítési házirend szerint kell végezni, amennyiben az elérhető. Kisebb szervezeteknél ez egy egyszerű folyamat, de nagyobb vállalatoknál szükséges lehet a megfelelő terv kidolgozása, a telepítési terv dokumentálása, a veszélyforrások kiértékelése stb. Mindegyik telepítés több lépcsőben történik. Mivel a G Data termékek a szerver-kliens megoldás alapján lettek tervezve, az első lépés a szerver komponens(ek) telepítése és beállítása. A telepítés után a szerverbeállítások (mint például a frissítés időzítése és a szétosztás), illetve az alapértelmezett kliensbeállítások következnek, így biztosítva a kliensek megfelelő védelmét a bevezetés alatt is. Az aktuális telepítési fázis után ellenőrizni kell, hogy a kliensek megfelelően lettek-e telepítve. Ha az összes kliens megfelelően csatlakozott a fő ManagementServerhez, a beállítások minden egyes kliensen testre szabhatóak. A G Data MailSecurity, akár opcionálisan, akár az Enterprise megoldás részeként érkezett, egy önálló termék. Különálló telepítővel rendelkezik, továbbá a beállítása némileg eltér a biztonsági termékektől. A telepítés alatt a MailSecurity a hálózaton belüli elhelyezkedésének megfelelően lesz beállítva (lásd 3.1.1. fejezet). Ezt követően a védelmi és kéretlen levél elleni rendszabályai teljes mértékben testre szabhatóak.
4.1
Előkészületek
A szerver- és a klienstelepítéseket megelőzően alapvetően fontos, hogy a rendszer megfeleljen bizonyos kritériumoknak. Futtassa a Windows-frissítést azon a szerver(ek)en, amelyre a G Data ManagementServer telepítésre kerül, és telepítse fel az összes biztonsági frissítést. Amennyiben a számítógépre telepítve van valamilyen keretrendszer, mint például a Microsoft .NET, akkor
ezeket szintén frissíteni kell. Végezetül a távolról telepítendő klienseknek megfelelő fájl- és könyvtárhozzáféréssel kell rendelkezniük (lásd 4.7.1. fejezet). A biztonsági megoldás telepítése előtt meg kell győződni arról, hogy kártékony program nem található a számítógépen. A már jelen lévő kártékony programok megzavarhatják a biztonsági program telepítését, veszélyeztetve a rendszer biztonságát. Ebből az okból kifolyólag minden egyes G Data üzleti megoldás telepítője rendelkezik egy bootolható médiummal, saját Linux alapú operációs rendszerrel2. Amikor a bootolható médiumról indítja a számítógépet, a G Data AntiVirus boot környezet lehetőséget ad a számítógép kártevőkkel szembeni teljes átvizsgálására. Kisebb hálózatoknál ajánlott a boot médium használata, mindegyik szerveren és kliensen, a telepítést megelőzően. Nagyobb hálózatoknál, ha nincs lehetőség minden egyes számítógép ellenőrzésére, akkor az ellenőrzést csak korlátozott számú, magas prioritású vagy nagy veszélynek kitett, potenciálisan fertőzött klienseken és szervereken hajtsa végre.
4.2
Friss telepítés
Amennyiben korábban nem volt semmilyen G Data megoldás telepítve a hálózatra, mindegyik komponenst frissen kell telepíteni. Ez azt jelenti, hogy a fő szervert, a lehetséges másodlagos és alhálózati szervereket, a helyi adatbázispéldányokat és a klienseket az alapoktól kell beállítani. Az alapértelmezett beállításokat használva ez egy egyszerű folyamat. Először a szerverkomponenseket kell telepíteni, azt követően az adminisztrációs eszközöket, a kliens- és levelezőszerver biztonsági megoldásokat. A minimális konfigurációs beállításokkal a friss telepítés pár órán belül végbemegy, ugyanakkor bármilyen G Data megoldás telepítésénél az adminisztrátornak ismernie kell a hálózat felépítését, a komponenseket a megfelelő eszközre kell telepíteni és meg kell adni az alapszintű beállításokat. Az első, második és a harmadik fejezet útmutatást ad a hálózat felépítésével kapcsolatosan.
4.2.1 Szerver A ManagementServer telepítése alatt számos beállítást kell eszközölni, például a szervermódot (fő/másodlagos ManagementServer, alhálózati szerver) vagy az adatbázis-konfigurációt. Ezek a döntések teljes mértékben a hálózat felépítésétől és a telepítési döntésektől függenek.
Ha az eredeti, fizikai telepítési médium nem elérhető, a digitális (ISO) változat használható a G Data BootCD varázsló futtatására, amely létrehoz egy bootolható G Data BootScan médiumot (CD, DVD vagy USB pendrive). 2
: G Data telepítő DVD, termékválasztás A fő ManagementServer telepítése az első a telepítendő komponensek közül. Ez a központi szerver, amely koordinálja az összes klienst, ezt támogathatja egy másodlagos szerver, illetve egy vagy több alhálózati szerver. A ManagementServer a G Data telepítő médiumról telepíthető a G Data ManagementServer kiválasztásával a komponensválasztó ablakban. A telepítővarázsló használata magától értetődő, ugyanakkor két lépésnél szükséges némi pluszbeavatkozás. A ManagementServer telepíthető fő szerverként, másodlagos szerverként vagy alhálózati szerverként. Az első telepítés a fő szerver lesz. Amennyiben a hálózat kialakítása indokolja a másodlagos vagy alhálózati szerver telepítését, ezek a megfelelő számítógépre telepíthetőek, miután a fő szerver telepítését és a kezdeti beállításokat befejezte. Alhálózati szerver telepítésekor meg kell adni a fő szervert futtató számítógép nevét, hogy az alhálózati szerver a megfelelő fő szerverrel tudjon kommunikálni. Alternatív megoldásként az alhálózati szerverek a G Data Administratoron keresztül távolról is telepíthetőek. Miután kiválasztotta a szerver típusát, ki kell választania az adatbázis típusát is. A legfeljebb 1000 klienst tartalmazó hálózatokhoz elegendő a helyi telepítésű Microsoft SQL Server 2008 SP3 Express. Amennyiben az Express opció ki van választva, a telepítővarázsló automatikusan telepíti és beállítja a helyi adatbázisszerver-példányt és a szükséges adatbázist. Azokhoz a hálózatokhoz, amelyek több mint 1000 gépet tartalmaznak, vagy olyan forgatókönyvnél, ahol másodlagos szerver lesz használva, az adatbázis-beállítást egy meglévő, különálló, dedikált Microsoft SQL Server példány használatára kell beállítani. Miután a telepítési folyamat befejeződött, a telepítővarázsló információkat fog kérni a termék aktivációjával kapcsolatosan. Amennyiben a termék korábban még nem lett aktiválva, a licenckulcs megadásával automatikusan aktiválódik a program, és kérni fog egy felhasználónevet, illetve jelszót. A felhasználónév és a jelszó ezek után elmentésre kerül a termék beállításaiban, így a frissítések automatikusan letölthetőek. Amennyiben a termék korábban már aktiválva lett és a licenc még érvényes, a felhasználónév és a jelszó manuálisan megadható. Alternatív megoldásként az aktiváció elhalasztható. A manuális aktiváció később is elérhető (lásd 4.5. fejezet), de nem ajánlott. A nem aktivált termékben csak az alapfunkciók érhetőek el. Ha a termék EndpointProtection vagy ClientSecurity változatként lett vásárolva, a termék aktiválásáig csak az AntiVirus változat funkcionalitása érhető el, továbbá aktiválás nélkül nem lehetséges a vírusszignatúrák, illetve a frissítések letöltése, ami nagyban korlátozza a különféle védelmi szintek hatékonyságát. A ManagementServer telepíti a Microsoft .NET 4.0 keretrendszert, amennyiben az nem található meg a számítógépen. A ManagementServer telepítése után ajánlott a Windows-frissítés futtatása, hogy ellenőrizze, találhatóak-e frissítések a Microsoft .NET 4.0 keretrendszerhez. A telepítés
után minden esetben a számítógép újraindítása szükséges. Miután a fő szerver telepítése befejeződött, a következő lépés a telepítési környezettől függ. Először a fő szerver beállítása következik (lásd 4.4. fejezet). Amennyiben szükség van másodlagos szerver beüzemelésére, a ManagementServer telepítővarázslót futtatni kell a megfelelő szerveren a másodlagos szerver telepítéséhez. Az esetleges alhálózati szerverek telepítését a kliensek telepítése után kell végezni, az alhálózati szerverek könnyen telepíthetőek távolról, a G Data Administrator segítségével. Meg kell győződni arról, hogy az összes szerver számára elérhetőek a szükséges TCP portok, amelyeket a kommunikációhoz használnak. Ha hálózati szintű vagy szoftveres tűzfalat használ, szükséges lehet bizonyos portok megnyitása. Bővebb információért olvassa el a 2.2. fejezetben található rendszerkövetelményeket a TCP portokkal kapcsolatosan, amelyeket a G Data szerver és a kliensek használnak.
4.2.2 Adminisztráció Miután a szerverek elindultak és futnak, figyelembe kell venni az adminisztrációs szükségleteket. Mindegyik ManagementServer-telepítés tartalmazza a G Data Administrator eszköz helyi telepítését, amellyel az adminisztrátoroknak lehetősége van a ManagementServer beállításaihoz hozzáférni. Amennyiben a szervert távolról kívánja beállítani, ami kiemelten ajánlott, több lehetőség áll a rendelkezésére: telepítheti a G Data Administratort egy másik kliensgépre, telepítheti a G Data WebAdministratort, hogy konfigurálhassa a ManagementServert távolról, bármilyen böngészővel, vagy telepítheti a G Data MobileAdministratort, hogy adminisztrálhassa a szervert egy okostelefon vagy tablet használatával. A távoli használattal kapcsolatos beállítások az 5. fejezetben találhatóak.
4.2.3 Kliensek Amint a ManagementServer és az Administrator telepítése megtörtént, a G Data Security Clientek szétosztásra kerülnek a hálózati klienseken. Annak érdekében, hogy magát a szervert is megvédje a kártékony programoktól, ajánlott a G Data Security Client telepítése a szerverre is. Ahogy a többi hálózati kliensen is, itt is a távoli telepítési lehetőség a legegyszerűbb megoldás. Olvassa el a 4.7. fejezetet további információkért a klienstelepítéssel kapcsolatosan.
4.2.4 Levelezőszerver-biztonság Ha a telepítés magába foglalja a G Data MailSecurityt (a SmallBusiness Security és a G Data Enterprise megoldások tartalmazzák), azt a ManagementServer telepítése után kell telepíteni. A saját telepítési médiumával használva a MailSecurity telepíthető, mint Exchange beépülő, amennyiben a Microsoft Exchange van használatban levelező szerverként. Alternatív megoldásként a MailSecurity telepíthető különálló, átjáró (gateway) termékként is. A MailSecurity MailGateway funkciói, mint egy extra biztonsági szint, a tényleges levelezőszerver előtt feldolgozzák az összes bejövő és kimenő levelet. Ez kétféleképpen érhető el: a MailGatewayt magára a levelezőszerverre telepítve, vagy beállítva, mint átjáró, egy másik szerveren.
4.2.4.1 Exchange beépülő (plugin) A G Data MailSecurity Exchange beépülője bármelyik Exchange Server 2007 SP1-et követő verzióra telepíthető. A G Data ManagementServer felé tesz jelentést. A telepítővarázsló beállítja a MailSecurityt, hogy egy már meglévő ManagementServert használjon vagy telepítsen egy új, helyi ManagementServert. A rendszer megfelelő teljesítményének az érdekében egy már meglévő ManagementServer használata ajánlott. Miután a telepítés befejeződött, az Exchange beépülő regisztrálja magát a ManagementServerrel. A G Data Administratorral bejelentkezve a ManagementServerbe, az Exchange beépülő összes beállítása elérhető.
4.2.4.2 Független (Standalone) telepítés Amennyiben egy másik levelezőszerver van használatban a hálózaton vagy az Exchange szervert egy dedikált átjáró védi, beleértve a kártékony programok és a kéretlen levelek elleni védelmet, a MailSecurity MailGateway telepíthető független termékként is. Ha a meglévő levelezőszerver nem terheli le túlságosan a szervert, lehetséges a MailGateway telepítése ugyanarra a számítógépre. Ennek megvan az az előnye, hogy nem szükséges semmilyen változtatás a levelezőszerver IP címében, ugyanakkor a levelezőszerver-programban szükséges átállítani a bejövő és a kimenő levelek portját. Alternatív megoldásként a MailGateway telepíthető egy különálló, dedikált átjáró szerverre is, így megszűrve a leveleket, még mielőtt azok elérnék a levelezőszervert. Olvassa el a 16.2.1. fejezetet bővebb információkért a MailGateway telepítési típusokkal és portbeállításokkal kapcsolatosan. A MailGateway telepítővarázslójának használata egyszerű. Opcionálisan telepíthető a Microsoft SQL Server 2008 SP3 Express helyi adatbázisszerver. Így hozzáférhet az e-mail üzenetek és a szürkelista statisztikai kiértékeléséhez (lásd 16.2.1. és 16.2.5.4. fejezetek), de ez nem feltétlenül szükséges. Függetlenül attól a szervertől, amelyre a MailGateway telepítve lett, először a G Data Security Clientet is telepíteni kell, ugyanerre a számítógépre. Így nem csak a szerver helyi fájlrendszere lesz védve a kártékony programokkal szemben, hanem a MailGateway automatikusan integrálja a Security Client vírusszignatúráit a saját, kártékony programokkal szembeni ellenőrzésébe. A MailGateway beállításai hozzáférhetőek a G Data MailSecurity Administratoron keresztül, amely a MailGatewayjel együtt automatikusan települ. Ahogy a G Data Administratort ‒ amellyel távolról beállítható a ManagementServer ‒, úgy a MailSecurity Administratort sem szükséges ugyanarra a szerverre telepíteni, amelyiken a MailGateway komponens található. A telepítő médium használatával a MailSecurity Administrator bármelyik hálózati kliensre telepíthető, amelyik hozzáfér a MailGateway szerverhez. Ahhoz, hogy a MailSecurity Administrator hozzáférhessen a MailGateway szerverhez, a TCP 7082-es porton engedélyezni kell a hozzáférést.
4.3
Frissítések telepítése
A meglévő G Data ManagementServer-telepítések, illetve azok klienseinek a frissítése általában
rendkívül egyszerű. Két mód létezik a fő ManagementServer-telepítés frissítésére. A legkézenfekvőbb mód az INTERNETES FRISSÍTÉS (INTERNET UPDATE) eszköz használata, amely letölti és telepíti az új verziót. Ez egy automatikus folyamat, miután befejeződött, csak újra kell indítani a ManagementServer szolgáltatást. Amennyiben másodlagos szerver is telepítve van, ahogy a fő szerver frissítése megtörtént, erről tájékoztatást küld a másodlagos szerver számára, amely utólagosan frissíti önmagát. Az alhálózati szerverek szintén automatikusan frissítésre kerülnek. Miután a szerverek frissítése befejeződött, megkezdődik a kliensek kiszolgálása a frissített programmal. Ez az általános programfrissítő mechanizmus részeként történik: automatikus programfájlfrissítések vagy manuális szétosztás (lásd 7.3.2. fejezet). Nagyobb hálózatoknál ajánlott a peer-to-peer frissítésszétosztás, biztosítva, hogy a frissítések miatt megnövekedett hálózati forgalom nem okoz csökkenést a teljesítményben. Minden szoftverszétosztásnál lényeges, hogy ne legyenek kompatibilitási problémák. A szakaszos szétosztás használatával a frissített kliens először egy kisebb csoport számára is szétosztható, mielőtt az egész hálózat számára elérhetővé válna. Alternatívaként a manuális szétosztás egy kisebb tesztcsoport számára betekintést adhat az esetleg felmerülő problémákba. A verziófrissítéseknél, ahol a közvetlen frissítés nem lehetséges, a fő ManagementServert el kell távolítani, mielőtt az új verzió telepítésre kerül. A már meglévő adatbázist nem kell eltávolítani, az használható az új verzióval, illetve szükség esetén átkonvertálható. Az új verzió telepítése közben az adatbázis automatikusan felismerésre kerül, majd az első induláskor a G Data Administrator az összes klienst és beállítást a korábbi beállítások szerint fogja jelezni. Ugyanez a folyamat történik a másodlagos szerveren is. Az alhálózati szerverek frissítése a fő ManagementServer frissítése után automatikusan megtörténik. A teljes biztonság érdekében a régi adatbázisról célszerű biztonsági mentést készíteni, még a ManagementServer eltávolítása előtt (lásd 4.6. fejezet). Abban az esetben, ha valamilyen hiba lépne fel az új verzió telepítése közben, lehetséges az újratelepítés vagy a korábbi verzióra való visszatérés, mielőtt az eredeti adatbázist visszaállítaná. A MailSecurity átjáró (gateway) telepítése a MailSecurity Administrator felületén keresztül frissíthető. A Frissítés (Update) alatt látható a verziószáma a jelenleg telepített MailSecuritynek és Administratornak. Kattintson a programfrissítés (Software update) lehetőségre a frissítési folyamat megkezdéséhez, amely a ManagementServer frissítéséhez hasonlóan végbemegy. A MailSecurity Microsoft Exchange beépülője automatikusan frissíti magát, amint új verzió válik elérhetővé, de csak abban az esetben, ha az azt vezérlő ManagementServer frissítése már megtörtént az új verzióra, és a „Programfájlok automatikus frissítése” (Update Program Files Automatically) engedélyezve van. Alternatív megoldásként a G Data Administrator használható a frissítések manuális megkezdésére.
4.4
Kezdeti beállítások
Miután befejeződött a G Data ManagementServer és az egyéb komponensek telepítése, a szerver kezdeti beállításai és a kliensbeállítások következnek. A beállítások a G Data Administrator eszköz segítségével történnek, ami automatikusan települ ugyanarra a számítógépre, amelyre a ManagementServer telepítve lett. Amennyiben a szerver távolról lesz beállítva, először be kell állítani a G Data WebAdministratort, vagy telepíteni kell a G Data Administratort egy olyan hálózati kliensre, amelyiknek hozzáférése van a fő ManagementServerhez (lásd 5. fejezet). A használt alkalmazástól függetlenül az adminisztrátor a helyi vagy a domainadminisztrátor felhasználói fiókkal jelentkezhet be. Néhány opció beállítása szükséges még a kliensek telepítése előtt. A „SZERVERBEÁLLÍTÁS-
(SERVER SETUP WIZARD), amely a G Data Administratorban az első bejelentkezéskor elindul, segít a létfontosságú beállításokban, a G Data Administratorban és a G Data WebAdministratorban is futtatható. A kezdeti beállításokat követően a varázsló később is futtatható az „ADMIN” menüből, továbbá a legtöbb beállítási lehetőség külön is elérhető a G Data Administrator különféle konfigurációs menüiből. A szerverbeállítás-varázsló első lépése a klienstelepítést takarja. A kezdeti beállításoknál ez a lépés kihagyható (a 4.7. fejezetben olvashatók a különféle klienstelepítési megoldások). Az automatikus internetes frissítés beállítása lényeges lépés. Ezek a beállítások szabják meg a vírusszignatúra-frissítések és a programfrissítések letöltését a G Data frissítőszerverről az MMS számára. A további, hálózati klienseket érintő frissítések szétosztását egy későbbi fázisban lehet beállítani. Amennyiben a termék a telepítés alatt regisztrálva lett, a felhasználónév és a jelszó itt már előre ki van töltve. Ellenkező esetben az INTERNETES FRISSÍTÉS (INTERNET UPDATE) eszköz használható a termék regisztrálására, a felhasználónév és a jelszó megszerzésére (lásd 4.5. fejezet). A frissítési időzítést a kliens vírusszignatúrákkal és a kliens programfájljaival kapcsolatosan a hálózat igényeinek megfelelően kell beállítani. Ellenőrizze a kétféle időzítést, és szükség szerint módosítsa azokat. Az állandó internetkapcsolattal rendelkező szerverekhez a frissítések óránkénti (hourly) ellenőrzése az ajánlott beállítás. Az óránkénti frissítésnél a pontos frissítési idő megadható az órát követő percek beállításával. Például a programfrissítések keresése 15 perccel, míg a szignatúrafrissítések 45 perccel az adott óra megkezdése után történjenek. Ne állítsa mindkét frissítés keresését egyazon időpontra, ezzel elkerülve az esetleges átmeneti teljesítménycsökkenést. VARÁZSLÓ”
: G Data Administrator, Szerverbeállítás-varázsló, Kliensek engedélyezése A következő lépés az e-mail jelentések beállítása. Ennek a beállítása nem szükséges ugyan a Szerverbeállítás-varázsló (Server setup wizard) befejezéséhez, ugyanakkor célszerű itt beállítani. Tekintse meg a 6.2. fejezetet bővebb információkért az e-mail jelentések beállításával kapcsolatosan. Ha úgy dönt, hogy nem állítja be most azonnal az e-mail jelentéseket, ez a megfelelő idő az e-mail szerver beállítások megadására, illetve a címzett csoportok meghatározására. A „fogaskerék” ikon megnyomásával nyithatja meg az „E-MAIL BEÁLLÍTÁSOK” (E-MAIL SETTINGS) ablakot, ahol megadhatja az SMTP szervert. Adjon meg egy valós SMTP szervert és portot (általában 25), továbbá egy küldő e-mail címet. Az itt megadott e-mail cím lesz – többek között – használandó válaszcímként, amikor különféle
elemeket küld be a G Data Security Labsbe. A „LEVÉLCSOPORTOK” (MAIL GROUPS) alatt meghatározhatóak a címzettek csoportjai, amelyek később e-mail jelentésekre, illetve egyéb funkciókra lesznek használva. A létrehozott Adminisztrátori, Menedzsment vagy Technikusi csoportokhoz jutnak el a megfelelő szerverüzenetek vagy vészhelyzeti figyelmeztetések. A levelezőszervert vagy a címzett csoportokat érintő beállítások később is módosíthatóak a „SZERVERBEÁLLÍTÁSOK” (SERVER SETTINGS) ablakban. A „SZERVERBEÁLLÍTÁS-VARÁZSLÓ” (SERVER SETUP WIZARD) legutolsó lépése néhány alapszintű beállítást tartalmaz a mobileszközök kezelésével kapcsolatosan. Adjon meg egy jelszót, amellyel a mobileszközök hitelesíteni tudnak a ManagementServerrel. Ahhoz, hogy használhassa a vészhelyzeti intézkedéseket, meg kell adnia az ön Google Cloud Messaging fiókja „KÜLDŐAZONOSÍTÓJÁT” (SENDER ID) és „API KULCSÁT” (API KEY). Ingyenes fiókok regisztrálhatóak ehhez a „push” figyelmeztető keretrendszerhez a code.google.com/apis/console webcímen. Olvassa el a 11.6. fejezetet bővebb információkért a „Cloud Messaging” fiók beállításával kapcsolatban. Ezek a beállítások később módosíthatóak a „MOBIL” (MOBILE) fül megnyitásával a „SZERVERBEÁLLÍTÁSOK” (SERVER SETTINGS) ablakban. Miután a mobileszközök beállítása megtörtént, a „SZERVERBEÁLLÍTÁS-VARÁZSLÓ” (SERVER SETUP WIZARD), a klienstelepítések elindításával, befejeződik (részletesebben tárgyalva a 4.7. fejezetben), azonban még bizonyos kiegészítő beállítások szükségesek, mielőtt a kliensprogram települne a hálózatra. Az „OPCIÓK” (OPTIONS) menü alatt, a „SZERVERBEÁLLÍTÁSOK” (SERVER SETTINGS) ablakban létfontosságú beállítások találhatóak a kliensszinkronizációval és a frissítésekkel kapcsolatosan. A „SZINKRONIZÁCIÓ” (SYNCHRONIZATION) fülön beállítható a „FŐ SZERVER SZINKRONIZÁCIÓS INTERVALLUMA A KLIENSEK SZÁMÁRA”
(MAIN SERVER SYNCHRONIZATION
INTERVAL FOR CLIENTS). Ez az érték határozza
meg, hogy a kliensek milyen gyakran ellenőrzik azt, hogy az MMS-en elérhető e új frissítés vagy beállítás. Minél több kliens található a hálózatban, annál nagyobb lesz a hálózat terhelése az általános szinkronizációnál. Az 5 perc elfogadható értéknek számít, amely csökkenthető, ha a hálózaton csak kevés kliens található, illetve növelhető, amennyiben a kliensek hálózat terhelési csúcsokat okoznak. A „SZOFTVERFRISSÍTÉSEK” (SOFTWARE UPDATES) fül a kliens-programfrissítések tervezett szétosztásának engedélyezésére szolgál. Az olyan hálózatokhoz, amelyeken több mint 10 kliens található, a tervezett szétosztás csökkenti a szerver és a hálózat terhelési csúcsait, amely akkor fordulhat elő, ha kliensprogramfájlfrissítés válik elérhetővé. Továbbá a segítségével a kliensek csoportokra oszthatóak, így a kritikus rendszerek frissítése későbbre időzíthető, miután a tesztplatformok frissítése az első lépcsőben már megtörtént. A szignatúrafrissítéskor fellépő magas szerverterhelés elkerülésére lehetőség van a peer-to-peer szétosztás engedélyezésére, a „VÍRUSADATBÁZIS” (VIRUS DATABASE) fülön, az „INTERNETES FRISSÍTÉS” (INTERNET UPDATE) menüben. Ez engedélyezi a kliensek számára, hogy egymás frissítőszervereként viselkedhessenek, szétosztva a programfájlokat és a szignatúrafrissítéseket. A peer-to-peer frissítésszétosztás teljes mértékben a fő MMS által van vezérelve, és beavatkozás nélkül működik, a beállított kliensport által biztosítva (lásd 2.2. fejezet). A haladó beállítások a megfelelő konfigurációs fájl szerkesztésével módosíthatóak (lásd 16. fejezet). Olvassa el a 7.3.2. fejezetet bővebb információért a tervezett szétosztással és a peerto-peer szétosztással kapcsolatosan.
4.5
Szerverfrissítés és regisztráció
A „SZERVERBEÁLLÍTÁS-VARÁZSLÓ” (SERVER SETUP WIZARD) beállítja a ManagementServert, hogy az rendszeresen ellenőrizze a vírusszignatúra- és kliens-programfrissítéseket. A ManagementServer nem képes automatikusan frissíteni önmagát, mert a frissítéshez szükség van a
ManagementServer háttérben futó szolgáltatásának az újraindítására, így ezeket mindig manuálisan kell indítani. Amennyiben van elérhető programfrissítés a ManagementServerhez, arról az ügyfeleinket rendszerint e-mail formájában értesítjük. Alternatív megoldásként az „INTERNETES FRISSÍTÉS” (INTERNET UPDATE) eszköz használható a frissítések ellenőrzésére. A ManagementServer frissítések ellenőrzéséhez kattintson A START > (MINDEN) PROGRAM > G DATA > G DATA MANAGEMENTSERVER > INTERNET UPDATE LEHETŐSÉGRE (START > (ALL) PROGRAMS > G DATA > G DATA MANAGEMENTSERVER > INTERNET UPDATE). Ez az eszköz számos funkciót biztosít a G
Data ManagementServer frissítésével kapcsolatosan. A programfrissítő fájlok ellenőrzéséhez kattintson a „PROGRAMFÁJLOK FRISSÍTÉSE (SZERVER)” (UPDATE PROGRAM FILES [SERVER]) lehetőségre. Ez ellenőrzi a G Dara frissítőszervereket a frissített ManagementServer programfájlokkal kapcsolatban, és amennyiben van elérhető frissítés, elindítja a telepítési folyamatot.
: Internetes Frissítés Annak érdekében, hogy a frissítés megtörténjen, akár az Internetes Frissítésen, akár a G Data ManagementServer automatikus frissítési folyamatán keresztül, szükséges a felhasználónév, illetve a jelszó megadása. Ezek az adatok az online regisztráció alkalmával lesznek hozzáférhetőek, amely általában a ManagementServer telepítése közben megtörténik. A varázsló automatikusan kéri a felhasználónevet és a jelszót, majd elmenti azokat. Amennyiben a regisztráció nem történt meg a telepítés alatt, a termék később, manuálisan, online is regisztrálható, az „INTERNETES FRISSÍTÉS” (INTERNET UPDATE) eszköz segítségével. Kattintson az „ONLINE REGISZTRÁCIÓRA” (ONLINE REGISTRATION) a regisztrációs formanyomtatvány megnyitásához. Töltse ki a formanyomtatványt, győződjön meg arról, hogy helyesen adta meg a regisztrációs számot. A „BEJELENTKEZÉSRE” (LOGIN) kattintva elküldi az adatokat a G Data számára, majd generálódik egy felhasználónév és jelszó. Gondosan jegyezze fel a fejhasználónevet és a jelszót, mert a regisztrációs szám csak egyszer használható. A ManagementServer esetleges újratelepítésekor a felhasználónév és a jelszó a telepítővarázslóban megadható, így engedélyezve a frissítéseket. A ManagementServer-frissítések kiegészítéseként az Internetes Frissítés szintén le tudja tölteni a
kliens-programfrissítéseket és a vírusszignatúra-frissítéseket. Ez a funkció megegyezik a G Data Administratorban találhatóval, azzal az eltéréssel, hogy a frissítéseket lehetőség van helyi könyvtárból is betölteni, így azok a szerverek is frissíthetőek, amelyek nem rendelkeznek internet-hozzáféréssel (lásd 7.3.1. fejezet).
4.6
A szerveradatbázis biztonsági mentése és visszaállítása
Mint minden egyéb fontos adat esetében, ajánlott a G Data ManagementServer adatbázisáról rendszeresen biztonsági mentést készíteni. Esetleges hardver- vagy az adattárolókat érintő meghibásodás esetére az adatbázis így elérhető marad, és a ManagementServer gyorsan újra működésbe állítható. Attól függően, hogy a telepítéskor milyen megoldást választott, az adatbázist vagy a helyi SQL Server Express példány tárolja, vagy egy távoli SQL Servertelepítés. A GdmmsConfig.exe eszköz használatával az adatbázis teljes mértékben lementhető, függetlenül annak tárolási helyétől. A GdmmsConfig.exe a G Data ManagementServer telepítési könyvtárában található, általában a C:\Program Files (x86)\G DATA\G DATA\AntiVirus ManagementServer útvonal alatt. A kezelőfelületén számos paraméter található az SQL szervertelepítéssel kapcsolatosan. A szerver neve, a hitelesítés, illetve az adatbázis adatai automatikusan kiolvasódnak a ManagementServer konfigurációjából. A szerver neve lehet helyi SQL Server Express példány vagy egy távoli SQL Server. A bejelentkezési adatok megadása körültekintést igényel, a felhasználói fióknak hozzáféréssel kell rendelkeznie az adatbázisszerverhez, illetve írásjoggal az adatbázis biztonsági mentés könyvtárához. Az adatbázis neve alapértelmezettként „GDATA_AntiVirus_ManagementServer”, de ez szükség szerint megváltoztatható, fejlettebb adatmozgatás vagy adat-visszaállítási forgatókönyv esetén. Kattintson a „BEÁLLÍTÁSOK TESZTELÉSE” (TEST SETTINGS) gombra az adatbázis sikeres megnyitásának ellenőrzéséhez.
: GdmmsConfig.exe Kattintson az „ADATBÁZIS BIZTONSÁGI MENTÉS LÉTREHOZÁSA” (CREATE DATABASE BACKUP) gombra a könyvtár kiválasztásához. Ha helyi adatbázisszerver van beállítva, akkor lehetőség van helyi könyvtár kiválasztására. Amennyiben távoli SQL szerver példány van beállítva, az útvonalat UNC útvonal formájában kell megadni (például: \\Backupserver\C$\Backups). Az adatbázis biztonsági mentés visszaállításához kattintson AZ „ADATBÁZIS VISSZAÁLLÍTÁSA” (RESTORE DATABASE) gombra. Ezt követően megnyílik egy könyvtárválasztó ablak, amelyben a legutoljára
használt könyvtár található, de az adatbázis bármilyen másik könyvtárból is visszaállítható. A GdmmsConfig.exe használható parancssoros alkalmazásként is, amely elősegíti az automatikus adatbázis biztonsági mentéseket. Biztosítva azt, hogy az adatbázis biztonsági mentése rendszeresen megtörténjen, hozzáadható egy új feladat a Windows feladatütemezőhöz (Windows Task Scheduler) (Start, Futtatás, taskschd.msc). A heti időzítésű feladat a megfelelő biztonsági mentés parancsok alkalmazásával biztosítja, hogy vészhelyzet esetén mindig az aktuális adatbázis biztonsági mentés álljon rendelkezésre. A pontos parancsok az aktuális SQL szervertelepítéstől függenek. Ha a ManagementServer helyi SQL Server Express példány használatára van beállítva, az esetek többségében a gdmmsconfig.exe /dbfullbackup /DBBackupFolder:könyvtár parancs megfelelő, ahol a „könyvtár” behelyettesítendő a biztonsági mentés könyvtár pontos elérési útvonalával. Ez kapcsolódik az adatbázishoz a tárolt bejelentkezési adatokkal (amelyet ellenőrizhet a GdmmsConfig.exe felületén), és eltárolja a biztonsági mentést a meghatározott célkönyvtárban. Ehhez az kell, hogy a helyi felhasználói fiók rendelkezzen a szükséges jogosultságokkal az adatbázishoz való csatlakozáshoz, illetve a fájl eltárolásához a célkönyvtárban. Amennyiben az adatbázis biztonsági mentés vagy visszaállítási könyvtár korábban ki lett választva a GdmmsConfig.exe felületén, a /DBBackupFolder paraméter kihagyható, így a korábban beállított könyvtárat használva a biztonsági mentéshez. Amennyiben a ManagementServer egy távoli SLQ Server példányt használ, több paraméter megadása szükséges, beleértve a felhasználónév, jelszó, az adatbázis neve, illetve az adatbázis példány adatokat: gdmmsconfig.exe /dbfullbackup /DBBackupFolder:könyvtár /Logon:felhasználónév /Password:jelszó /Database:adatbázis /ServiceInstance:sqlszervernév. A biztonsági mentés könyvtárát UNC útvonal formájában kell megadni, továbbá a bejelentkezési fióknak rendelkeznie kell írásjogosultsággal. Például a „DATABASESRV” szerveren található „GDSQLSRV2K” adatbázissal, „MMS” biztonsági mentés könyvtárral a „BACKUPSRV” szerveren, „BackupAdmin” fiókkal és „Jelszó” jelszóval, a parancs a következőképpen néz ki: gdmmsconfig.exe /dbfullbackup /DBBackupFolder:\\BACKUPSRV\MMS /Logon:BackupAdmin /Password:Jelszó /Database:GDSQLSRV2K8 /ServiceInstance:DATABASESRV. Mint minden más biztonsági mentéssel kapcsolatos feladatnál, ellenőrizni kell, hogy a beállított feladat megfelelően lefutott, illetve ténylegesen létrejött a kívánt helyen. Ezen biztonsági mentés és visszaállítási funkciók használatával a GdmmsConfig.exe adatbázistesztekre és adatmozgatási forgatókönyvekre is használható. Bővebb információkért olvassa el a 17.2. fejezetet.
4.7
Klienstelepítés
A teljes hálózatot érintő telepítés megkezdése előtt győződjön meg róla, hogy az alapértelmezett kliens biztonsági beállítások a szükségletek és a házirendek szerint lettek beállítva. A G Data Administrator „KLIENSBEÁLLÍTÁSTOK” (CLIENT SETTINGS) modulja használható a biztonsági beállítások módosítására minden kliensnél egyszerre, a fő MMS-t vagy egy olyan csoportot kiválasztva, ahol elkülönített beállításokra van szükség. Tekintse meg a 8. fejezetet a kliens biztonsági beállítások áttekintésével kapcsolatban. A klienseket hozzá kell adni a G Data ManagementServer klienskezelő területéhez, mielőtt a kliensprogram telepíthető lenne rájuk. Ennek segítségével az adminisztrátorok rálátást kapnak a hálózati kliensekre, beleértve azokat is, amelyekre a program még nem lett telepítve. Ahhoz, hogy az MMS érzékelje a klienseket, azokat engedélyezni (enabled) kell. Ez a folyamat többféle módon kezdeményezhető. A G Data Administrator „SZERVERBEÁLLÍTÁS VARÁZSLÓJA” (SERVER SETUP WIZARD) tartalmaz egy listát a hálózaton belül felismert kliensekről, itt egy egyszerű
egérkattintással engedélyezheti azokat. Amennyiben egy kliens nem jelenik meg a listában, manuálisan is hozzáadható a gép nevének vagy IP címének a megadásával. Alternatív megoldásként a klienskezelő területen jobb kattintással egy szerveren vagy csoporton, majd a „KLIENS ENGEDÉLYEZÉSE” (ENABLE CLIENT) kiválasztásával engedélyezhetőek a kliensek. A következő ablakban megadható bármilyen számú engedélyezendő kliens. A harmadik lehetőség A „SZÁMÍTÓGÉP(EK) KERESÉSE” (FIND COMPUTER[S]) párbeszédablak használata, amely a „SZERVEZET” (ORGANIZATION) menüben található. Egy teljes IP tartományban kereshetőek az aktív kliensek, amelyek azután közvetlenül engedélyezhetőek. Végezetül az Active Directory szinkronizálás is engedélyezni tudja a klienseket. Kapcsoljon hozzá egy MMS csoportot egy Active Directory szervezeti egységhez, hogy automatikusan importálja annak klienseit az MMSbe (lásd 7.2. fejezet). A kliensek manuális engedélyezéséhez válassza ki a megfelelő ManagementServert a klienskezelő területen, kattintson a „KLIENS ENGEDÉLYEZÉSÉRE” (ENABLE CLIENT) az eszköztáron, majd adja meg a kliens nevét. Az, hogy mely kliensek kerülnek a G Data klienstelepítésbe, az adminisztrátortól függ. Ajánlott minden egyes számítógépet védeni a vállalati hálózatban. Akár egyetlen védelem nélküli gép is lehetséges bejutási pont a kártékony programok számára. Mindegyik Windows, Linux és Android alapeszközt védeni kell a G Data-val, ebbe beletartoznak a szerverek és a kliensek is. Bár nem mindegyik G Data biztonsági modul egyformán hasznos a szerverek számára (a kliensorientált tűzfal például), a G Data kliens kártevőellenes modulja, mint például a fájlrendszervédelem, tökéletes védelmet nyújt a szerverek számára is. Vegye figyelembe, hogy a szerver típusától függően külön tesztek végrehajtása szükséges. A stabilitást és a teljesítményt optimalizálni kell. Számos kivétel beállítására szükség lehet a fájlrendszervédelem és a keresési feladatok számára, mint például a rendszeresen használt adatbázisfájlok az adatbázisszerveren, a levelezőszerver email adatbázisa vagy különféle napló- és menedzsmentfájlok a domain vezérlőn3. A kliensek engedélyezési módjától függően a kliens telepítése azonnal megkezdődhet. A szerverbeállítás-varázsló lehetőséget ad távoli telepítésére a klienseken, amelyeket engedélyez. Az Active Directory szinkronizáció használatakor a távoli telepítés szintén közvetlenül végrehajtható. Ha a távoli telepítéshez a rendszerkövetelmények rendelkezésre állnak (lásd 4.7.1. fejezet), akkor kényelmesen meggyőződhet arról, hogy minden egyes kliens közvetlenül ki lett szolgálva a G Data Security Clienttel. Mindamellett számos egyéb telepítési eljárás van, amellyel egyszerűen és gyorsan megbizonyosodhat arról, hogy azok a kliensek is biztonságban vannak, amelyekre a kliensprogramot nem lehet vagy nem szükséges távolról telepíteni. A G Data Administrator segítségével létrehozható egy klienstelepítő csomag. Ez a futtatható fájl tartalmaz minden egyes G Data Security Client telepítőfájlt, továbbá előre meghatározott beállításokat, így a kliens a telepítést követően fel tudja venni a kapcsolatot az MMS-sel. Ez a telepítőcsomag felmásolható bármelyik hálózati kliensre, helyileg vagy akár távolról is futtatható, nem igényel további beavatkozást. Alternatív megoldásként a helyi telepítés is megoldható, a G Data telepítő médium szintén tartalmazza a Security Client telepítőfájljait.
A gyártói dokumentációban tájékozódjon a kritikus folyamatokkal, fájlokkal és könyvtárakkal kapcsolatosan. Például a Microsoft kiadott egy útmutatást a Exchange Server termékeihez: http://technet.microsoft.com/bb332342. További információk érhetőek el a G Data TechPapter #0131, G Data Security Client & Microsoft Server fejezetében. 3
4.7.1 Távoli telepítés A G Data Security Client távoli telepítése a „Szerverbeállítás-varázslón” (Server setup wizard) keresztül is kezdeményezhető, az Active Directory szinkronizációval vagy egy kliens kiválasztásával a „Kliensek” (Clients) áttekintésben, jobb egérgombbal kattintva a kliensen, majd kiválasztva a „G Data Security Client telepítése” (Install G Data Security Client) lehetőséget. A távoli telepítés a legkönnyebb módja a G Data Security Client telepítésének, emellett idő is spórolható vele, mert az adminisztrátornak nem szükséges fizikailag hozzáférnie a kliensgéphez. Azonban egy pár konfigurációs változtatás szükséges ahhoz, hogy a G Data Security Client távolról telepíthető legyen: • •
• •
•
Gdmms.exe-nek hozzáféréssel kell rendelkeznie a hálózathoz (tűzfalkivételek beállítása szükséges). Windowsos munkacsoportban az „Egyszerű fájlmegosztás” (Simple file sharing) (Windows XP) vagy a „A megosztási varázsló használata” (Use sharing wizard) lehetőséget (Windows Vista vagy Windows 7) ki kell kapcsolni. Ez alapértelmezettként minden Windows klienstelepítésben engedélyezve van. Ehhez Windows intéző alatt kattintson a Rendezés > Mappa és keresés beállításai > Nézet > A megosztásvarázsló használatára, majd kapcsolja ki azt. (Windows Explorer > Organize > Folder and search options > View > Use sharing wizard). A Felhasználói fiókok felügyeletét (UAC) ki kell kapcsolni. Hozzáférési jogosultságnak az UNC megosztásokhoz, C$ és Admin$ elérhetőnek kell lenniük. Ez lehet helyi vagy domainadminisztrátori fiók. A fiókhoz egy jelszó beállítása szükséges, a jelszó mező üresen hagyása nem megengedett. A „Távoli beállításjegyzék” (Remote regisrty) szolgáltatást engedélyezni kell a szolgáltatások alatt.
Windows 8, Windows 8.1 és Windows Server 2012 operációs rendszeren az olyan klienseknél, amelyek a munkacsoport részei, az Admin$ UNC megosztáshoz a hozzáférés nem elérhető. Annak érdekében, hogy a sikeres távoli telepítés biztosítható legyen, szükséges egy új kulcs hozzáadása a rendszerleíró adatbázisba. Nyissa meg a beállításszerkesztőt, majd navigáljon a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System kulcshoz. Adjon hozzá egy LocalAccountTokenFilterPolicy nevű DWORD-öt (Duplaszó), 1-es értékkel, a Security Client távoli telepítésének engedélyezéséhez. Alternatív megoldásként Windows 8-ra telepítse a klienseket helyi telepítéssel vagy klienstelepítő csomag segítségével. Ha minden egyes feltétel teljesült, megkezdhető(ek) a távoli telepítés(ek). A telepítés indításának függvényében bizonyos megválaszolandó kérdések felmerülhetnek. A G Data Security Client telepítésének nyelve a legördülő menüből kiválasztható. Vegye figyelembe, hogy ez a beállítás később nem módosítható, amennyiben később meg szeretné változtatni a nyelvet, akkor a kliens újratelepítése szükséges. Lehetőség van a tűzfal (firewall) távoli telepítésére is. Ha valami oknál fogva a tűzfal telepítése most nem lehetséges, akkor az később távolról is telepíthető a „TŰZFAL” (FIREWALL) modulon keresztül (lásd 13.1. fejezet). A háttérben a távoli kliensek telepítése kétféleképpen történhet. Ha a kliens megfelel a szükséges előfeltételeknek, a fájlok közvetlenül átmásolásra kerülnek, illetve a szükséges bejegyzések megtörténnek a rendszerleíró adatbázisba. Ha a szerver csak a merevlemezhez fér hozzá, de a rendszerleíró adatbázishoz már nem, vagy egyéb rendszer-előfeltételek nem teljesülnek, akkor az
egész telepítőprogram átmásolásra kerül a kliensre, majd automatikusan elindul a számítógép következő újraindításakor.
Ha az utóbbi nem sikerül teljes mértékben, a telepítés megszakad.
: G Data Administrator, Telepítési áttekintés
A távoli telepítés menetének nyomon követéséhez a „TELEPÍTÉSI ÁTTEKINTÉS” (INSTALLATION OVERVIEW) párbeszédablak használható. Ez automatikusan megnyílik távoli telepítési feladat hozzáadásakor vagy a „TELEPÍTÉSI ÁTTEKINTÉS” (INSTALLATION OVERVIEW) gombra kattintva a klienskezelő terület eszköztárán. Az itt található listában látható az összes folyamatban lévő és befejezett távoli telepítési feladat. A „TÍPUS” (TYPE) oszlopban a telepítés típusa látható (G Data Security Client és/vagy G Data Firewall vagy alhálózati szerver). Miután a távoli telepítés befejeződött, az „ÁLLAPOT” (STATUS) oszlop tartalma frissül. Bizonyos esetben, például ha G Data Tűzfal lett telepítve, a kliens újraindítása szükséges a telepítés befejezéséhez. A telepítési folyamat létrehoz egy jelentést a „JELENTÉSEK” (REPORTS) modulban, amennyiben szükséges az újraindítás. Ha valamilyen oknál fogva a távoli telepítés nem lehetséges, a hiba megjelenik az „ÁLLAPOT” (STATUS) oszlopban. További lényeges hibakódok megtalálhatóak a rendszerleíró adatbázisban (lásd 4.7.4. fejezet). Ha a távoli telepítés többször is meghiúsul, a G Data Security Client és a G Data „Tűzfal” (Firewall) helyileg vagy a klienstelepítő csomag használatával is telepíthető.
4.7.2 Helyi telepítés A G Data Security Client bármilyen támogatott operációs rendszerrel rendelkező kliensre vagy szerverre telepíthető helyileg. Ez hasznos olyan esetekben, ahol a hálózati kliens nem egyazon domainben található, mint a fő MMS, vagy a kliens a távoli telepítéssel szemben támasztott rendszerkövetelményeknek nem felel meg, illetve a kliens nem rendszeresen csatlakozik a hálózathoz (laptop). A G Data telepítő médium tartalmaz egy telepítőfájlt, amely helyi rendszergazdai jogosultsággal futtatható bármilyen kliensen. A Security Client telepítő tartalmazza az összes elérhető nyelvet. A telepítővarázsló használata egyszerű, csak a fő MMS nevének megadására van szükség, amelyhez a kliensnek csatlakoznia kell. Miután a telepítés befejeződött, a kliens perceken belül csatlakozik az MMS-hez, ahol láthatóvá válik a klienskezelő területen (client management area). A helyi telepítővarázsló nem telepíti fel a „TŰZFAL” (FIREWALL) komponenst. A tűzfal
telepítésének ajánlott módja a G Data Administrator „TŰZFAL” (FIREWALL) modulján keresztül, távoli telepítésként. Ha a tűzfalat szintén helyileg szükséges feltelepíteni, egy paraméter hozzáadásával a telepítővarázslóhoz, engedélyezni lehet a telepítést. Nyissa meg a parancssort, majd navigáljon a \Setup\Client könyvtárba a G Data telepítési médiumon. Indítsa el a telepítővarázslót a setup.exe /v"INSTALLFW=yes" parancs használatával. Miután a telepítés befejeződött, a számítógép újraindítása szükséges.
4.7.3 Klienstelepítő csomag Ha a távoli telepítés nem lehetséges, ugyanakkor a helyi telepítés túl sok időt venne igénybe, praktikus megoldás lehet a klienstelepítő csomag. A ManagementServer képes létrehozni egy futtatható állományt, amely tartalmazza a kliensprogramfájlok és a vírusszignatúrák legfrissebb verzióját, továbbá előre meghatározott beállításokat, amelyek segítségével a kliens automatikusan csatlakozni tud a ManagementServerhez a telepítés után. A klienstelepítő csomag nem igényel semmilyen felhasználói beavatkozást, így ideális megoldás a G Data Security Client gyors telepítéséhez az egész domainben. Olyan hálózatokon, ahol Active Directory van használatban, indítási szkriptek (startup script) használhatóak, így a kliens a bejelentkezéskor megkapja a telepítőfájlt, amely automatikusan lefut a háttérben. A klienstelepítő csomag a G Data Administratorban hozható létre. Nyissa meg a „SZERVEZET” (ORGANIZATION) menüt, majd válassza ki a „G DATA SECURITY CLIENT TELEPÍTŐCSOMAG LÉTREHOZÁSA” (CREATE G DATA SECURITY CLIENT INSTALL PACKAGE) lehetőséget. Ezt követően meg kell adni a telepítés nyelvét, illetve a ManagementServert. A Security Client ezen a nyelven kerül telepítésre, és az itt megadott ManagementServerhez fog csatlakozni. Végezetül megadható egy tároló könyvtár. A G Data Administrator a háttérben hozza létre a telepítőcsomagot, ami igénybe vehet pár percet. Ezen idő alatt ne zárja be az Administrator programot. A klienstelepítő csomag tartalmazza az aktuális Security Client verziót és a legfrissebb vírusszignatúrákat. Ez biztosítja azt, hogy a kliens azonnal optimális mértékben védve lesz anélkül, hogy előbb le kellene töltenie a ManagementServerről a frissítéseket. Ugyanakkor ez azt is jelenti, hogy amennyiben a kliensek telepítése elhúzódik, hosszabb ideig tart, akkor rendszeres időközönként új telepítőcsomagot kell létrehozni. Amint a telepítőcsomag elkészült, át kell másolni a kliens(ek)re, majd futtatni. Bármilyen, már feltelepített Security Clientet el kell távolítani, a telepítőcsomag csak abban az esetben működik, ha semmilyen telepítés nem található a számítógépen. A telepítőcsomag mérete miatt nem ajánlott azt valamilyen hálózati megosztásról futtatni, mert a telepítés esetleg hibával megállhat. A körülbelül 10-15 perces telepítéssel a folyamat némileg tovább tart, mint a távoli telepítés vagy a helyi telepítés a telepítő médiumról. Mialatt a Security Client települ, a felhasználó tovább használhatja a számítógépet. 15 perc elteltével a klienst kétszer újra kell indítani a telepítés befejezéséhez. Alapértelmezettként a klienstelepítő csomag nem telepíti a Tűzfal (Firewall) modult. Ha szükséges, akkor a tűzfal utólag, távolról telepíthető a G Data Administrator Tűzfal (Firewall) modulján keresztül. Alternatív megoldásként a klienstelepítő csomag parancssorból, egy meghatározott paraméterrel indítva, kényszeríthető a tűzfal telepítésére. A parancssorban navigáljon ahhoz a könyvtárhoz, amely a telepítőcsomagot tartalmazza, majd adja ki a következő parancsot: gdclientpck.exe /fw. Ez elindítja a telepítési folyamatot, amely feltelepíti a Security Clientet és annak Firewall (Tűzfal) modulját is. Ez a megoldás nem használható csak a tűzfal külön telepítésére. Amennyiben a számítógépen már megtalálható a Security Client, akkor a
telepítés ilyenkor megszakad.
4.7.4 Hibaelhárítás Függetlenül attól, hogy helyileg, távolról, vagy a klienstelepítő csomaggal lett telepítve egy kliens, hibák előfordulhatnak. Különösen a távoli telepítésnél nehézkes a hibák észlelése, mert a folyamat távolról lett indítva. Ha egy kliens a telepítés után nem csatlakozik a ManagementServerhez, annak több oka lehet. Rendkívül fontos, hogy a kliens és az MMS hálózati kapcsolatot tudjon létesíteni egymással (lásd 4.8. fejezet). Ha van elérhető hálózati kapcsolat, de a kliens mégsem csatlakozik az MMS-hez, valószínűleg hiba lépett fel a G Data Security Client telepítése közben. Hiba esetén a telepítő bejegyez egy hibakódot a rendszerleíró adatbázisba. A beállításszerkesztő megnyitása után navigáljon a következő kulcshoz: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\G DATA\AVKClient4. Az InstallError értéke az egyik, felsorolt telepítési hibakódot fogja tartalmazni:
Hibakód 0 (Sikeres) 2 (Sikeres) 10 12 13 14 17 18 19 22 23 27 28 29 40 42 44 48 49 50 51 52
Leírás A telepítés sikeres A szerver neve sikeresen frissítve A megadott jelszó hibás A forrásfájlt tartalmazó útvonal nem található Nincs kapcsolat a Service Control Managerhez vagy a Távoli beállításjegyzékhez A fájlokat nem lehetett másolni A kliens operációs rendszernek NT alapúnak kell lennie Csatlakozási hiba a Távoli beállításjegyzék (Remote registry) szolgáltatáshoz A kliens már telepítve van Nem lehet kiolvasni a rendszer- és a programútvonalat a kliensen Csatlakozási hiba a Távoli beállításjegyzék (Remote Registry) szolgáltatáshoz A számítógép nem rendelkezik a megfelelő hibajavító csomag szinttel (Szervizcsomag) A fájlok használatban vannak A kliens nem lett újraindítva a kliens eltávolítása után Linux telepítési hiba: belső hiba Linux telepítési hiba: fájl nem található A kliens nincs kapcsolódva Hitelesítési hiba (megfelel a 10-es hibakódnak) Tűzfal-telepítési hiba A tűzfal telepítése a kliens telepítése nélkül lett megkísérelve A tűzfal már telepítve van A tűzfal telepítése szerver operációs rendszerre lett megkísérelve
A legtöbb hibaüzenet elhárítható a megfelelő jogosultságok helyes beállításának, illetve a távoli telepítés rendszerkövetelményeinek ellenőrzésével (lásd 4.7.1. fejezet). Telepítési hiba esetén, az újratelepítés megkísérlése előtt, győződjön meg arról, hogy az érintett kliensen nem maradtak Security Clienttel kapcsolatos fájlok. Az AV-Cleaner eszköz segíthet a telepítésből megmaradt, visszamaradt fájlok eltávolításában (lásd 17.2.4. fejezet).
4
32 bites rendszeren: HKEY_LOCAL_MACHINE\SOFTWARE\G DATA\AVKClient.
4.7.5 Mobilkliensek Az Android-telepítések a G Data Administratorból kezdeményezhetőek. A telepítés előtt néhány előzetes beállításra van szükség. A „SZERVERBEÁLLÍTÁS > MOBIL” (SERVER SETTINGS > MOBILE) fülön adjon meg egy jelszót a „HITELESÍTÉS MOBILKLIENSEK SZÁMÁRA” (AUTHENTICATION FOG MOBILE CLIENTS) alatt. Az itt beírt jelszót kell megadni a programban, hogy az hitelesíteni tudjon a G Data ManagementServerrel. Továbbá győződjön meg arról, hogy a ManagementServer képes kapcsolatokat fogadni a 7184-es TCP porton. A mobilkliensek ezen a porton keresztül kapcsolódnak a szerverhez, hogy letöltsék az Android program telepítőfájlt. A telepítési folyamat e-mailen keresztül hajtható végre. A klienskezelő területen kattintson a „TELEPÍTÉSI LINK KÜLDÉSE A MOBILKLIENSEKNEK” (SEND INSTALLATION LINK TO MOBILE CLIENTS)
gombra. Az e-mail címek listája megadható, az aktivációs e-mail bármilyen e-mail címre elküldhető. A kliensen megnyitva, az e-mailben található linkkel letölthető az Internet Security for Android telepítőfájlja a ManagementServerről. Koppintson a letöltési linkre a telepítő APK fájl letöltéséhez. Az „ISMERETLEN FORRÁSBÓL (NEM PIACTÉR-ALKALMAZÁSOK TELEPÍTÉSÉNEK ENGEDÉLYEZÉSE)” (UNKNOWN SOURCES (ALLOW INSTALLATION OF NON-MARKET APPS) lehetőséget engedélyezni kell, hogy az APK fájl telepíthető legyen. Ez a beállítás általában az Android rendszerbeállításainál, a „BEÁLLÍTÁSOK > BIZTONSÁG > ESZKÖZKEZELŐ” (SETTINGS > SECURITY > DEVICE ADMINISTRATION) alatt található. Az APK fájl megnyitása, illetve a szükséges jogosultságok megerősítése után a G Data Internet Security feltelepül, majd az Android programmenüjéből elérhetővé válik. A képernyő jobb felső sarkában található „BEÁLLÍTÁSOK” (SETTINGS) ikonnal a program beállítható, hogy engedje a távoli adminisztrációt. Jelölje be a „TÁVOLI ADMINISZTRÁCIÓ ENGEDÉLYEZÉSE” (ALLOW REMOTE ADMINISTRATION) jelölőnégyzetet, majd a „SZERVERCÍMEK” (SERVER ADDRESSES) alatt adja meg a ManagementServer nevét vagy IP címét. Az „ESZKÖZNÉV” (DEVICE NAME) alatt megadhat egy nevet, ami alapján az eszköz azonosítva lesz a G Data Administratorban. A „JELSZÓ” (PASSWORD) azt a jelszót takarja, amely a G Data Administratorban meg lett adva (ezt a telepítő e-mail is tartalmazza). Az eszköz, a többi eszközzel együtt, a G Data Aministrator „KLIENSEK” (CLIENTS) moduljában listázásra kerül, és onnan kezelhető. Abban az esetben, ha az eszköz nem jelenik meg automatikusan a listában, indítsa újra azt, ezzel erőltetve a ManagementServerbe való bejelentkezést.
4.7.6 Linux kliensek A Linux kliensek, a Windows kliensekhez hasonlóan, hozzákapcsolhatóak a G Data ManagementServer infrastruktúrához, központilag vezérelhetőek a G Data Administratorral és támogathatóak szignatúrafrissítésekkel. Kétféle Linux kliens létezik. A munkaállomáskliens fájlrendszervédelemmel és grafikus felhasználói felülettel, a Windowsos AntiVirus modulnak megfelelő funkcionalitással, illetve a Szerver modul, amelyet olyan Linux szerverek számára szántak, amelyek windowsos hálózati kliensekkel kommunikálnak (az SMB protokoll használatával). Ez a modul minden egyes fájlhozzáférésnél ellenőrzi azt, így a kártékony programok nem kerülhetnek a szerverről a Windows kliensekre (vagy vissza).
: G Data Administrator, G Data Security Client for Linux telepítése A távoli telepítéshez a G Data Administrator segítségével válasszon ki egy Linux klienst a „KLIENSEK” (CLIENTS) modulban. A „KLIENSEK” (CLIENTS) menüben válassza ki a „G DATA SECURITY CLIENT LINUX TELEPÍTÉSE” (INSTALL G DATA SECURITY CLIENT FOR LINUX) lehetőséget. Válassza ki a kliens típusát, majd adja meg a számítógép nevét (amennyiben regisztrálva van a hálózat DNS szerverében) vagy az IP címét. A Security Client for Linux telepítéséhez meg kell adni a root jelszót. Szükséges a root jelszó beállítása abban az esetben is, ha a kliensen található Linux disztribúció alapértelmezettként ezt nem teszi meg (mint például Ubuntu). Kattintson az OK gombra a távoli telepítés megkezdéséhez. A „TELEPÍTÉSI ÁTTEKINTÉS” (INSTALLATION OVERVIEW) ablakban nyomon követhető a telepítési folyamat. Ha valamilyen oknál fogva a távoli telepítés nem lehetséges, a Security Client for Linux helyileg is telepíthető. Ehhez a G Data telepítő médiumon navigáljon a \Setup\LinuxClient könyvtárba. A könyvtár három fájlt tartalmaz: egy telepítőt, egy eltávolítót és a vírusszignatúrákat. Futtassa az installer.bin fájt a program telepítéséhez. A szignatúrákat nem szükséges telepíteni, a telepítés után a Security Client automatikusan lekéri a legfrissebb verziót a szerverről.
4.8
Telepítés befejezése
Miután befejeződött a szerver(ek) és a kliensek telepítése, rendkívül fontos ellenőrizni az összes folyamat megfelelő működését, illetve a biztonsági rendszabályok meglétét. A leglényegesebb, hogy mindegyik kliens képes legyen csatlakozni az MMS-hez. Alapértelmezettként mindegyik kliens ötpercenként jelenti az állapotát az MMS felé (kivéve időzített keresés közben). A G Data Administrator „KLIENSEK” (CLIENTS) modulja segít a kapcsolódási problémák lokalizálásában és a hiba elhárításában. Először ellenőrizni kell, hogy az összes kliens megjelent-e a kliensválasztó területen. Ha egy kliens nem található meg a listán, elképzelhető, hogy a telepítés nem megfelelően történt. A kliens telepítésétől függően próbálja meg manuálisan hozzáadni a klienst, majd engedélyezni azt, vagy ellenőrizze a hálózat Domainvezérlőjét, hogy a kliens hozzá van-e adva az Active Directoryhoz. Ha a kliens listázva van, az „UTOLSÓ HOZZÁFÉRÉS” (LAST ACCESS) oszlopban nézze meg, hogy az mikor csatlakozott utoljára az MMS-hez. Győződjön meg róla, hogy a kliens be van kapcsolva, és csatlakozik a hálózathoz. A TCP forgalomnak engedélyezve kell lennie a kapcsolódó portokon, a kliensen (7167/7169) és a szerveren (7161) egyszerre. Végezetül a kliensnek fel kell tudnia oldani a szerver IP címét. A kapcsolat teszteléséhez használja a telnet parancsot a kliensen, a szerverhez való kapcsolódáshoz: telnet <MMS IP> <MMS port>
Ha a kliens képes kapcsolódni a szerverhez, egy kódolt karakterhalmaz jelenik meg a képernyőn. Ha nincs kapcsolat, egy üres beviteli ablak jelenik meg. A „KLIENSEK” (CLIENTS) modullal és a klienskezeléssel kapcsolatosan bővebb információért olvassa el a 7. fejezetet.
: Telnet (kapcsolódva az MMS-hez) Ha az összes kliens rendszeresen kapcsolódik az MMS-hez, illetve védve van az alapértelmezett hálózati beállítások által, a telepítés fő része véget ért. Mindemellett még több szolgáltatás beállítása hátravan. A gyors konfigurációs változtatásokhoz állítsa be a G Data megoldást a távoli hozzáférés használatához (lásd 5. fejezet). Állítsa be a valós idejű védelmet minden egyes kliensnél, a szükségleteknek megfelelően (lásd 8. fejezet). Az ismétlődő, kártékony programok ellenőrzése (9. fejezet), biztonsági mentések indítása (11. fejezet) feladatok ütemezhetőek. Ha a telepítési forgatókönyv magában foglalja a Tűzfal (Firewall) komponenst, ellenőrizze a megfelelő beállítását (lásd 13. fejezet). A legtöbb beállítás a G Data Administratorral megadható, de bizonyos haladó beállítások a konfigurációs fájl szerkesztésével vagy specializált G Data konfigurációs eszközök használatával hozzáférhetőek (lásd 17. fejezet).
5. Távoli adminisztráció Előfordulhat, hogy bizonyos beállítások megváltoztatására váratlanul van szükség. Szükséges lehet a G Data ManagementServer beállításaihoz hozzáférni akkor is, amikor éppen úton van, vagy olyan számítógépről, amelyiken nem található meg a G Data Administrator. A G Data minden beállítási lehetőséget biztosít a böngészőn keresztül, illetve a leginkább használt beállítások elérhetőek a mobileszközökön is (mint például okostelefonok és tabletek). A G Data ManagementServer telepítése alatt a G Data Administrator konfigurációs eszköz is telepítésre kerül, ugyanarra a számítógépre. Ezt követően a G Data ManagementServer közvetlenül a szerverszámítógépen keresztül konfigurálható, vagy a Windows távoli asztal protokollján, vagy egyéb távoli elérést biztosító programon keresztül távolról bejelentkezve. Továbbá a G Data Administrator bármelyik másik számítógépről futtatható, amelyik hálózati kapcsolatban áll a szerverrel, nincs szükség munkamenet megnyitására a szerveren. A telepítési folyamat opcionális részeként a G Data megoldás konfigurációs képességei távolról elérhetővé tehetőek. A G Data Administrator telepíthető és beállítható úgy, hogy a hálózaton kívülről is elérhető legyen. Ha a G Data Administrator program telepítése valamilyen oknál fogva nem megoldható, a G Data WebAdministrator egy webböngésző alapú felületen keresztül hozzáférést biztosít az összes beállításhoz és modulhoz. A mobilfelhasználók számára a G Data MobileAdministrator egy tökéletes felületet nyújt, amelyen megtalálhatóak a leggyakrabban végrehajtott feladatok, mint például a kliens- és biztonságkezelés, illetve a jelentések megtekintése. A ManagementServer távoli adminisztrálásához a 7182-es TCP portnak hozzáférhetőnek kell lennie (lásd 2.2 fejezet).
5.1
Asztali alkalmazás
A G Data ManagementServer alapértelmezett telepítése a G Data Administratort is feltelepíti, ugyanarra a számítógépre. Helyi vagy távoli hozzáféréssel a szerverhez, a rendszergazdák bejelentkezhetnek a G Data Administratorba, hogy hozzáférést kapjanak az összes modulhoz. Olyan esetekben, ahol a közvetlen hozzáférés nem megoldható vagy nem praktikus, a G Data Administrator bármely másik, Windows alapú kliensszámítógépre telepíthető és használható, ameddig annak hozzáférése van az MMS-hez.
: G Data Administrator, Bejelentkezés A G Data telepítő médium használatával a G Data Administrator telepíthető arra a számítógépre, amelyről a konfigurációs feladatokat el kívánja látni. Bejelentkezéskor adja meg az MMS szerver IP címét, vagy névfeloldás esetén a nevét a „SZERVER” (SERVER) mezőben. Győződjön meg róla, hogy a szerverport nincs blokkolva a tűzfalban (alapértelmezettként: TCP 7182), illetve szükség szerint továbbítva (forward) van routerszinten.
5.2
Böngésző
A G Data Administrator nem minden esetben telepíthető fel egy számítógépre. Előfordulhat, hogy a helyi házirendek tiltják a programok telepítését, vagy sürgős esetben, amely azonnali beavatkozást igényel, nincs idő a program telepítésére. Ilyenkor rendkívül hasznos, hogy a ManagementServert akár egy böngésző segítségével is beállíthatjuk. A web alapú G Data WebAdministrator modul biztosítja ezt a lehetőséget. Általánosságban a WebAdministrator egy a vállalati hálózatban már meglévő webszerverre telepítendő, de bármelyik másik windowsos számítógépre is telepíthető, amely futtatja a Microsoft Internet Information Servicest (IIS). A következő IIS verziók támogatottak, a hozzájuk tartozó operációs rendszerrel együtt: IIS verzió 5.1 6.0 7.0 7.5 8.0
Operációs rendszer Windows XP Professional Windows Server 2003 Windows Server 2008, Windows Vista Windows Server 2008 R2, Windows 7 Windows Server 2012, Windows 8
A Microsoft IIS-nek telepítve kell lennie, még a WebAdministrator telepítését megelőzően. Mindegyik, fent felsorolt Windows verzió tartalmazza az IIS-t, de gyakran szükség van annak manuális engedélyezésére. Windows Vista, Windows 7 és Windows 8 verzióknál a VEZÉRLŐPULT > PROGRAMOK ÉS SZOLGÁLTATÁSOK alatt található WINDOWS-SZOLGÁLTATÁSOK BE- ÉS KIKAPCSOLÁSA
résznél (CONTROL PANEL >PROGRAMS AND FEATURES > TURN WINDOWS FEATURES ON OR OFF) válassza ki az Internet Information Servicest a teljes webszervercsomag feltelepítéséhez, vagy válassza ki a különálló komponenseket. Az IIS6 KOMPATIBILITÁSI ÜZEMMÓD > IIS METABÁZIS ÉS IIS 6 KONFIGURÁCIÓS KOMPATIBILITÁS lehetőséget (IIS 6 MANAGEMENT COMPATIBILITY > IIS METABASE AND IIS 6 CONFIGURATION COMPATIBILITY) szintén engedélyezni kell. Kattintson az OK gombra az IIS telepítéséhez, majd indítsa újra a számítógépet, amennyiben arra kérés érkezik.
: Windows 7, Windows Szolgáltatások; Windows Server 2008 R2, Szerepkör hozzáadása varázsló Windows Server 2003 alatt indítsa el a Kiszolgáló kezelése (Manage your server) alkalmazást a Start menüből. Windows Server 2008 és 2012 alatt ezt a funkciót átnevezték Kiszolgálókezelőnek (Server Manager). Mindkét programban lehetőség van a szerepkörök hozzáadásának a jelenlegi szerverkonfigurációhoz. Windows Server 2003 alatt az idetartozó szerepkört Alkalmazáskiszolgáló (IIS, ASP.NET)-nek (Application server [IIS, ASP.NET]) nevezik, Windows Server 2008 és 2012 alatt Webkiszolgáló (IIS)-nek (Web server [IIS]). A második lépésben az IIS 6 metabázis-kompatibilitást (IIS 6 metabase compatibility) ki kell választani a Szerepkör szolgáltatások (Role services) panelen. Miután telepítette a webkiszolgáló szerepkört (illetve ezt követően újraindította a szervert), ellenőrizze a webkiszolgáló hozzáférhetőségét a http://localhost cím megnyitásával a böngészőben. Mint minden egyéb weboldalnál, a G Data WebAdministrator megnyitásával is a böngészőben közzéteheti a HTTP forgalmat a hálózati hozzáféréssel rendelkező támadók számára. Ez különösen akkor érvényes, ha a G Data WebAdministrator-hozzáférés a vállalati hálózaton kívülről történik. Ilyenkor szükség van a forgalom biztonságossá tételére, amely SSL tanúsítvány használatával érhető el. A tanúsítványok megvásárolhatóak, vagy ingyenesen és önaláírtként helyileg is generálhatóak. Az előbbi lehetőség arra az esetekre ajánlott, amikor a WebAdministrator elérése a vállalati hálózaton kívülről történik, ugyanakkor, ha a vállalat már nem birtokol eleve egy vagy több tanúsítványt, akkor ez pluszköltségekkel jár. A második lehetőség egyszerűen beállítható, és védelmet biztosít az általános hallgatózás ellen a HHT forgalomban, ugyanakkor sérülékenyebb az ún. man-in-the-middle támadás ellen. Windows XP Professional vagy Windows Server 2003 használatakor az SSL tanúsítvány az ingyenes Microsoft SelfSSL eszközzel adható hozzá, amely hozzáférhető a Microsoft weboldalán az IIS 6.0 Resource Kit Tools részeként5. A telepítés után nyissa meg a SelfSSL parancssort a START > PROGRAMOK > IIS RESOURCES > SELFSSL (START > PROGRAMS > IIS RESOURCES > SELFSSL)
5 www.microsoft.com/en-us/download/details.aspx?id=17275
alatt. Egy önaláírt tanúsítvány hozzárendelhető a helyi weboldalhoz a következő parancs használatával: selfssl /N:CN=localhost /K:2048 /V:365 /S:1 /T. Erősítse meg a tanúsítvány létrehozását az „Y” billentyű megnyomásával. Ez létrehoz egy tanúsítványt az alapértelmezett IIS oldal számára a helyi szerveren, és hozzáadja a localhostot a megbízható tanúsítványok listájához. A kulcs hossza 2048, a tanúsítvány érvényessége 365 nap lesz. Ha az oldal nem az alapértelmezett oldala az IISnek, nézze meg az azonosítóját (Identifier) a START > FELÜGYELETI ESZKÖZÖK > INTERNET INFORMATION SERVICES (IIS) KEZELŐBEN (START > ADMINISTRATIVE TOOLS > INTERNET INFORMATION SERVICES [IIS] MANAGER), majd változtassa meg a /S:1 paramétert ennek megfelelően.
: Internet Information Service (IIS) Manager, Kötések hozzáadása Windows Vista, Windows 7, Windows 8, Windows Server 2008/R2 vagy Windows Server 2012 használatakor nyissa meg az Internet Information Services (IIS) kezelőt (Internet Information Services [IIS] Manager) a START > FUTTATÁS (START > RUN), majd az inetmgr parancs kiadásával. Válassza ki a helyi webkiszolgálót a Kapcsolatok (Connections) panelen. A képernyő közepén navigáljon az IIS kategóriához, majd kattintson duplán a Kiszolgálói tanúsítványokon (Server certificates). A Műveletek (Actions) panelen kattintson az Önaláírt tanúsítvány létrehozására (Create self-signed certificate). A tanúsítvány nevének megadása után a tanúsítvány létrejön és megjelenik a Kiszolgálói tanúsítványok (Server certificates) panelen. A tanúsítvány alapértelmezett lejárati ideje a létrehozástól számított egy év. A tanúsítvány oldalkommunikációhoz adásához válassza ki a megfelelő oldalt a Helyek (Connections) panelen, majd a jobb oldali Műveletek (Actions) panelen válassza a Kötések (Bindings) lehetőséget. Kattintson a Hozzáadásra (Add) az új kötés hozzáadásához. Válassza ki a https típust, majd válassza ki az új tanúsítványt az SSL tanúsítvány (SSL certificate) lenyíló menüből. Kattintson az OK gombra a kötés hozzáadásához. Az IIS beállításának befejezésével a G Data WebAdministrator most már telepíthető. Használja a G Data telepítő médiumon található telepítővarázslót a WebAdministrator telepítéséhez. A Microsoft .NET keretrendszer automatikusan telepítve lesz, ha a szerver nem rendelkezik a szükséges verzióval. A telepítés végeztével a WebAdministrator hozzáférhetővé válik a böngészőben a /GDAdmin alkönyvtár megnyitásával, például: https://10.0.2.150/GDAdmin (vagy http:// , amennyiben az SSL hitelesítés nincs telepítve a webszerverre). A könyvtár neve ettől eltérhet, amennyiben a telepítési könyvtár megváltoztatásra került. Az önaláírt tanúsítvány miatt, a böngészők megjeleníthetnek egy figyelmeztetést a WebAdministrator megnyitása előtt. A kommunikáció ettől függetlenül teljes mértékben titkosított lesz. Amennyiben a Silverlight beépülő még nincs telepítve, akkor a felhasználó erre figyelmeztetve lesz az első látogatás alkalmával. A G Data WebAdministratorral bármelyik ManagementServerre be lehet jelentkezni. A bejelentkezési metódusok, a felhasználói felület és a funkciók megegyeznek a G Data Administratorral. Bármilyen konfigurációs vagy menedzsmentfeladat elvégezhető a webes felületen keresztül.
5.3
Mobil
Az olyan konfigurációs feladatok számára, amelyeket azonnal végre kell hajtani, a G Data Administrator és a G Data WebAdministrator nem feltétlenül mindig a legjobb megoldás. Olyan esetekre, amikor a program, a számítógép vagy a böngésző nem hozzáférhető, a G Data kifejlesztette a MobileAdministratort, amely hozzáférést biztosít a G Data Administrator leggyakrabban használt funkcióihoz egy mobilra optimalizált webes felületen keresztül. A MobileAdministrator mindegyik okostelefon-platformon és tableten használható, és nem szükséges hozzá a Silverlight beépülő. A WebAdministratorral kezelhetőek a kliensek, illetve naprakész lehet a legutóbbi jelentésekkel, kártevőfertőzésekkel, a házirendkezelővel, illetve további dolgokkal kapcsolatban. A webes alkalmazás nem csak passzív jelentéskezelő tulajdonságokkal bír, hanem támogatja a közvetlen reagálást is. A kártevőfertőzések ellenőrizhetőek, illetve lehetőség van a közvetlen beavatkozásra is. A fájlok karanténozhatóak vagy visszamozgathatóak, a házirendkezelő jelentései használhatóak a fehér- és feketelista közvetlen szerkesztésére. A webes alkalmazás a hálózati kliensek állapotának gyors ellenőrzésére is használható. A jelentések definiálhatóak és megtekinthetőek a mobil „JELENTÉSKEZELŐ” (REPORTMANAGER) modul használatával.
: G Data MobileAdministrator, Irányítópult A MobileAdministrator, a WebAdministratorhoz hasonlóan, egy webes alkalmazás. A G Data telepítő médiumról telepíthető, a Microsoft Internet Information Services (IIS) fölé. A MobileAdministratorhoz legalább Windows 7 vagy Windows Server 2008 R2 operációs rendszer szükséges. További információkért az IIS beállításával, beleértve az SSL tanúsítványokat, olvassa el az 5.2. fejezetet.
5.4
MasterAdmin
Habár a G Data Administrator, WebAdministrator és a MobileAdministrator használható arra, hogy bármelyik ManagementServerre bejelentkezhessen, a nagyon nagy hálózatok hatékony kezeléséhez a MasterAdmint kell használni. A G Data Administrator ezen verziójával lehetséges egyszerre több MMS kezelése egyazon felhasználói felületről, egyszerűsített beállítással és telepítéssel. Több szerver kezeléséhez a MasterAdmin funkciók engedélyezhetőek a G Data Administratorban. A ManagedService-partnerek, illetve az olyan végfelhasználók, akik nagy hálózatot kezelnek, egyszerre több MMS-telepítéssel, igényelhetnek MasterAdmin aktivációs kódot a G Data-tól. Az általános bejelentkezési képernyőn válassza ki a „TÖBB SZERVER KEZELÉSE” (MANAGE MULTIPLE SERVERS) lehetőséget a megfelelő bejelentkezési opciók engedélyezéséhez. Adja meg az aktivációs kódot, illetve a választott felhasználói nevet és jelszót. A sikeres bejelentkezés után a MasterAdmin varázsló (MasterAdmin wizard) automatikusan elindul. A varázsló használatával hozzáadhatóak a távolról adminisztrálandó ManagementServerek, a szerver domainnevét vagy IP címét, illetve a felhasználónevet és jelszót megadva. A többféle szerver különválasztására adjon meg egy alias nevet a MasterAdmin felületen. Kattintson a „Tovább” (Next) gombra új szerver hozzáadásához, vagy kattintson a „Befejezés” (Finish) gombra a varázsló bezárásához. A MasterAdmin bármikor megnyitható az „ADMIN” menüből.
: G Data MasterAdmin A szerverek hozzáadása után a MasterAdmin lehetőségei virtuálisan megkülönböztethetetlenek a G Data Administrator szokásos funkcionalitásától. Mindegyik MMS és kliens kezelhető a klienskezelő területen való kiválasztásával. A kiválasztott szerver licencétől függően a megfelelő modulok megjelennek a jobb oldalon.
B Szakasz: A G Data üzleti megoldások használata
6. Irányítópult és felügyelet Miután sikeresen befejeződött a G Data üzleti megoldás telepítése a teljes hálózaton, minden kliens folyamatosan védve van, ugyanakkor minden egyes kliens biztonsági állapotát rendszeresen ellenőrizni kell. Különféle okok miatt a védelem megszakadhat. Hálózati problémák vagy a merevlemezen a szabad tárterület hiánya miatt megakadhat a frissítések szétosztása. Egyéb szoftver- vagy illesztőprogram-frissítések összeakadhatnak a védelmi modullal vagy negatívan befolyásolhatják a teljesítményt. Bárhogyan is, a biztonsági megoldások használata nem egy önellátó feladat. Biztosítani kell minden fontos információ hatékony hozzáférhetőségét, és az adminisztrátorokat tájékoztatni kell minden lehetséges szolgáltatásmegszakadásról. A G Data biztonsági megoldás számos értesítési lehetőséggel rendelkezik. Azonnali statisztikai adatok érhetőek el az „IRÁNYÍTÓPULT” (DASHBOARD) modulban, amely különféle grafikonokon keresztül szolgál információval a fertőzésekről, klienskapcsolatokról, illetve további dolgokról. Az általános feladatok közvetlenül elérhetőek, mint például a vírusszignatúra-frissítések vagy a tűzfal engedélyezése. A „STATISZTIKÁK” (STATISTICS) modulban ennél egy sokkal átfogóbb statisztikai nézet található. Az egyes kliensek jelentéseket küldenek a kártevőfertőzésekről, a sérült fájlokról, illetve további dolgokról. A jelentések a „JELENTÉSEK” (REPORTS) modulban érhetőek el, ahol bizonyos üzenetekkel kapcsolatban azonnali műveletek végezhetőek el. Végezetül a „JELENTÉSKEZELŐ” (REPORTMANAGER) modulban az adminisztrátorok számos modulból összeállíthatják a saját jelentéseiket, amelyek eredményét utána rendszeresen e-mail formájában megkapják. Általánosságban elmondható, hogy az adminisztrátoroknak meg kell próbálniuk törekedni egy kiegyensúlyozott értesítési rendszer felépítésére. A statisztikai információk, az e-mail értesítések és a „JELENTÉSKEZELŐ” (REPORTMANAGER) jelentéseinek kombinálásával jó rálátás nyílik az eseményekre. Vigyázat, a feleslegesen túl sok információ áradatában elképzelhető, hogy egy-egy fontos figyelmeztetés észrevétlen marad.
6.1
Statisztikák
A G Data Administrator elindításakor automatikusan az „IRÁNYÍTÓPULT” (DASHBOARD) nézet nyílik meg alapértelmezettként. Ennek segítségével az adminisztrátor azonnal megtekintheti a fontos statisztikai adatokat. Míg az „IRÁNYÍTÓPULT (DASHBOARD)” nézet nem generál e-mail jelentéseket (azok a Riasztások [Alarms] beállításokon és a „JELENTÉSKEZELŐ [REPORTMANAGER]” modulon keresztül kezelhetőek), a grafikonok nagyon hasznos eszközei a különféle rendellenességek felderítésének a hálózati kliensek védelmi állapotában.
A G Data Biztonsági állapot (G Data Security status) oszlopban egy nélkülözhetetlen áttekintés található. Ez az első számú panel, amelyet ellenőrizni kell a G Data Administrator indulásakor. Amennyiben valamelyik menedzselt rendszeren nem fut a G Data Security Client, a Biztonsági állapot oszlopban megjelenik az érintett kliens. Ehhez hasonlóan az esetlegesen nem naprakész vírusszignatúrákkal rendelkező kliensek is megjelennek itt, az adminisztrátor így azonnal beavatkozhat és frissítheti azokat. Ha a Védelem, E-mail ellenőrző, OutbreakShield, Webvédelem, BankGuard vagy a Tűzfal komponens ki van kapcsolva, akkor azok itt közvetlenül engedélyezhetőek. Ha a Tűzfal nincs telepítve bizonyos kliensekre, akkor szükség esetén távoli telepítés kezdeményezhető. Azoknál a számítógépeknél, amelyekre telepítve van a G Data Security Client, a „KLIENSKAPCSOLATOK” (CLIENT CONNECTIONS) áttekintő nézetben látható a legutóbbi kapcsolódás. A Klienskapcsolatok grafikon figyelemmel követésével az adminisztrátorok ellenőrizhetik, hogy mely számítógépek csatlakoztak az MMS-hez, és észlelhetőek a lehetséges szerver- vagy hálózati problémák. Azok a számítógépek, amelyek nem kapcsolódnak rendszeresen a ManagementServerhez, nem jutnak hozzá a vírusszignatúra-frissítésekhez, illetve nem szinkronizálják a különféle feladatokat és beállításokat. Bizonyos típusú számítógépek, mint például a laptopok, elképzelhető, hogy hosszabb ideig nem csatlakoznak az MMS-hez, mert nem tartózkodnak a vállalati hálózatban. Az általános asztali kliensek ugyanakkor sokkal gyakrabban kapcsolódnak az MMS-hez, ha a kliensek egy jelentős száma nem képes csatlakozni több mint 3 vagy 7 napig, az szerver- vagy hálózati hibára utalhat. Ha egy kliens be van kapcsolva és csatlakozik a hálózathoz, a kapcsolatot a kliens és az MMS között meg kell vizsgálni (lásd 4.8. fejezet), csakúgy, mint a hálózati szintű védelmet és a portbeállításokat (lásd 2.2. fejezet).
: G Data Administrator, Irányítópult
A „TOP 10 KLIENS – SEMLEGESÍTETT FERTŐZÉSEK” (TOP 10 CLIENST – NEUTRALIZED INFECTIONS) áttekintő nézet segítségével lokalizálhatóak a problémás kliensek. A tortadiagramon láthatóak azok a kliensek, amelyek a legtöbb vírusjelentést produkálták. Függetlenül attól, hogy a G Data sikeresen elhárítja ezeket a fertőzéseket, a tény, hogy ezeket a konkrét klienseket rendszeresen
kártékony program támadások érik, felvetnek bizonyos problémákat. Elképzelhető például, hogy egy másik védelmi mechanizmus nem megfelelően van beállítva, vagy a felhasználó különösen ki van téve a támadásoknak, például az óvatlan (internetböngészési) szokásai miatt. Ajánlott a kliens biztonsági beállításainak ellenőrzése. Amennyiben a felhasználó (nem megfelelő) viselkedése a kiváltó ok, a „HÁZIRENDKEZELŐVEL” (POLICYMANAGER) korlátozható a kétes források elérése (lásd 14. fejezet). Alapértelmezettként a tortadiagramon az elmúlt két hétben elhárított fertőzések láthatóak. A jobb felső sarokban található naptár ikonra kattintva megadható egy időtartam, lefedve az elmúlt néhány napot, hetet vagy hónapot, illetve manuálisan is beállítható az érték. A „JELENTÉSÁLLAPOT” (REPORT STATUS) a jelentések áttekintő nézete (hozzáférhető a Jelentések [Reports] modulon keresztül), fertőzések, hibák, Tűzfal és Házirendkezelő üzenetek tekinthetőek meg egy grafikonon keresztül. Egy adott modul kiemelkedő hibái vagy egyéb, figyelemre méltó kiugrások a grafikonon belül felderíthetőek a „JELENTÉSEK” (REPORTS) modul megnyitásával, az egyedi jelentések megvizsgálásával. A „SEMLEGESÍTETT FERTŐZÉSEK” (NEUTRALIZED INFECTIONS) grafikonnak megfelelően a Jelentésállapot is beállítható aszerint, hogy csak egy meghatározott időtartamot mutasson. Az „STATISZTIKÁK” (STATISTICS) fül az irányítópult kiegészítéseként szolgál kibővített információkkal. Különböző panelek segítségével nyújt áttekintést a hálózat védelmi állapotáról. A „KLIENSEK” (CLIENTS) panelen azon kliensek száma látható, amelyeken az ellenőrzés, az OutbreakShield és az e-mail védelem be van kapcsolva, továbbá a motor (engine) és a beállítások jelenlegi állapota. A Kliensek panelen akár nyolcféle statisztikai információ is megjeleníthető, táblázat, oszlopdiagram vagy tortadiagram formában. A „FELISMERÉSI MÓDSZER” (DETECTION METHOD) megjeleníti azt a komponenst, amely kártékony programot talált, információkkal segít a kártékony program támadási vektorainak meghatározásában, továbbá segít felderíteni az alulteljesítő vagy hibásan beállított védelmi komponenseket. A „VÍRUSTOPLISTA” (VIRUS HIT LIST) beazonosítja a leggyakrabban észlelt kártékony programokat, segítve a támadások meghatározását. Végezetül a „SEMLEGESÍTETT FERTŐZÉSEK TOPLISTÁJÁN” (HIT LIST OF NEUTRALIZED INFECTIONS) láthatóak azok a kliensek, amelyek a leggyakrabban vannak kitéve kártékony programok támadásának. Ha egy vagy több kliens túlzottan kiemelkedik, akkor további vizsgálat, illetve aktív védelem válhat szükségessé, akár a célzott támadások, akár a felhasználó nem megfelelő számítógép-használata miatt. A „NYOMTATÁS” (PRINT) funkcióval a statisztikák kinyomtathatóak.
: G Data Administrator, Statisztikák
6.2
Jelentések
A „JELENTÉSEK” (REPORTS) modulban található meg az összes biztonsági modul által küldött jelentés (értesítés). A fenyegetések ugyan automatikusan blokkolásra kerülnek, azonban lényeges, hogy a jelentéseket figyelemmel kísérjük. A jelentések részletes információval szolgálnak a hálózati kliensek állapotával, a lehetséges biztonsági problémákkal, illetve egyéb modulokkal kapcsolatosan. Például a „HÁZIRENDKEZELŐ” (POLICYMANAGER) vagy „JAVÍTÁSKEZELŐ” (PATCHMANAGER) modulok használatakor szükséges a jelentések felügyelete a házirend-változtatásra, illetve a javítások telepítésére vagy visszavonására irányuló kérésekkel kapcsolatban. A folyamatosan keletkező jelentések puszta mennyisége miatt lényeges, hogy az adminisztrátorok tisztában legyenek azzal, hogy miként szűrhetik azokat. A jelentéseket a G Data biztonsági megoldás különböző moduljai generálják. Alapértelmezettként mindegyik jelentés egy egyszerű listában jelenik meg, fordított kronológiai sorrendben (először a legújabbak). A kliensek számától függően ez a lista rendkívül túlzsúfoltnak tűnhet. Az ablak alján található listavezérlővel beállítható a laponként megjelenő elemek száma. Az oszlopok fejléce fölött található csoportsorral oszloponként csoportosíthatóak a jelentések. Például a „JELENTVE ... ÁLTAL” (REPORTED BY) oszlop csoportsorra húzásával megjeleníthető az összes jelentés, a jelentést készítő modul szerint csoportosítva. Mindemellett a Jelentések modul rengeteg lehetőséget biztosít a lista szűrésére. Az eszköztár használatával elrejthetőek a különféle típusú jelentések, például az olyan jelentések, amelyek további jelentésektől függenek, így elkerülve a duplikátumokat, vagy elrejthetőek a már elolvasott jelentések. Szintén lehetőség van a meghatározott kategóriák jelentéseinek megtekintésére, mint például az olyan vírusok, amelyek még nem lettek eltávolítva, a karantén tartalma vagy a BankGuard jelentések. Az „IDŐKERET” (TIME FRAME) opció használatával az adminisztrátor csak egy meghatározott időtartamban keletkezett jelentéseket jelenítheti meg.
A leggyakoribb biztonsági modulok, amelyek jelentéseket hoznak létre, a „VÉDELEM” (MONITOR), a „KERESŐ” (SCANNER), illetve a BANKGUARD. A legtöbb jelentés a már eleve blokkolt kártékony programokkal kapcsolatos, mindazonáltal ezek a jelentések is fontosak, mert betekintést nyújtanak az adminisztrátor számára a hálózat, illetve a veszélyeztetett kliensek állapotába. Továbbá a hamisan felismert (false positive) találatok beazonosíthatóak, és hozzáadhatóak a kivételek listájához. A „VÉDELEM” (MONITOR) és a „KERESŐ” (SCANNER) jelentésekben találhatóak azok a műveletek, amelyek vírustalálatkor végre lettek hajtva, mint például a vírus eltávolítása, a fájl karanténozása vagy törlése. Azok a fájlok, amelyek a karanténba lettek mozgatva, hamis felismerés esetén visszamozgathatóak az eredeti helyükre, vagy megtisztíthatóak közvetlenül a „JELENTÉSEK” (REPORTS) modulból, a megfelelő eszköztárgomb megnyomásával. Ha egy fájl nem lett teljes mértékben megtisztítva és fertőző maradt, akkor ez veszélyekkel járhat, és további károkat okozhat a kliens rendszerében. A „JELENTÉSEK” (REPORTS) modul a kivételek közvetlen meghatározására is használható. Ha egy fájl tévesen lett kártékony programként felismerve, jobb egérgombbal kattintva a jelentésen, majd a „VÉDELMI KIVÉTEL MEGHATÁROZÁSA” (DEFINE MONITOR EXCEPTION) lehetőséget választva, a fájl biztonságosként jelölhető meg. Azok a kliensek, amelyeken telepítve van a „TŰZFAL” (FIREWALL) modul, szintén generálnak jelentéseket, például egy program engedélyezése szükséges. Ezen jelentések tulajdonságain (properties) keresztül a tűzfal közvetlenül módosítható, hogy engedélyezze az érintett programot.
: G Data Administrator, Jelentések A biztonsági jelentések mellett néhány támogató modul is generál jelentéseket. A „HÁZIRENDKEZELŐ” (POLICYMANAGER) modul naplózza a webtartalmat, a házirend-beállítás miatt blokkolt programokat és eszközöket, illetve az ezekhez hozzáférést igénylő felhasználókat. A jelentés tulajdonságainak (properties) megnyitásával a hozzáférési jogosultságok hozzáadhatóak a megfelelő fehér- vagy feketelistához. Hasonlóképpen a „JAVÍTÁSKEZELŐ” (PATCHMANAGER) is generál jelentéseket, amelyek a felhasználók kéréseit tartalmazzák, mint például kérés javítás szétosztására vagy visszavonására. Az „INTERNET SECURITY ANDROIDRA” (INTERNET SECURITY FOR ANDROID) komponens abban az esetben hoz létre egy jelentést, ha a végfelhasználó hozzáférést kér egy korábban feketelistára helyezett telefonszámhoz.
A jelentések törlése automatikussá tehető. A „SZERVERBEÁLLÍTÁSOK” (SERVER SETTINGS) ablak „BEÁLLÍTÁSOK” (SETTINGS) fülén az adminisztrátor meghatározhatja a bizonyos hónapnál régebbi jelentések automatikus törlését. Ez a beállítás jelentősen megtisztítja a jelentéseket, ugyanakkor eltávolíthat olyan fontos információkat, amelyeket esetleg hosszabb ideje nem olvasott el. Ezt az automatikus jelentéstörlési beállítást csak az olyan munkafolyamatban engedélyezze, ahol a jelentések időben elolvasásra vagy e-mail formájában szétosztásra kerülnek. A „RIASZTÁSOK” (ALARMS) beállítása erősen ajánlott. Ezzel a beállítással az adminisztrátorok közvetlenül az e-mail címükre kapják meg a kritikus jelentéseket, mint például jelentések vírusfertőzésről, nem naprakész kliensekről, tűzfalműveletekről, illetve „HÁZIRENDKEZELŐ” (POLICYMANAGER) kérésekről. Ugyan nem mindegyik vírusokkal kapcsolatos esemény kritikus, ugyanakkor a riasztások kulcsfontosságúak a naprakészségben, a hálózattal kapcsolatos történések szempontjából. Használhatóak az adminisztrátorok vagy az ügyeleti csapat értesítésére vészhelyzet esetén, vagy információk szolgáltatására az olyan felhasználóknak, akik nem rendelkeznek G Data Administratorral vagy nem rendszeresen jelentkeznek be. A „BEÁLLÍTÁSOK” > „RIASZTÁSOK” (OPIONS > ALARMS) párbeszédablak használatával beállíthatóak, hogy kinek melyik jelentések legyenek továbbítva. Egy címzettcsoport hozzáadásával, amely legalább az adminisztrátor(ok) és a technikai személy e-mail címét tartalmazza, biztosítható a vészhelyzeti reagálás . Alapértelmezettként csak a nem naprakész vírusszignatúrák, a kliens-vírusszignatúra, illetve a programfájlokkal kapcsolatos problémák lesznek jelentve. Ezeknél a jelentéseknél tipikusan gyors vagy azonnali reagálás szükséges, mert közvetlenül érintik a kliens biztonságát. A vírustalálattal vagy tűzfalblokkolással kapcsolatos jelentések információs természetűek, de engedélyezhetőek, hogy egy jobban összetett áttekintő nézetet kapjunk. A „HÁZIRENDKEZELŐ” (POLICYMANAGER) modul használatakor engedélyezze a „HÁZIRENDKEZELŐ KÉRÉSEK” (POLICYMANAGER REQUESTS) értesítéseket, hogy e-mail formájában értesüljön a felhasználók kéréseiről a „HÁZIRENDKEZELŐN” (POLICYMANAGER) keresztül (például meghatározott weboldalak vagy programok fehérlistára kerülésével kapcsolatban). 6
6.3
Jelentéskezelő (ReportManager)
A „JELENTÉSKEZELŐVEL” (REPORTMANAGER) az adminisztrátorok összegyűjthetik a jelentéseket a különféle testre szabható információs modulokból, így átfogó rálátást kapva a hálózat és a biztonság állapotára. A Jelentéskezelő az e-mail értesítések előrelátó hasonmásaként jellemezhető. A különféle eseményre (például vírustalálat vagy Házirendkezelő [PolicyManager] kérés) beállított e-mail értesítésekkel az adminisztrátor gyorsan reagálhat azokra, másfelől a Jelentéskezelő elemző információkkal szolgál, amelyek segítségével az adminisztrátor előre tervezhet. Az általános naplózás kiegészítéseként az általános e-mail jelentések a mindennapi adminisztrációs munkafolyamat részei.
Győződjön meg róla, hogy az e-mail címzettcsoportok és egy SMTP szerver meg van adva az E-mail beállítások (Email settings) párbeszédablakban (lásd 4.4. fejezet). 6
: G Data Administrator, Jelentéskezelő (ReportManager), Jelentés A „JELENTÉSKEZELŐ” (REPORTMANAGER) modullal a G Data biztonsági megoldás különböző területeivel kapcsolatos információkat tartalmazó jelentések hozhatóak létre. A grafikonok kombinálhatóak a jelentésekkel, így különféle igényekre szabott jelentések hozhatóak létre. Például a menedzsmenttel foglalkozó személy számára készült jelentés tartalmazhat egy magas szintű statisztikát a védett kliensek számáról, a friss programverziókról és a javítások állapotáról. A technikai és adminisztrációs személyek részletes statisztikai információt kaphatnak a hálózati kliensekről és az elhárított vírusfertőzésekről. A kereső és a biztonsági mentés munkafeladatokhoz hasonlóan a Jelentéskezelő is képes időzíteni a jelentések generálását. Egy új jelentés létrehozásánál beállítható, hogy egyszer, naponta, hetente, havonta, negyedévente, félévente vagy évente fusson le. Míg az egy alkalommal lefutó jelentések remek módjai a G Data védelem egy-egy meghatározott komponensébe való betekintésre, a Jelentéskezelő modul igazi ereje az automatikusan, hosszabb időn keresztül biztosított állapotjelentésekben van. A jelentésekkel az adminisztrátor naprakész lehet a hálózaton belüli történésekkel, illetve a jelentések elmenthetőek későbbi, külső jelentésként való felhasználásra. Ajánlott a jelentéseket úgy beállítani, hogy azokat rendszeresen megkapja e-mail formájában a megfelelő személy. Az e-mail címzettcsoportok használatával koordinálható a jelentések kézbesítése (lásd a Riasztás [Alarm] beállítást a 6.2. fejezetben). A modulok kiválasztása a célszemélyektől, illetve az információs szükséglettől függ. A „KLIENS ÁLTALÁNOS” (CLIENT GENERAL) és a „KLIENSVÉDELEM” (CLIENT PROTECTION) kategóriák tömör, konkrét információkkal szolgálnak. A hatékony információszerzés érdekében ajánlott legalább kétféle napi jelentés létrehozása: egy magas szintű információkat tartalmazó jelentés a menedzsment számára, és egy technikailag részletes állapotjelentés az adminisztrátorok számára. Amennyiben a jelentések olvasásának a preferált módja a G Data Administratorban való megnyitás, akkor nem szükséges az e-mail címzettek megadása. A „JAVÍTÁSKEZELŐ” (PATCHMANAGER) modul használatakor egy
kiegészítő Javításkezelő kategória hozzáadható a jelentésekhez, amely számos grafikont tartalmaz a javítások telepítésének állapotával kapcsolatosan. Ez különösen akkor hasznos, ha egy javításkezelő folyamatot kíván beállítani (lásd 15. fejezet). Csábító lehet, hogy az adminisztrátor csak a napi vagy heti jelentésekre támaszkodjon, de ezek nem helyettesítik az általános ellenőrzést, mint például a G Data Administratorba való bejelentkezés, majd ott az „IRÁNYÍTÓPULT” (DASHBOARD) és a „JELENTÉSEK” (REPORTS) részleg megtekintése.
7. Kliensek kezelése A megfelelő hálózati biztonság a megfelelő klienskezeléssel kezdődik. Az aktív kliensek nyomon követésével, illetve csoportokba rendezésével az adminisztrátor csökkentheti az esetleges problémák számát szoftvertelepítéskor és a beállítások változtatásakor. Optimális esetben mindegyik vállalati hálózat kialakítása egy előre eltervezett feladat, logikus felépítéseket követve (lásd 1. fejezet). Ezek a felépítések a G Data biztonsági megoldásba is átültethetőek a sokkal hatékonyabb klienskezelés érdekében. A klienscsoportok segítségével az adminisztrátor olyan logikai entitásokat hozhat létre, amelyek egyszerre vezérelhetőek. Biztonsági beállítások, biztonsági mentés munkafeladatok, házirendek, illetve további beállítások is hozzárendelhetőek egy-egy csoporthoz. Active Directory használatakor ezek az entitások automatikusan importálhatóak, így idő spórolható a csoportok beállításakor. Az olyan nagyméretű hálózatoknál, ahol Active Directory már korábban telepítve lett, ajánlott az AD entitásokat integrálni a G Data Administrator csoportokba. Ezáltal csökkenthető az az idő, ami a csoportok átszervezéséhez, illetve az újonnan telepített kliensek beállításához szükséges.
7.1
Csoportok használata
A klienskezelő területen a G Data Administrator különféle eszközökkel szolgál a kliensek csoportokba sorolásához. A csoportok létrehozása és feltöltése manuálisan vagy automatikusan történik, egy már létező Active Directory beállítást használva (lásd 7.2. fejezet). A lényegét tekintve a csoportok egyfajta könyvtárszerkezetként működnek. A kliensek szabadon mozgathatóak a csoportok között, így az adminisztrátor könnyen létrehozhat összetett csoportfelépítéseket. Mindazonáltal a csoportok létrehozása igényel némi tervezést. Több oka lehet a csoportok létrehozásának, például azok a számítógépek, amelyek hasonló feladatra vannak használva (például: fejlesztés, kereskedelem stb.), egyforma szoftvertelepítést kaphatnak. Ezen gépek csoportosításával egyedi szoftverhasználati házirendek vezethetőek be. A „JAVÍTÁSKEZELŐ” (PATCHMANAGER) használatakor mindegyik hasonlóan telepített csoport gyorsan és könnyen tesztelhető a javításokkal kapcsolatban, egy kijelölt tesztkliensre telepítve azt. Egy másik lehetőség, részben átfedésben a feladat/szoftverhasználat alapú csoportosítással, a fizikai csoportosítás. Azok a kliensszámítógépek, amelyek fizikailag közel helyezkednek el egymáshoz, egy csoportba foglalhatóak. Ezek általában valamilyen ágazatok vagy osztályok (ebben az esetben lép fel az átfedés a feladat alapú csoportosítással). A fizikai hely alapú csoportosítás tényleges haszna az, hogy könnyebben tervezhetőek azok a karbantartási vagy konfigurációváltoztatási feladatok, amelyek fizikai hozzáférést igényelnek a számítógépekhez. Ezen dolgok átgondolása, megvizsgálása megegyezik azokkal a megválaszolandó kérdésekkel, amelyek a helyi hálózat meghatározásakor és beállításakor felmerülnek. A legegyszerűbb megoldás a hálózati kialakítás egyszerű tükrözése (lásd 1.1. fejezet).
Meghatározott csoportok használatával, az adminisztrátor számos előnyre tehet szert. A csoportok használatának legalapszintűbb módja, a különféle beállítások érvényesítése, egyszerre, több kliensgépre.
: G Data Administrator, klienskezelő terület Válasszon ki egy csoportot a klienskezelő területen, majd módosítsa a beállításait (például a védelmi beállításait a „KLIENSBEÁLLÍTÁSOK” (CLIENT SETTINGS) modulban). Ezt követően az „ALKALMAZ” (APPLY) gombra kattintva alkalmazhatja a változtatásokat a csoportba tartozó összes kliensre. Alternatív megoldásként az egy kliensen végrehajtott változtatások könnyen alkalmazhatóak a teljes csoportra is, az „ALKALMAZÁS A TELJES CSOPORTRA” (APPLY TO ENTIRE GROUP) gomb megnyomásával. Ennek segítségével egyszerűen kísérletezhet egy adott kliensen különféle beállításokkal, majd később a már tesztelt és kipróbált beállítást átviheti a csoportot alkotó többi számítógépre is. A csoportok lényegesen megkönnyítik a kliensek kiválasztását. Az olyan folyamatok, mint a javítások telepítése vagy a frissítések szakaszos szétosztásának megtervezése, gyorsan megoldhatóak a megfelelő csoport kiválasztásával. A csoportok megfelelő elnevezése rendkívül lényeges, a fizikai elhelyezkedésnek, a feladatuk típusának, az osztályuknak vagy egyéb logikai entitásnak megfelelően, amelyre a rendszer épül. A beállítások egyszerűen exportálhatóak és importálhatóak. A kliens kiválasztva, majd jobb egérgombbal rákattintva a „BEÁLLÍTÁSOK EXPORTÁLÁSA” (EXPORT SETTINGS) lehetőséget választva. A „KLIENSBEÁLLÍTÁSOK” (CLIENT SETTINGS) modul és a „HÁZIRENDKEZELŐ” (POLICYMANAGER) beállításai .dbdat fájlformátumban exportálhatóak. A „BEÁLLÍTÁSOK IMPORTÁLÁSA” (IMPORT SETTINGS) használatával szelektíven importálhatóak vissza a beállítások a .dbdat fájlból egy kliens vagy csoport számára.
7.2
Active Directory integrálása
Az Active Directory egy könyvtárszolgáltatás a Windows hálózatok számára. Egy vagy több AD kiszolgáló a hálózaton belül információt szolgáltat a hálózaton található egységekről, mint például felhasználók, számítógépek, illetve egyéb eszközök. Az Active Directory nagy segítséget nyújt a hálózat rendszerezésében, a felhasználók hitelesítésében és az eszközök hozzáférésének koordinálásában. A G Data biztonsági megoldás telepítése és használata közben nincs szükség az Active Directoryban felépített hálózati struktúrába fektetett munka megismétlésére. Bármelyik AD tároló vagy szervezeti egység (OU) hozzákapcsolható egy csoporthoz a klienskezelő területen. Minden jelenlegi vagy jövőbeni számítógép, amelyet az adott elem tartalmaz, automatikusan hozzáadásra kerül a G Data Administrator áttekintő nézethez. Hozzon létre egy csoportot, majd jobb egérgombbal rákattintva rendeljen egy AD elemet a csoporthoz. Minden csoporthoz csak egy AD elem rendelhető. A párbeszédablak segítségével az adminisztrátorok kiválaszthatnak elemeket az alapértelmezett domainből, vagy hozzáadható másik domain a domainvezérlő, a domain, a felhasználónév és a jelszó megadásával. Az AD csoport megerősítése és a klienskezelő terület nézetének frissítése után a csoport átalakul egy AD-összekapcsolt (AD-linked) csoporttá, amely tartalmazza az összes számítógépet a hozzáadott AD egységből. A G Data ManagementServer 6 óránként automatikusan szinkronizálja az AD elemeket a domainvezérlővel (ez az érték megváltoztatható a Szerverbeállítás ablakban). Az ADösszekapcsolt csoportok közvetlenül is frissíthetőek, jobb egérgombbal rájuk (vagy a szülő MMS-re) kattintva, majd az „ACTIVE DIRECTORY FRISSÍTÉSE” (UPDATE ACTIVE DIRECTORY) lehetőséget választva. Az AD elemek csoporthoz rendelésével csökkenthető az az idő, amelyet a kliensek manuális csoportokhoz rendelése igénybe venne. Az új kliensek számára a konfigurációs beállítások és egyéb házirendek automatikusan öröklődnek a szülőcsoportból, így nincs szükség az új kliensek azonnali konfigurálására. További automatizálási lehetőségként a G Data Security Client automatikusan telepíthető azokra a számítógépekre, amelyek újonnan kerülnek hozzáadásra az AD csoporthoz. Ez a lehetőség a G Data Administratorban egy AD elem csoporthoz rendelésekor engedélyezhető. Amennyiben a távoli telepítéshez szükséges rendszerkövetelményeknek megfelel a számítógép (lásd 4.7.1. fejezet), a G Data Security Client automatikusan telepítve lesz.
7.3
Szignatúra- és programfájlfrissítések
A G Data biztonsági megoldás szignatúra alapú védelmi rétegeinek folyamatosan vírusszignatúra-frissítésekre van szüksége, hogy felismerhesse az aktuális fenyegetéseket. Mindegyik kliens képes egyedileg kezdeményezni a frissítési folyamatot, ellenőrizni a szerveren az új szignatúrafájlokat, vagy a vírusszignatúrák leküldhetőek a klienseknek. A hálózati adminisztrátor szándékától függően a kliensek a frissítéseket ellenőrizhetik a G Data ManagementServeren, vagy közvetlenül kapcsolatba léphetnek a G Data saját frissítőszerverével. A vállalati hálózatoknál a vírusszignatúra-frissítésekhez ajánlott a G Data ManagementServer használata, így több vezérlést biztosítva az olyan esetekre, amikor szükségessé válhat egy frissítés visszavonása, továbbá lényegesen csökkentve a hálózati forgalmat. A szignatúrafájlok mellett a kliensek fogadhatnak programfrissítéseket is. A G Data Security Client a védelem növelése érdekében rendszeresen frissül. A vírusszignatúrákkal ellentétben a programfrissítések nem kérhetőek le a G Data saját frissítőszerveréről. A szerverterhelés csökkentése érdekében a vírusszignatúrák és a programfájlfrissítések is szétoszthatóak a peer-to-peer rendszer használatával, engedélyezve a nem naprakész klienseknek, hogy fájlokat vehessenek át a már
frissített, naprakész kliensektől. Két lépés beállítása szükséges ahhoz, hogy engedélyezzük a kliensek automatikus vírusszignatúra- és programfájlfrissítéseit. Először a ManagementServernek rendszeresen át kell vennie a frissítőfájlokat a G Data frissítőszerverről. Optimális esetben ez automatikusan megtörténik. Amennyiben ez nem lehetséges, a frissítések a G Data frissítőszerverhez való manuális kapcsolódással vagy offline frissítés végrehajtásával szerezhetőek be. Másodszor a frissített fájlokat szét kell osztani a kliensek között. Ez szintén egy automatizált folyamat, amelyhez számos beállítási lehetőség tartozik, amellyel optimalizálható a szétosztás és elkerülhető a hálózat túlterhelése.
7.3.1 Frissítések beszerzése A ManagementServernek le kell töltenie a legfrissebb fájlokat a G Data frissítőszerverről. Ez a művelet manuálisan is kezdeményezhető vagy időzített feladatként rendszeresíthető a G Data Administrator Internetes frissítés (Internet update) párbeszédablak használatával. Ajánlott beállításként a vírusszignatúra-frissítéseket minden órában ellenőrizni kell. A programfrissítések kiadása ennél ritkábban történik, ebben az esetben a napi vagy heti frissítéskeresési intervallum használható. A program- és vírusszignatúra-frissítések időzített ellenőrzése még olyan szerverek számára is ajánlott, amelyek nem rendelkeznek állandó internetkapcsolattal. Az „INTERNETKAPCSOLATKOR” (ON INTERNET CONNECTION) opció használatával csak olyankor történik meg a frissítések ellenőrzése, amikor a G Data ManagementServer észleli az aktív internetes kapcsolatot. Egyéb esetben, mint a nem állandó internetes kapcsolat, nincs konkrét ok, amiért ki kellene kapcsolni a G Data ManagementServer automatikus vírusszignatúra- és programfájlfrissítéseit. Annak megakadályozásához, hogy a letöltött fájlok automatikusan szétosztásra kerüljenek, a Kliensbeállítások (Client settings) modulban van lehetőség.
: G Data Administrator, Beállítások, Internetes frissítés, Vírusadatbázis Néhány ManagementServernél elképzelhető, hogy praktikussági vagy biztonsági okokból a folyamatos internetkapcsolat nem elérhető. Míg a ManagementServer nem tudja automatikusan frissíteni magát aktív internetkapcsolat nélkül, offline frissítéssel hozzájuthat a szerverprogramfájl-, a kliensprogramfájl- és a vírusszignatúra-frissítésekhez. Az „INTERNETES FRISSÍTÉS” (INTERNET UPDATE) eszköz (lásd 4.5. fejezet) segítségével az internetkapcsolat nélküli Management szerveren alkalmazhatóak az egy másik ManagementServerről átmásolt
frissítőfájlok. Így lehetőség van a frissítéseket USB kulcsra vagy CD/DVD-re másolva alkalmazni. Az „INTERNETES FRISSÍTÉS” (INTERNET UPDATE) eszköz vagy a G Data Administrator használatával győződjön meg róla, hogy az internetkapcsolattal rendelkező ManagementServeren az elérhető legutolsó frissítések találhatóak. Ezt követően navigáljon a C:\Users\All Users\G DATA\AntiVirus ManagementServer\Updates könyvtárba, majd másolja a következő alkönyvtárakat egy USB kulcsra vagy írja ki egy CD/DVD-re: BB, bd, Client, exchg, GD_SIG, ScanWL, és Server. A cél ManagementServeren csatlakoztassa/helyezze be az USB kulcsot, CD-t/DVD-t, majd másolja a frissítési könyvtárat egy átmeneti könyvtárba (például C:\Frissitesek). Nyissa meg az „INTERNETES FRISSÍTÉS” (INTERNET UPDATE) eszközt, és jelölje be az „OFFLINE FRISSÍTÉS” (OFFLINE UPDATE) lehetőséget. Ez az opció megváltoztatja a három frissítési gomb működését: amikor elindítja A „VÍRUSADATBÁZIS” (VIRUS DATABASE), „PROGRAMFÁJLOK (KLIENS)” (PROGRAM FILES [CLIENT])” vagy a „PROGRAMFÁJLOK (SZERVER)” (PROGRAM FILES [SERVER]) frissítést, egy felugró ablakban kérni fogja egy könyvtár megadását. Válassza ki azt a könyvtárat, amely tartalmazza az összes frissítési könyvtárat (például C:\Frissitesek), majd kattintson az OK gombra. Először kezdje a szerverprogramfájlok frissítésével, hogy meggyőződhessen arról, hogy maga a szerver a legutolsó elérhető verziószámú, majd ezt követősen frissítse a kliensprogramfájlokat és a vírusadatbázist.
7.3.2 Frissítések telepítése A második lépés a vírusszignatúra- és programfájlfrissítések tényleges szétosztása a kliensek között. A „KLIENSBEÁLLÍTÁSOK” (CLIENTS SETTINGS) modul „ÁLTALÁNOS” (GENERAL) fülén megadhatóak a frissítési beállítások egy vagy több kliens számára (a kliensek egy csoportját vagy magát a ManagementServert mint egészet kiválasztva). Az optimális biztonság érdekében ajánlott az automatikus vírusszignatúra-frissítések engedélyezése. Az új fenyegetések felismeréséhez a klienseknek rendelkezniük kell a legfrissebb vírusszignatúrákkal. A „FRISSÍTÉSI BEÁLLÍTÁS” (UPDATE SETTINGS) ablakban különféle beállítások találhatóak a vírusszignatúrák letöltésével kapcsolatban. A kliensek a központi ManagementServerhez csatlakozhatnak és letölthetik a vírusszignatúrákat. A „SZERVERBEÁLLÍTÁSOK” > „SZINKRONIZÁCIÓ” (SERVER SETTINGS > SYNCHRONIZATION) alatt meghatározott időintervallum szerint a ManagementServeren ellenőrzik a frissített vírusszignatúrákat. A központi kezelés engedélyezéséhez (a szignatúrák visszavonásának lehetőségével) ajánlott, hogy a kliensek a vírusszignatúrákat a ManagementServerről töltsék le. Alternatív megoldásként a vírusszignatúrákat letölthetik a G Data frissítőszerverről is, minden esetben („SAJÁT MAGA TÖLTSE LE AZ INTERNETES FRISSÍTÉST” [DOWNLOAD INTERNET UPDATE YOURSELF]), vagy csak abban az esetben, ha nincs kapcsolat a ManagementServerrel („SAJÁT MAGA TÖLTSE LE AZ INTERNETES FRISSÍTÉST, HA A VÍRUSSZIGNATÚRÁK NEM NAPRAKÉSZEK, ÉS NINCS KAPCSOLAT A
MANAGEMENTSERVERREL” [DOWNLOAD INTERNET UPDATES YOURSELF IF VIRUS SIGNATURES ARE MANAGEMENTSERVER CAN BE ESTABLISHED]). Az olyan
OUTDATED AND NO CONNECTION TO THE
klienseknél, amelyek nem csatlakoznak gyakran a ManagementServerhez, mint például laptopok, beállítható a G Data frissítőszerver használata tartalék megoldásként. Ahhoz, hogy a kliensek maguktól tudjanak kapcsolódni a G Data frissítőszerverekhez, a bejelentkezési adatokat meg kell adni a „BEÁLLÍTÁSOK ÉS IDŐZÍTÉS” (SETTINGS AND SCHEDULING) párbeszédablakban. A kliensek vagy a saját (ha rendelkezésre áll), vagy a ManagementServer hozzáférési adatait használhatják. Ilyen esetben a „SZIGNATÚRAFRISSÍTÉS IDŐZÍTÉSE” (SIGNATURE UPDATE SCHEDULE) fül a vírusszignatúrafrissítések időzítésére használható. Az óránkénti frissítés beállítása az ajánlott érték, de az olyan kliensek számára, amelyek nem kapcsolódnak folyamatosan az internethez, használható az „INTERNETES KAPCSOLATKOR” (ON INTERNET CONNECTION) lehetőség.
: G Data Administrator, Kliensbeállítások, Általános, Frissítési beállítások A programfájlfrissítések szintén telepíthetőek automatikusan, amelyek segítségével a kliensek használhatják a kliensprogram legújabb biztonsági szolgáltatásait, ugyanakkor óvatosabban kell eljárni, mint a szignatúrafrissítéseknél. A kliensprogram frissítése kiegészítő tesztelést igényelhet, hogy biztosítani lehessen a kompatibilitást az összes klienskonfigurációval a hálózaton. Ugyan a kisebb verzióváltások általában nem okoznak komolyabb változást, ajánlott azok tervezett bevezetése. A „SZERVERBEÁLLÍTÁSOK” (SERVER SETTINGS) „SZOFTVERFRISSÍTÉSEK” (SOFTWARE UPDATES) fülén állítható be a „SZAKASZOS SZÉTOSZTÁS” (STAGED DISTRIBUTION) engedélyezése. Ez matematikai számításokon alapul, ahol mindegyik aktív kliens csoportokra (szakaszokra) van osztva. Csak miután az első szakaszba tartozó klienseken sikeresen megtörtént a programfájlfrissítés, lép tovább a második szakaszba tartozó kliensekhez. Ha túl sok kliens van, ahol a telepítés valamilyen hibát produkál, a szétosztás automatikusan megáll. A szakaszok száma manuálisan meghatározható. Minél nagyobb a hálózat, annál több szakaszt kell használni a problémamentes telepítés érdekében. Emellett megadható azon napok száma, amelyek elteltével a következő szakasz telepítése megkezdődik. Az alapértelmezett érték 3 nap, amely lehetőséget biztosít az adminisztrátorok számára, hogy ellenőrizzék a klienseket a különféle problémákkal kapcsolatban, illetve komoly probléma esetén megállíthassák egy-egy meghatározott frissítés telepítését. Amennyiben szükséges, a szakaszos szétosztás beállításai optimalizálhatóak a Gdmms.exe.config konfigurációs fájlban található beállítások szerkesztésével (lásd 17.1.6. fejezet). A programfájlfrissítésekhez néha szükség van a számítógép újraindítására. Néhány kliensszerepkör számára ez figyelmes tervezést igényel, hogy elkerülhessük azt, hogy a számítógép valamilyen fontos feladat végrehajtása közben újrainduljon. Az „ÚJRAINDÍTÁS FRISSÍTÉS UTÁN” (REBOOT AFTER UPDATE) beállítás vezérli a kliens viselkedését ilyen estekben. A felhasználó értesíthető arról, hogy a számítógép újraindítása szükséges, az újraindítás erőltethető, illetve létrehozható egy jelentés a „JELENTÉSEK” (REPORTS) szekcióban, így az adminisztrátorok manuálisan beavatkozhatnak, és újraindíthatják a számítógépet egy későbbi, megfelelő időpontban. A frissítések szétosztásához megfelelő hálózati sávszélességre van szükség. A ManagementServer, illetve annak alhálózati szerverei rendszeresen küldenek szignatúra- és programfájlfrissítéseket minden kliens számára a hálózaton. A frissítőfájlok inkrementálisak, így viszonylag kicsi a méretük, ugyanakkor nagy hálózatoknál még így is okozhatnak kiemelkedő terhelést. Ennek elkerülésére a kliensek beállíthatóak a peer-to-peer frissítés szétosztás használatára. Ezt a lehetőséget a „BEÁLLÍTÁSOK” > „INTERNETES FRISSÍTÉS” (OPTIONS > INTERNET UPDATE) alatt lehet engedélyezni. Ha engedélyezve van, akkor a ManagementServer szétosztja a frissített szignatúrafájlokat egy adott számú kliens között, amelyek sorjában frissítik egymást.
Minden egyes, a ManagementServer által szétosztott frissítéssel a kliensek információkat kapnak a környezetükben lévő, még nem frissített kliensekről, ahová továbbítják a frissítést. A peer-topeer rendszer mindenféle konfigurálás nélkül használható, de a beállításai optimalizálhatóak a különféle hálózati helyzetekre (lásd 17.1.5. fejezet). Az automatikus frissítés használata mellett a kliensek továbbra is frissíthetőek. Az adminisztrátorok engedélyezhetik a felhasználók számára, hogy szignatúrafrissítéseket kezdeményezhessenek (lásd 8.3. fejezet). Ez az olyan felhasználók számára nyújt lehetőséget, akik csak nagyon ritkán csatlakoznak a vállalati hálózathoz, ugyanakkor naprakészek akarnak maradni a frissítési folyamattal kapcsolatban. Alternatív megoldásként az adminisztrátor használhatja a G Data Administrator „KLIENSEK” (CLIENTS) modulját, hogy figyelemmel kísérje a frissítéseket és a verziószámokat, amelyek a kliensekre lettek telepítve. A „KLIENSEK” (CLIENTS) modulban megtalálható a G Data Security Client verziószáma, információk a legutolsó frissítésről az A és B keresőmotorhoz, illetve a legutolsó időpont, amikor a kliens a szerverhez kapcsolódott. A listán szereplő kliensek rendezésével és/vagy csoportosításával, ezen tulajdonságok szerint, a nem naprakész kliensek könnyen észrevehetőek és frissíthetőek, a kliensen jobb egérgombbal kattintva, majd a „VÍRUSSZIGNATÚRÁK FRISSÍTÉSE MOST” (UPDATE VIRUS SIGNATURES NOW) vagy a „PROGRAMFÁJLOK FRISSÍTÉSE MOST” (UPDATE PROGRAM FILES NOW) lehetőséget választva. A „KLIENS” (CLIENTS) modul használatának alternatívájaként a verzióinformációk az „IRÁNYÍTÓPULTON” (DASHBOARD) is megtekinthetőek vagy e-mail jelentés beállításával hozzáférhetőek (lásd 6. fejezet).
7.3.3 Visszavonások (Rollbacks) Elvétve előfordulhat, hogy a vírusszignatúra-frissítések problémát okoznak egyes klienseken, például hibásan ismer fel vírusosnak fájlokat vagy az egyik szignatúrafájl megsérül. Ilyen esetben az első teendő a problémát okozó vírusszignatúra- (keresőmotor-frissítés) készletek blokkolása. A „FRISSÍTÉS VISSZAVONÁSA” (UPDATE ROLLBACK) funkció használatával a frissítés blokkolható. A frissítést nem osztja szét tovább a ManagementServer, és az összes kliens, amely kapcsolatban van a ManagementServerrel, értesül a blokkolásról. Abban az esetben, ha a visszavonás nem oldja meg a problémát, például ha egy fájl megsérült, a vírusszignatúra teljes frissítésére van szükség. Normál esetben a G Data ManagementServer és a G Data Security Client csak a vírusszignatúra-frissítések egy részét (inkrementálisan) tölti le, így csökkentve a hálózati forgalmat és a terhelést. Az „INTERNETES FRISSÍTÉS” (INTERNET UPDATE) ablakban, a „HOZZÁFÉRÉSI ADATOK ÉS BEÁLLÍTÁSOK” (ACCESS DATA AND SETTINGS) fülön található a „VERZIÓ-ELLENŐRZÉS” (VERSION CHECK) lehetőség. Ez alapértelmezettként engedélyezve van, így a G Data ManagementServer csak a verziószámuk alapján hasonlítja össze a frissítéseket. Az opció kikapcsolásával, illetve a vírusadatbázis- és/vagy programfájlfrissítés kényszerítésével a megfelelő fülön, a ManagementServer ellenőrzi az összes frissítőfájl sértetlenségét, és szükség szerint újra letölti azokat. A „KLIENSBEÁLLÍTÁSOK” (CLIENT SETTINGS) modulban a „VERZIÓLLENŐRZÉS” (VERSION CHECK) utólag is kikapcsolható az érintett klienseknél, az „ÁLTALÁNOS” (GENERAL) fülön a „FRISSÍTÉSI BEÁLLÍTÁSOK” (UPDATE SETTINGS) megnyitásával. Ezt követően a frissítési folyamat ezt a klienst a teljes vírusszignatúrával vagy programfájlfrissítéssel ellátja.
7.4
Kliens eltávolítása
Ha egy kliens kompatibilitási problémákat mutat vagy tovább már nincs szükség, hogy a G Data biztonsági program menedzselje, lehetőség van az eltávolítására. Ez a folyamat két lépésből áll: el kell távolítani a G Data Security Clientet a kliensszámítógépről, majd a klienst el kell távolítani a G Data ManagementServer klienslistájából. Az első lépés végrehajtható a G Data Administrator „KLIENSEK” (CLIENTS) moduljának megnyitásával, majd a megfelelő kliens kiválasztása utána a „G DATA SECURITY CLIENT ELTÁVOLÍTÁSA” (UNINSTALL G DATA SECURITY CLIENT) lehetőséget választva a „KLIENSEK” (CLIENTS) menüből. Ezt követően az adminisztrátornak választania kell, hogy csak a klienst kívánja eltávolítani, vagy a hozzá tartozó munkafeladatokat, jelentéseket, üzeneteket és biztonsági mentés tömörítvényeket is. Ha egy klienst kompatibilitási okok miatt kell eltávolítani, de később visszaállításra kerül, akkor ajánlott a hozzákapcsolódó adatok megtartása. Azonban ha az eltávolítandó kliensszámítógép hardvere selejtezve lesz, az összes adat eltávolítható. A távoli eltávolítás alternatívájaként a folyamat a kliensen, helyileg is kezdeményezhető (lásd 17.2.4. fejezet).
: G Data Administrator, Kliensek, G Data Security Client eltávolítása A G Data Security Client eltávolítása után a kliensgép még továbbra is listázva van a G Data Administrator klienskezelő területén. Továbbra is menedzselhető, de számos funkció csak akkor lesz elérhető, ha a Security Client újratelepítése megtörténik. Egy kliens szerverről való teljes eltávolításához kattintson rá jobb egérgombbal a klienskezelő területen, majd válassza a „TÖRLÉST” (DELETE). A művelet megerősítését követően a kliens eltávolításra kerül a listáról, ahová szükség esetén kézzel újra hozzáadható.
7.5
Teljesítmény
A G Data ManagementServer nagyszámú kliens kezelésére képes. A hálózat méretétől, a munkafeladatok számától és a szinkronizációs beállítástól függően a teljesítmény leeshet, ha egyszerre sok párhuzamos művelet zajlik. Többféle rendszabály érhető el a teljesítményproblémák megoldására. Ezeket a rendszabályokat csak akkor használjuk, ha ténylegesen érezhető a teljesítmény csökkenése. Megelőző intézkedésként nem szükséges korlátozni az egyidejű kliensaktivitást, ha az nem érinti negatívan a teljesítményt.
: G Data Administrator, Szerverbeállítások, Terheléskorlátozás A „SZERVERBEÁLLÍTÁSOK” (SERVER SETTINGS) ablakban található a „TERHELÉSKORLÁTOZÁS” (LOAD LIMIT) lehetőség. Különféle típusú műveletek végrehajtása korlátozható maximális egyidejű kliensszám szerint. Ha teljesítménycsökkenés észlelhető a túl sok egyidejű klienskapcsolódás miatt, a teljesítménykorlátozással megszabható a maximális kapcsolatok száma. Szerveroldalon a frissítések nagyszámú letöltése teljesítménycsökkenéshez vezethet, ha a merevlemez nem képes kiszolgálni megfelelő sebességgel a folyamatot. A Kliensszinkronizáció magas processzorterhelést okozhat a szerveren, ugyanakkor a nagy fájlok le- vagy feltöltése a kliensek és a szerver között szintén hálózati torlódáshoz vezethet. A terhelési problémák csökkenthetőek, korlátozva azon kliensek számát, amelyek egyszerre végrehajthatják ezeket a műveleteket. Nagyobb hálózatoknál szükségessé válhat egy alhálózati szerver telepítése (lásd 3.1. fejezet), amely támogatja a fő ManagementServert. A kliensek hozzárendelhetőek az alhálózati szerverhez, így ahhoz fognak csatlakozni a vírusszignatúrák letöltéséhez, ezáltal csökkentve a fő ManagementServer terhelését, illetve a hálózati forgalmat a kliensek és a fő ManagementServer között. Az alhálózati szerver használata különösen helyi fiókirodáknál ajánlott, a szerver-kliens forgalom optimális sebességének érdekében a WAN-on keresztüli kapcsolódás a fő ManagementServerhez megszüntethető. Ha az időzített feladatok vagy munkafeladatok teljesítménycsökkenést okoznak a szerveren, kísérelje meg csökkenteni az egyidejű időzített feladatok számát. Különösen akkor fordulhat elő teljesítménycsökkenés, ha engedélyezve van a kliensek rendszeres állapotjelentése a szerver felé. Továbbá a szerver, az alhálózati szerver(ek) és a kliensek közötti beállításszinkronizáció sűrűsége beállítható ritkábbra, bár ez a legtöbb esetben nem okoz lényeges teljesítménynövekedést.
8. Valós idejű védelem A kliensbiztonság egy több rétegből felépülő megoldással biztosítja azt, hogy a kártékony programok fertőzése több szakaszban is megakadályozásra kerül. Mielőtt a kártékony programok megfertőzhetnék a számítógépet, át kell törniük a hálózati biztonságon (mint például a tűzfal), majd ezt követően a helyi kliensbiztonságon (mint például a fájlrendszervédelem vagy a HTTP forgalomszűrő). A helyi biztonsági komponensek nagyon fontos szerepet játszanak a kártékony programok fertőzésének elhárításában. A jogosulatlan hálózati kapcsolatokat a tűzfal blokkolja (bővebb információkért olvassa el a 13. fejezetet). Az engedélyezett hálózati forgalom eléri a klienseket, amely számos biztonsági modul használatával megszűri azt. A valós idejű biztonsági modulok, mint a fájlrendszervédelem, a heurisztikus keresés, a viselkedés alapú keresés és a böngészőbeépülő biztosítja azt, hogy a kártékony program még az előtt meg lesz állítva, mielőtt futtatni tudná magát, függetlenül a támadási vektortól. Fertőzött e-mail érkezésekor a kártékony programot tartalmazó csatolmány közvetlenül eltávolításra vagy karanténozásra kerül anélkül, hogy a fertőzött fájl bármikor is elérné a fájlrendszert. Hasonló megközelítés szerint dolgozik az internet és az azonnali üzenetküldők védelme, amely szűri a HTTP és az azonnali üzenetküldők (IM) forgalmát, majd gyanú esetén blokkolja azt. Ha egy kártékony program valamilyen egyéb módon eléri a rendszert, például cserélhető médiumon keresztül, a fájlrendszervédelem azon nyomban blokkolja, ahogy a fájl a merevlemezre íródik vagy megpróbálja magát futtatni. Ezek a biztonsági rendszabályok együtt biztosítják azt, hogy a kártékony programok képtelenek legyenek megfertőzni a rendszert. Ezt azt jelenti, hogy ezeket a biztonsági rendszabályokat együtt kell konfigurálni, ahelyett hogy különálló egységekként kezelné azokat. Bár csábítóan hangzik, hogy engedélyezzük a maximális biztonságot minden egyes kliens számára a hálózaton, nem mindegyik biztonsági beállítás alkalmazható egyformán minden egyes kliensre. Néhány klienst maximálisan biztonságosra kell beállítani, míg másoknál a teljesítmény sokkal fontosabb. A biztonsági lehetőségek beállíthatóak különálló kliensenként vagy alkalmazhatóak klienscsoportokra, attól függően, hogy melyik elemet választjuk ki a klienskezelő területen. Ajánlott az összes hálózati kliens megfelelő csoportokba sorolása, így lehetőség van egyszerre több kliensre alkalmazni a szükséges beállításokat (a kliensek kezelésével kapcsolatban bővebb információkért olvassa el a 7. fejezetet). A valós idejű kliensvédelmet még a kliensek telepítése előtt be kell állítani. A G Data Administrator használatával a hálózaton a klienseszközök megtalálhatóak, rendszerezhetőek, illetve beállíthatóak, még mielőtt a G Data Security Client telepítésre kerülne. Minden egyes kliensnél vagy csoportnál győződjön meg arról, hogy beállította az optimális kliensvédelmet, amely közvetlenül a kliens telepítése után engedélyezve lesz. Ideális esetben ezek a beállítások minden egyes kliensre külön optimalizálva vannak, ugyanakkor ez nehézséget okozhat, mert ebben a fázisban nehéz felbecsülni a tényleges teljesítményt. Az adminisztrátorok választhatnak egy korlátozott biztonsági beállítás készletet alapértelmezettként, amelyet később szükség szerint módosíthatnak. Alternatív megoldásként használható egy alapszintű biztonsági beállítás, biztosítva azt, hogy a teljesítmény és a használhatóság nem szenved csorbát, még mielőtt az adminisztrátornak lehetősége lenne a telepítést követően beállítani a védelmi beállításokat. Az, hogy melyik kliensre milyen beállításokat kell alkalmazni, függ a kliens szoftver- és hardverkörnyezetétől, illetve a szerepkörétől (az a környezet, amelyben a számítógép használva van). A legtöbb biztonsági beállításhoz csak egy általános ajánlás adható. Gyakran a vállalat házirendjei szabják meg a biztonság bizonyos szintjeit, hasznos irányvonalat formálva a
biztonsági megoldás bevezetéséhez. Máskor hálózati zónánként vagy akár kliensenként kell a szükségleteknek megfelelően a házirendeket kialakítani. Ez a folyamat sok próbálkozást igényelhet, a biztonsági megoldást apránként kell bevezetni, a beállításait pedig figyelmesen felügyelni. A valós idejű védelem beállításai a G Data Administrator „KLIENSBEÁLLÍTÁSOK” (CLIENT SETTINGS) modulján keresztül érhetőek el. A beállítások minden egyes klienshez vagy csoporthoz a tervezett használatuk szerint hozzáigazíthatóak. A kliens megfelelő beállításának segítségeként az „ÁLTALÁNOS” (GENETRAL) fülön megtalálható a „MEGJEGYZÉS” (NOTE) mező. Itt az adminisztrátor hozzáadhat egy leírást a klienssel vagy a telepítésével kapcsolatosan, vagy bármi egyéb olyan megjegyzést, amely segít dönteni a különféle biztonsági beállítások között.
8.1
A forgalom ellenőrzése
A tűzfalat követően a védelem következő vonala annak a forgalomnak az ellenőrzése, amelyet a tűzfal átengedett. A G Data Security Client különféle típusú forgalmakat képes elemezni. Az azonnali üzenetküldő alkalmazások (IM) forgalma, amelyeken gyakran fájlokat is cserélhetnek a felhasználók, az „IM FORGALOM FELDOLGOZÁSA” (PROCESS IM TRAFFIC) lehetőség bekapcsolásával ellenőrizhető. A kliens ellenőrzi az azonnali üzenetküldők (IM) bejövő forgalmát (alapértelmezettként az ICQ és AIM által használt 5190-es porton). Alternatívaként engedélyezhető az integráció a Microsoft Messenger 4.7 vagy későbbi verzióhoz, a Trillian 3.0 vagy későbbi verzióhoz a bejövő fájlküldések és a kártékony programok automatikus ellenőrzésével kapcsolatosan. Az általános webforgalom szintén ellenőrizhető. Az „INTERNETES FORGALOM (HTTP)” (INTERNET TRAFFIC [HTTP]) alatt megadva egy portszámot, a G Data Security Client ellenőrzi a bejövő HTTP forgalmat (alapértelmezettként a 80 és a 443/SSL porton). Az olyan weboldalak böngészésekor, amelyek rosszindulatú programokat tartalmaznak, kártékony programot akarnak letölteni vagy adathalász weboldalak látogatásakor a hozzáférés blokkolva lesz. A nagyobb fájlok kártevőkkel szembeni ellenőrzése eltarthat egy ideig, a böngészők időtúllépésének megakadályozásához a keresés alatt be kell jelölni a „BÖNGÉSZŐ-IDŐTÚLLÉPÉS ELKERÜLÉSE” (AVOID BROWSER TIMEOUT) jelölőnégyzetet. Ezt a beállítást ajánlott bekapcsolva hagyni. A késések elkerülése végett megadható a maximális fájlméret. Bármilyen HTTP forgalom, amely ennél nagyobb méretű fájlt tartalmaz, nem lesz ellenőrizve. Az a beállítás növelheti a teljesítményt, ugyanakkor az adminisztrátornak meg kell győződnie arról, hogy a letöltött fájl ezt követően ellenőrizve lesz valamelyik másik biztonsági réteg által (mint például a rendszervédelem [system monitor]). Ha bizonyos weboldalak (pl. vállalati intranet) forgalmát nem szükséges ellenőrizni, az a weboldal hozzáadható a „GLOBÁLIS FEHÉRLISTA A WEBVÉDELEMHEZ” (GLOBAL WHITELIST FOR WEB PROTECTION) listához.
: G Data Administrator, Kliensbeállítások, E-mail A harmadik és egyben utolsó ellenőrizhető forgalomkategória az e-mail (alapértelmezett portok: 110/POP3, 143/IMAP, 25/SMTP)7. A portok a beállításpanel alján megadhatóak, továbbá lehetőség van az e-mail kliens időtúllépésének megakadályozására a beállítás engedélyezésével a megfelelő portoknál. A HTTP forgalomhoz hasonlóan minden bejövő e-mail ellenőrzésre kerül a vírusokkal kapcsolatosan. Amennyiben valamilyen kártékony program található, az e-mail üzenet megtisztítható vagy a fertőzött tartalom eltávolítható, illetve az e-mail szövegéhez hozzáfűzhető egy értesítés a fertőzésről. Ajánlott az e-mail üzenetek megtisztítása, illetve sikertelen megtisztítás esetén a fertőzött tartalom automatikus törlése vagy eltávolítása, majd opcionálisan értesíteni erről a felhasználót. Az olyan hálózatokon, ahol a felhasználónak akkor is hozzá kell férnie a bejövő leveleihez, ha az fertőzött tartalmat vagy csatolmányt tartalmaz, használható A „CSAK NAPLÓZÁS/FIGYELMEZTETÉS BESZÚRÁSA” (LOG ONLY/INSERT WARNING) lehetőség. Ebben az esetben a kártevőt a fájlrendszervédelem még megállíthatja. Ugyanakkor a védelem egy rétegének kikapcsolásával növekszik a veszélye a kártevőfertőzésnek, így ez az eljárás nem ajánlott. Azokon a hálózatokon, ahol Microsoft Outlook és Microsoft Exchange Server van párhuzamosan használatban, az alapértelmezett portok ellenőrzése nem alkalmazható, mivel a kliensek és az Exchange Server között a kommunikáció számos egyéb porton történik. Ahhoz, hogy a levélforgalom ellenőrzése az Exchange Servertől és az Exchange Server felé biztosítható legyen, az adminisztrátoroknak engedélyezni kell az Outlook beépülőt, vagy telepíteniük kell a MailSecurity Exchange beépülőjét. Az e-mail biztonsági ellenőrzés kiegészítéseként a G Data a kéretlen levelekkel is felveszi a harcot. Az AntiSpam funkció ellenőrzi az e-mail forgalmat és megjelöli a kéretlen (gyanús) leveleket. Kombinálva a szűrőszabályokkal a helyi e-mail kliensben, az AntiSpam segít kigyűjteni a kéretlen leveleket, még mielőtt azok elérnék a postafiókot. Az AntiSpam nem befolyásolja lényegesen a rendszer teljesítményét, azonban kikapcsolható, ha már üzemel valamilyen másfajta, kéretlen levelekkel 7
Ez csak az e-mail üzenetek kliensoldali ellenőrzését takarja. Az e-mail üzenetek szerveroldali ellenőrzése a G Data MailSecurityval hajtható végre.
kapcsolatos rendszabály, például levelezőszerver alapú megoldás vagy az e-mail kliens kéretlenlevél-szűrője. A kimenő leveleket szintén ellenőrizni kell a vírusokkal kapcsolatban, így elkerülhető, hogy a felhasználó a tudtán kívül kártékony programot tartalmazó levelet küldjön. A kimenő levelekhez, opcionálisan, hozzácsatolható egy jelentés, jelezve, hogy az üzenet ellenőrizve lett. Ez a címzettek számára nyújt megerősítést arról, hogy az e-mail üzenet ténylegesen biztonságos. A „KERESÉSI BEÁLLÍTÁSOK” (SCAN OPTIONS) alatt az adminisztrátor megadhatja, hogy melyik keresőmotorok legyenek használva. A G Data két keresőmotort használ az optimális biztonság elérésének érdekében, de bizonyos esetekben, amikor ez negatívan érinti a teljesítményt, hatékony megoldás lehet az egyik keresőmotor kikapcsolása (lásd 8.4. fejezet). További biztonsági intézkedésként engedélyezhető az OutbreakShield. Ez a saját szignatúráit használja a kártékony kódot tartalmazó kéretlen levelek felismerési rátájának növelésére. A tömegesen küldött kéretlen levelek karakterisztikájára alapozva a kéretlen levelek akkor is felismerhetőek, ha a tradicionális keresőmotorok vírusszignatúráit még nem frissítették. Az OutbreakShield viszonylag kis teljesítményigényű, így nem befolyásolja negatívan a kliensgép teljesítményét.
8.2
Fájlrendszer
A fájlrendszervédelem a kártevők elleni védelem utolsó vonala. Ha egy kártékony program nem kerül kiemelésre a rendszerből az azonnali üzenetküldő, webes vagy e-mail védelem során, és eléri a számítógépet, akkor a fájlrendszervédelem felismeri és megállítja. A fájlrendszervédelem belül rétegekből áll, védelmet biztosítva az ismert és az ismeretlen fenyegetések ellen. Akárhányszor, amikor egy fájl írása vagy olvasása történik a helyi fájlrendszerben, belép a képbe a fájlrendszervédelem. Először a védelem egy vagy két keresőmotor segítségével ellenőrzi a fájlt, és összehasonlítja a helyben tárolt vírusszignatúrákkal. Így felismerve a kártevőket végrehajtja a beállított műveletet (például megtisztítás, karanténozás, törlés). Ha a fájl a vírusszignatúrákkal való összehasonlítás után nem ismerhető fel kártékony programként, heurisztikus technológiával is ellenőrizve lesz. A vírusszignatúrákhoz hasonlóan a fájl ilyenkor az általános kártevőmintákkal kapcsolatosan lesz átvizsgálva. A heurisztika némileg magasabb hamis felismerési rátát eredményez, ugyanakkor segít felismerni azokat a kártevőket, amelyekhez még nem létezik elérhető szignatúra. Végezetül a viselkedésfelügyelő (behavior monitoring) egy lépéssel továbbviszi a heurisztikus megközelítést. Miközben a fájlokat futtatják, követ minden egyes műveletet. Ha a fájl viselkedése általános kártevő-viselkedési formának minősül, például túlzott írási hozzáférés a rendszerleíró adatbázishoz vagy automatikus indítási bejegyzések létrehozása, akkor a futása megállítható, továbbá a fájl a karanténba mozgatható. Olyan esetekben, amikor a viselkedésfelügyelő hamis találatokat eredményez, kikapcsolható vagy beállítható, hogy csak naplózza az eseményeket. Egy még inkább specifikusabb formája a viselkedésfelügyelőnek a BankGuard, amely a „WEB/AZONNALI ÜZENETKÜLDŐ” (WEB/IM) fülön található. Ez felügyeli a böngészők (Microsoft Internet Explorer, Mozilla Firefox és Google Chrome) rendszerfájljait, és védelmet nyújt a kártevők ellen, amelyek az internetes banki szolgáltatások weboldalait próbálják manipulálni. A fájlrendszervédelem különböző rétegei külön-külön is beállíthatóak. A „VÉDELEM” (MONITOR) fül hozzáférést biztosít a fájlrendszervédelemhez. Alapértelmezettként ez egy kiegyensúlyozott profilbeállítással van engedélyezve, így biztosítva a védelmet anélkül, hogy túl sok teljesítményt kellene feláldozni. Az adminisztrátor választhat, hogy kíván-e alkalmazni több biztonsági intézkedést, vagy a teljesítmény növelése érdekében kikapcsol párat. Ahogy a legtöbb beállításnál, itt is ajánlott minden esetben az optimális biztonságra törekedni, amíg az nem
befolyásolja drasztikus mértékben a teljesítményt. A „VÉDELMI ÁLLAPOTNAK” (MONITOR STATUS) mindig bekapcsoltnak kell lennie. A védelem teljes kikapcsolásával deaktiválódik a G Data biztonsági megoldás egyik központi komponense. A kikapcsolását csak akkor érdemes megfontolni, ha az adott kliensen rendkívüli kompatibilitási problémák tapasztalhatóak, vagy ha a kliens valamilyen más védelmi intézkedésekkel megfelelő mértékben védve van.
: G Data Administrator, Kliensbeállítások, Védelem A fájlrendszervédelem két keresőmotort használ a fájlok kártevő-ellenőrzésére. Ez optimális biztonságot ad, biztosítva, hogy ha az egyik keresőmotor esetleg nem ismerte fel a fertőzést, akkor a másik fel fogja. Az alapértelmezett és ajánlott beállítás mindkét keresőmotor használata, optimális teljesítménymódban. Az optimális biztonsághoz mindkét keresőmotor engedélyezhető, biztosítva, hogy a fájlokat mindig, mindkettő keresőmotor ellenőrizni fogja, ugyanakkor ez kihatással van a teljesítményre. Ha optimális teljesítménymód-beállítás mellett is túlzott mértékben lecsökken a számítógép teljesítménye, akkor a kliensek beállíthatóak, hogy a kettő közül csak az egyik keresőmotort használják. Fertőzött fájltalálat esetén a G Data többféle műveletet is végre tud hajtani. A legszigorúbb beállítás azonnal törli a fertőzött fájlokat. Ez biztosítja, hogy egy kártékony program soha, semmilyen módon ne férhessen a rendszerhez, ugyanakkor adatvesztéshez vezethet fertőzött fontos dokumentum vagy hamisan felismert kártevőfertőzés esetén. Az elsődleges műveletnek a megtisztítást ajánlott választani. Ez lehetőséget biztosít a fájlrendszervédelem számára, hogy megkísérelje megtisztítani a vírustól az adott fertőzött fájlt, annak érdekében, hogy az újra hozzáférhető legyen. Amennyiben ez nem lehetséges, a fájl törölhető vagy karanténozható, vagy blokkolható a hozzáférése. A hozzáférés blokkolása megakadályozza a kártevő futását, ugyanakkor magát a fájlt érintetlenül hagyja. A fájl karanténozásával biztosítható, hogy azt véletlenül senki ne futtathassa, míg a lehetőség továbbra is adott a későbbi visszaállítására vagy a manuális megtisztítására. A karanténból lehetőség van az adminisztrátorok számára a fájl elküldésére a G Data számára, további vizsgálatra. A fájlrendszervédelem képes ellenőrizni a
tömörítvények tartalmát is (mint például a ZIP fájlok), de egy-egy fertőzött fájlt nem távolít el belőlük. Azok a tömörítvények, amelyek fertőzött fájl(oka)t tartalmaznak, a karanténba mozgathatóak, törölhetőek vagy blokkolható a hozzáférésük. Mivel a tömörítvények a kitömörítés vagy megnyitás során ellenőrizve lesznek, így minimális a veszélye a tömörített fájlokkal történő munkának. A teljesítményt szem előtt tartva lehetőség van a tömörítvények ellenőrzésének teljes kikapcsolására. A letapogatási mód (scanning mode) határozza meg, hogy a fájlrendszervédelem mikor lépjen működésbe. Lehetőség van a fájlokat olvasási hozzáféréskor, olvasási és írási hozzáféréskor vagy futtatáskor ellenőrizni. A futtatáskori ellenőrzés megakadályozza, hogy a fájlok megfertőzzék a számítógépet, de a hozzáférés blokkolásához hasonlóan nem gátolják a kártevő további terjedését. Annak érdekében, hogy a fertőzött fájlok akkor is fel legyenek ismerve, ha éppen nem futtatják azokat, válassza az olvasási vagy az olvasási és írási ellenőrzés lehetőséget. Így a fájlok akkor is ellenőrizve lesznek, ha azok egy másik könyvtárból, számítógépről vagy merevlemezről érkeznek, vagy célként arra másolják. Ezen a módon azok a kártékony programok, amelyek aktívan terjesztik magukat a hálózaton belül, felismerésre kerülnek, amikor megpróbálják megfertőzni a többi számítógépet úgy, hogy fájlokat írnak egy hálózati megosztásra. A kártevők ellenőrzése olvasáskor és íráskor intenzív merevlemez-folyamat. Ha a kliens teljesítménye lecsökken, az ellenőrzési mód átállítható csak olvasási hozzáférésre. A futtatáskori ellenőrzés beállítása olyan számítógépeken ajánlott, ahol a csak olvasáskori ellenőrzés használata is túlzottan megterhelő a rendszer számára. Alapértelmezett beállításként a fájlrendszervédelem ellenőrzi a tömörítvényeket, az e-mail tömörítvényeket, illetve a rendszerterületeket a kártékony programokkal kapcsolatban. A méretük miatt a tömörítvények ellenőrzése problémás lehet. A méretkorlátozás meghatározásával elkerülhető, hogy a teljesítmény nagyon visszaessen, amikor a védelem túlzottan nagyméretű tömörítvényeket ellenőriz, vagy a tömörítvények ellenőrzése akár teljes mértékben ki is kapcsolható. Ha az automatikus hozzáférési ellenőrzés ki van kapcsolva a tömörítvények számára, a felhasználónak akkor is lehetősége van manuálisan ellenőrzést indítani a gyanús tömörítvényekre. Az e-mail archívumok ellenőrzésének engedélyezésekor, hogy az e-mail program sérelmezni fogja, ha az adatfájlja a karanténba mozgatásra kerül. A legtöbb esetben jobb megoldás az e-mail archívumok ellenőrzésének kikapcsolása, és a fájlrendszervédelemre hagyni az ellenőrzési feladatot (például amikor a csatolmány lementésre kerül a helyi merevlemezre). A rendszerterületek (bootszektorok) ellenőrizhetőek induláskor vagy médium cseréjekor. Ezt az ellenőrzést engedélyezni kell a bootszektorvírusok felismerése érdekében. A beállításokban szintén alapértelmezettként engedélyezve van a trójai betárcsázók (dialer), a kémprogramok (spyware), a reklámprogramok (adware) és a kockázatos programok (riskware) keresése. Ugyanezek a szó szoros értelmében nem kártékony programok, ugyanakkor általánosságban nem kívánatosak. Amikor a fájlrendszervédelem fenyegetést észlel, automatikusan végrehajtja az adminisztrátor által beállított műveletet, tovább a G Data Security Client képes megjeleníteni egy üzenetet a felhasználó számítógépén, tájékoztatva a fertőzésről. Ez az üzenet tartalmazza a fájlt, a fájl elérési útvonalát, illetve a talált kártevő megnevezését. A figyelmeztetés segít a felhasználónak felismernie, hogy az éppen használt program vagy látogatott weboldal rosszindulatú, ugyanakkor némely felhasználót összezavarhatja ez az üzenet. Azok az üzenetek, amelyek már blokkolt fenyegetésekkel kapcsolatosak, nem minden felhasználó számára lényegesek, és egyedi alapon kikapcsolhatóak. Meghatározott fájlok és könyvtárak kizárhatóak a fájlrendszervédelem ellenőrzéséből. A kivételek használatával az olyan fájlok, amelyeket nem praktikus hozzáféréskor (on-access)
ellenőrizni, kihagyhatóak. Például nagyméretű, ritkán használt fájlokat nem szükséges hozzáféréskor ellenőrizni, feltéve, hogy az időzített keresési munkafeladatok (lásd 9.2.1.3. fejezet) tartalmazzák azt. Az adatbázisfájlok szintén kizárhatóak a hozzáféréskori ellenőrzésből, ha azok rendszeresen ellenőrizve vannak valamilyen keresőfeladattal (on-demand). Nem célszerű túl sok fájlt kizárni az ellenőrzésből. Csak olyan fájlokat zárjon ki, amelyek hozzáféréskori ellenőrzése negatívan befolyásolja a teljesítményt, és csak abban az esetben, ha valamilyen egyéb, általános keresési feladat rendszeresen ellenőrzi azokat. Azok a fájlok, amelyek hibás felismerést produkálnak, ugyanakkor ismerten biztonságosak, hozzáadhatóak a kizárási listához, miután ellenőrizve lett a megbízhatóságuk. A kivételek meghatározásakor különös figyelemmel kell eljárni, hogy ténylegesen csak azokra a kliensekre és/vagy csoportokra alkalmazzuk, amelyeknek szükségük van rá. Mivel a kivételek meggátolják a fájlrendszervédelmet abban, hogy a kizárt fájlokat ellenőrizhesse, így azokat minél kevesebb kliensre kell szűkíteni. A kizárási lista bővíthető könyvtárakkal, meghajtókkal, fájl- és folyamatkivételekkel. A könyvtárak, fájlok és folyamatok manuálisan adhatóak meg a szövegmezőben vagy kiválaszthatóak a könyvtárstruktúrából. A kiválasztás történhet helyi könyvtárból vagy fájlokból, vagy a könyvtárstruktúra megnyitásával, bármelyik kliensen, a hálózaton. A fájlok és folyamatok számára a teljes elérési útvonalat meg kell adni a szövegmezőben. A kizárás meghatározásakor használhatóak a helyettesítő karakterek (a ? és a * szimbólum), amelyek vagy egy-egy karaktert, vagy egy karakterláncot helyettesítenek. A fájlrendszervédelem egyéb rétegei és komponensei külön-külön is ki- és bekapcsolhatóak. A hálózati hozzáférés védelem (Network access monitor) alapértelmezettként be van kapcsolva, de abban az esetben kikapcsolható, ha a számítógép egy olyan hálózatban található, ahol minden egyes kliensgépet véd a G Data. A heurisztika (heuristics) és a viselkedésfelügyelő (behavior monitoring) alapvető biztonsági intézkedések, csak akkor kapcsolja ki őket, ha túl sok hibás, hamis felismerést produkálnak.
8.3
Végfelhasználói biztonsági engedélyek
A biztonsági beállításokat az adminisztrátor központilag kezeli. Bizonyos esetekben hasznos lehet, ha a felhasználó számára is engedjük, hogy víruskeresést indíthasson vagy megváltoztathasson beállításokat. Máskor, ha az adminisztrátor riasztást kap, hozzá kell tudnia férni a helyi biztonsági beállításokhoz. A „KLIENSBEÁLLÍTÁSOK” (CLIENS SETTINGS) modul „ÁLTALÁNOS” (GENERAL) fülén az adminisztrátor biztosíthat számos jogosultságot, amelyek helyileg, a tálcán található G Data Security Client ikonon keresztül megváltoztathatóak. Ezek a beállítások jelszóval védhetőek, így korlátozható a számítógépet használók hozzáférése, vagy a jelszó ismeretében csak az adminisztrátor férhet hozzá ezekhez a beállításokhoz
: G Data Administrator, Kliensbeállítások, Általános Annak érdekében, hogy kártevőfertőzés esetén csökkentsük azon esetek számát, amikor az adminisztrátornak fizikailag ténylegesen a kliensgéphez kell mennie, a felhasználók számára engedélyezhető, hogy manuálisan indíthassanak kártevőkeresést fájlokra és könyvtárakra. A „VÍRUSELLENŐRZÉS INDÍTÁSÁNAK ENGEDÉLYEZÉSE A FELHASZNÁLÓ SZÁMÁRA” (ALLOW THE USER TO RUN VIRUS CHECKS) lehetőség kiválasztásával manuális víruskeresés indítható, függetlenül a szerveroldalon beállított időzített keresésektől. A keresés indítható különálló fájlokra és könyvtárakra, az egész számítógépre, cserélhető eszközökre vagy a memóriára és a rendszerindítási területekre. Azokon a kliensgépeken, ahol a felhasználó olyan dokumentumokkal dolgozik, amelyek nem ellenőrzött forrásból származnak (például internetről letöltött vagy cserélhető eszközön érkezett), a manuális keresés egy extra védelmi ellenőrzésként használható, ugyanakkor a legtöbb esetben a központilag beállított védelem már ellenőrizte a fájlt, és gondoskodott az esetleges védelemről. A „VÍRUSSZIGNATÚRA-FRISSÍTÉSEK LETÖLTÉSÉNEK ENGEDÉLYEZÉSE A FELHASZNÁLÓ SZÁMRA” (ALLOW THE USER TO DOWNLOAD VIRUS SIGNATURE UPDATES)
lehetőség engedélyezésével a felhasználó lehetőséget kap a helyi vírusszignatúrák frissítésére, függetlenül a frissítési időzített feladatoktól. Ez abban az esetben hasznos, ha a felhasználó gyakran használja a számítógépet a vállalati hálózaton kívül (például laptopok). Ugyanakkor ez eltérő szignatúraverziókhoz vezethet a hálózaton, ami megbonyolítja a klienskezelést és a hibaelhárítást. A fájlrendszervédelemhez, az e-mail ellenőrzéshez, a web/azonnali üzenetküldők ellenőrzéséhez minden biztonsági beállítás hozzáférhetővé tehető a felhasználó számára, ezt a lehetőséget azonban óvatosan kell kezelni. Az egységes biztonsági házirend megtartásának érdekében nem ajánlott a felhasználóknak engedélyezni a biztonsági beállítások megváltoztatását. Minden beállításváltozást az adminisztrátornak célszerű engedélyezni, illetve előzetesen tesztelni. Egy nem megfelelő beállítás engedélyezésével minden biztonsági intézkedés kikapcsolható. Csak akkor ajánlott ennek a lehetőségnek az engedélyezése, ha az adminisztrátornak helyileg a számítógépen szükséges a beállításokat megváltoztatnia, például javítás miatt, akkor is jelszóvédelem használata mellett.
A G Data Security Client hozzáférést biztosíthat a helyi karanténhoz. Ha az adminisztrátor beállításai szerint a fertőzött fájlok karanténba mozgatása történik, a felhasználó megtekintheti az izolált fájlok listáját. Minden egyes fertőzött fájlnál látható a detektálás dátuma és ideje, illetve a fájl teljes neve és elérési útvonala, illetve a vírus neve. A fájlok megtisztíthatóak, törölhetőek vagy visszamozgathatóak. Az utóbbi lehetőség miatt a hozzáférést a karanténhoz csak tapasztalt felhasználóknak, illetve adminisztrátoroknak szabad biztosítani. Azok a fájlok, amelyek megtisztítás nélkül kerülnek visszahelyezésre, kockázatot jelenthetnek a rendszer számára. A „JAVÍTÁSKEZELŐ” (PATCHMANAGER) modul használatakor az adminisztrátor engedélyezheti a felhasználó számára a telepített, illetve az elérhető, de még nem telepített javítások megtekintését. Ez a lehetőség nem jelent biztonsági kockázatot, továbbá hasznos lehet abban az esetben, ha a felhasználó problémákat tapasztal valamilyen javítás telepítése után és annak visszavonását kérvényezné (rollback request), vagy ha a javítást valamilyen kompatibilitási probléma megoldásaként prioritással kéne kezelni. (További információk a 15. fejezetben találhatóak.) Amennyiben a G Data Tűzfal (Firewall) engedélyezve van, az adminisztrátor hozzáférést biztosíthat a felhasználó számára a ki-, illetve bekapcsolásához, továbbá a nem helyszíni konfiguráció megváltoztatásához. Nem ajánlott a felhasználók számára engedélyezni a tűzfal kikapcsolásának lehetőségét, hacsak nincs valamilyen egyéb, szigorú, hálózati szintű védelmi megoldás helyette. A nem helyszíni konfiguráció megváltoztatásának engedélyezése olyan kliensek számára hasznos, amelyek gyakran csatlakoznak a vállalati hálózaton kívül más hálózatokhoz. A felhasználónak így lehetősége nyílik különféle szabályok és szabálykészletek létrehozására a másik hálózat számára, amelyek azonban automatikusan érvénytelenítve lesznek, amikor a kliens visszatér a vállalati hálózatba. A szabálykészletekkel kapcsolatosan bővebb információ a 12. fejezetben található. A G Data Security Client beállításainak megváltoztatási jogosultsága nem kapcsolódik az alkalmazás, az eszköz, a webtartalom-vezérlő vagy az internethasználati idő jogosultságokhoz. Ezek a fajta jogosultságok a „JOGOSULTSÁGKEZELŐ” (POLICYMANAGER) modulon keresztül adhatóak vagy vonhatóak vissza (lásd 14. fejezet).
8.4
Teljesítmény
A klienshardver és -szoftver, csakúgy, mint a hálózati infrastruktúra, véges kapacitással rendelkezik. Hagyományosan az információbiztonság mindig a teljesítmény rovására megy. Minél több biztonsági intézkedés van bevezetve, annál nagyobb teljesítményigénnyel lehet számolni. A legtöbb modern kliens-szerver biztonsági megoldás számára ezért a teljesítmény kulcskérdésnek számít. A G Data optimalizált biztonsági moduljai még akkor sem érintik lényegesen a kliensek teljesítményét, ha optimális biztonságra vannak beállítva. A különféle körülmények, mint például a hardverkörnyezet vagy a telepített programok, eltérő arányt kívánnak meg a biztonság és a sebesség között. A meghatározott hálózati zónák és kliensszerepkörök (lásd 1.1. fejezet) szerint felépített hálózat segít a döntésben, hogy mely klienseknek van szüksége nagyobb biztonságra, illetve melyeknél lényegesebb a sebesség. A megfelelő egyensúly megtalálása nem egyszerű feladat: bizonyos vállalati hálózatok számára annyi biztonsági réteg engedélyezése szükséges, amennyi fizikailag csak lehetséges, másoknál a klienssebesség a legfontosabb. A G Data által kínált többrétegű megközelítés előnye, hogy a biztonsági funkciók minden egyes kliensre optimalizálhatóak. Számos beállítás kiegészíti egymást, így egy vagy kettő kikapcsolható anélkül, hogy az érintené a teljesítményt.
Általánosságban, jobb óvatosnak lenni, és kétszer meggondolni, hogy a teljesítmény miatt valamelyik biztonsági funkciót kikapcsoljuk. A biztonsági megoldás telepítésekor kezdjük a kliensnek megfelelő, maximális biztonsági szinttel, majd csak abban az esetben csökkentsük azt, ha a kliens teljesítménye érezhetően lecsökken. Némely biztonsági beállítások jobban befolyásolják a teljesítményt, mint mások. A fájlrendszervédelem (file system monitor) teljesítményigényes lehet, ha a klienst főleg fájlműveletekre használják. Az olyan beállítások, mint például a tömörítvények ellenőrzése, késleltetheti a nagy fájlok feldolgozását, míg az olvasási és írási hozzáférés alapján történő ellenőrzés lényegesen lelassíthatja a mechanikus merevlemezeket. Azok a kliensek, amelyek alsó kategóriás processzorral rendelkeznek, késéseket tapasztalhatnak, ha egyszerre mindkettő keresőmotor használatban van, ilyenkor az egyik kikapcsolásával lényegesen növelhető a teljesítmény. Egyéb fájlvédelmi beállítások, mint például a heurisztika és a viselkedésfelügyelő, csak minimális mértékben érintik a kliensgép teljesítményét. A tényleges használhatóságra más tényezők vannak hatással, mint a teljesítményre. A biztonsági programoknál mindig van egy minimális esély arra, hogy a viselkedésfelügyelő és a heurisztika mintákra alapozva bizonyos tiszta fájlokat kártevőként azonosítsanak. Ha a védelem nagyon szigorúra van állítva, akkor több hamis felismerés keletkezhet, ugyanakkor ha a védelem laza, akkor akár ténylegesen kártékony fájlok is átcsúszhatnak. A teljesítménnyel kapcsolatos problémákhoz hasonlóan a hibás felismeréseket is csak akkor szükséges orvosolni, ha azok ténylegesen előfordulnak. Ha egy fájl kártékonyként kerül felismerésre, a G Data Administrator „JELENTÉSEK” (REPORTS) szakaszában megjelenik, hogy melyik az érintett kliens, illetve hogy melyik védelmi modul ismerte fel. Az adminisztrátor választhat, hogy kevésbé szigorúra veszi az adott modul beállításait, vagy fehérlistára teszi az érintett fájlt (ha az érintett modul támogatja ezt az intézkedést). Mivel általánosságban a biztonság csökkentése veszélynek teheti ki az adott klienst, először fehérlistára kell tenni a fájlt. Így elkerülhető a fájl kártevőként felismerése, eltávolítása vagy karanténozása. Ha egy meghatározott biztonsági modul gyakran hibásan ismer fel kártékonyként fájlokat, akkor beállításainál csökkenthető a biztonsági szintje. A modul teljes kikapcsolását csak végső megoldásként szabad használni. A legtöbb esetben elégséges megoldás a fájl törlés helyetti karanténozása vagy a közvetlen műveletek helyett csak naplózás alkalmazása, ugyanakkor az ilyen esetek az adminisztrátor nagyobb figyelmét igénylik. Ha a G Data úgy kerül beállításra, hogy automatikusan ne kezelje a fertőzéseket, szükség van az eset manuális vizsgálatára. A riasztások segítik felhívni az adminisztrátor figyelmét az ilyen esetekre (lást 6.2. fejezet). Ha a biztonsági modul beállításának megváltoztatása nem lehetséges, például mert egy meghatározott csoportnak vagy kliensnek teljes biztonságra van szüksége, a „HÁZIRENDKEZELŐVEL” (POLICYMANAGER) korlátozható a hozzáférés a különböző programokhoz, eszközökhöz vagy weboldalakhoz (lásd 14. fejezet).
8.5
Operációsrendszer-biztonság
A Windows operációs rendszerek, különösen a legújabbak (Windows Vistától kezdődően), szilárd biztonsági architektúrára épülnek. Míg egy biztonsági program jelentősen csökkenti a kártevőfertőzést, operációsrendszer-szinten lehetőség van további intézkedésekre. A hálózati biztonsági, illetve a helyi operációsrendszer-biztonság néhány aspektusa hatékonyan vezérelhető helyi beállítások vagy hálózat alapú csoportházirendek használatával. Az adminisztrátor eldöntheti, hogy ezeket az intézkedéseket az összes kliensen alkalmazza, vagy csak a legsérülékenyebb hálózati zónákat és kliensszerepköröket védi. Alapértelmezettként a Windows számos alapvető és nem alapvető háttérszolgáltatás futtatására van konfigurálva. Ezek közül néhány lényeges Windows funkciókat támogat, mások csak
meghatározott szoftverbeállításokat vagy szoftvercsomagokat. Ugyanakkor mindegyik szolgáltatás támadási felület lehet. A támadók folyamatosan keresik a sebezhető területeket a Windows szolgáltatásokon belül, hogy kihasználják a biztonsági réseket és hozzáféréshez jussanak. Az érintett szolgáltatáshoz érkező javítások orvosolják a problémát, de ez csak abban a pillanatban történik meg, ha a Microsoft vagy a szoftverkereskedő felismeri a biztonsági rést és kiadja a javítást. A nem használt szolgáltatások már előre kikapcsolhatóak, ezzel kizárva, hogy a hackerek támadási felületévé váljanak, továbbá a kikapcsolt szolgáltatások teljesítménynövekedéshez is vezethetnek. A services.msc parancs futtatásával a Windows alapú számítógépeken megnyílik a Szolgáltatások (Services) kezelője, amelyben megtalálható az összes telepített szolgáltatás, függetlenül attól, hogy engedélyezve van-e és fut vagy sem. A szolgáltatások letiltása előtt az adminisztrátornak meg kell győződnie arról, hogy az érintett számítógép működése nem függ az adott szolgáltatástól. A kártevők cserélhető médiumon (például USB kulcsok vagy CD-ROM-ok) való terjedésének visszaszorítására a Microsoft az újabb operációs rendszereiben kicserélte az automatikus lejátszást egy felugró ablakra, ahol a felhasználó megadhatja a végrehajtani kívánt műveletet (mint például a médium gyökérkönyvtárának a megnyitása vagy a médiumról az adatok importálása). Ez megkerüli a gyakran használt autorun.inf konfigurációs fájlt, hatékonyan megállítva azokat a kártevőket, amelyek ennek segítségével terjesztik magukat, ugyanakkor a felhasználók felülbírálhatják azt. A cserélhető médium behelyezésekor a felhasználó egy felugró ablakban kiválaszthatja azt az alapértelmezett beállítást, amely minden egyes alkalommal végre lesz hajtva, amikor cserélhető médium kerül a számítógépbe. Így ha valamikor a későbbiekben egy fertőzött USB kulcs kerül csatlakoztatásra a számítógéphez, ugyanúgy fog futni, mint bármilyen más médium. Egy biztonsági megoldás telepítésével, még abban az esetben is, ha a kártékony program elindul, nem okoz semmilyen károsodást. Ugyanakkor a vállalati hálózatban, a számítógépeken az automatikus indítás kikapcsolása megnöveli a biztonságot. Kisebb hálózatoknál, praktikus megoldásként, a helyi beállításszerkesztővel (registry) az automatikus indítás kikapcsolható. Az automatikus indítás kikapcsolásához, mindegyik meghajtóra, adjon hozzá egy NoDriveTypeAutoRun DWORD értéket, 0xFF hexadecimális értékkel a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer kulcshoz. Alternatív megoldásként egy gyorsjavítás elérhető a Microsofttól, amely automatikusan megváltoztatja ezt a beállítást8. A vállalati hálózatoknál egy csoportházirend használatával kikapcsolható az automatikus indítás meghatározott számítógépeknél vagy felhasználóknál. A letöltött fájlok vagy e-mail csatolmányok egy másik általános forrásai a fertőzéseknek. Ebből kifolyólag a böngészők és az e-mail kliensek általában figyelmeztetik a felhasználót, mielőtt bármilyen fájlt letöltenének. Ez elviekben segít felismerni a felhasználó számára a publikus forrásból származó fájlokban rejlő veszélyt, a gyakorlatban viszont ez az üzenet gyakran olvasatlan marad. A biztonsági megoldások már jóval az előtt felfigyelnek a kártékony programokra, még mielőtt azok elérnék a merevlemezt (a webes védelmen, a feketelistán vagy egyéb megoldásokon keresztül), amennyiben pedig elérték azt, a fájlrendszervédelem felismeri és megállítja. Néhány adminisztrátor azonban még így is ki akarja zárni annak a lehetőségét, hogy a helyi böngészőn keresztül kártékony program juthasson a rendszerbe. A Biztonsági Zónák (Security Zones) használatával a fájlletöltések blokkolhatóak minden olyan böngészőben a rendszerben, amelyek támogatják a beépített Windows Attachment Manager (Windows csatolmánykezelő) technológiát (Microsoft Internet Explorer és Google Chrome). Az adminisztrátorok megadhatnak különféle URL műveleteket, amelyek meghatározott biztonsági 8 http://support.microsoft.com/kb/967715
zónákban tiltva lesznek, mint például a letöltés kezdeményezése9. A többi böngésző nem kezeli a biztonsági zónákat. Ilyen esetben a mentési hozzáférés korlátozása, illetve a Felhasználói fiókok felügyeletének (UAC) engedélyezése vagy egy megfelelő csoportházirend segíthet. Más biztonsági elgondolások a lehető legalacsonyabb szinten tartják a felhasználók jogosultsági szintjét. Ha a felhasználónak nem szükségesek fejlett szintű rendszerjogosultságok ahhoz, hogy feladatokat hajtson végre a számítógépen, akkor ezeket a jogosultságokat nem kell biztosítani, így megakadályozva, hogy azokkal a kártevők visszaéljenek. Ebbe beletartozik az, hogy a felhasználóknak nem engedélyezett a számítógépre a rendszergazdai jogosultságokkal való bejelentkezés, és csoportházirend használatával korlátozva van a hozzáférés a helyi és a hálózati erőforrásokhoz. Az olyan egyéb műveletek, mint például a cserélhető médiumok vagy bizonyos alkalmazások használatának tiltása, könnyen beállíthatóak a G Data Házirendkezelő (PolicyManager) modulban (lásd 14. fejezet). Az olyan helyzetekben, ahol érintettek a helyi biztonsági beállítások, nincs egyformán alkalmazható megoldás. Minden egyes hálózati zónának különböző követelményei vannak a kliensgépek felé, és a felhasználóknál külön-külön szükségesek lehetnek további változtatások a biztonsági házirendben. Az Active Directoryt használó hálózatoknál jó kiindulópont lehet a csoportházirendek által nyújtott lehetőségek feltérképezése. Ezzel a beépített szolgáltatással az adminisztrátorok széleskörűen beállíthatják a szabályokat a helyi és a hálózati erőforrásokkal és a jogosultságok kezelésével kapcsolatosan. Az olyan hálózatoknál, ahol nem használnak Active Directoryt, számos beállítás helyileg elérhető.
9 http://msdn.microsoft.com/library/ms537183.aspx
9. Víruskeresés (On demand protection) A valós idejű vírusvédelem kiegészítéseként a kliensszámítógépeken lehetőség van víruskeresés indítására is. A vírusok keresése indítható alkalomszerűen vagy rendszeresen, és a számítógép egy előre meghatározott területén végezhető kártevőkeresés. A víruskeresés a valós idejű védelem kiegészítéseként használandó, mivel az utóbbi nem ellenőrzi azokat a fájlokat, amelyhez nem történt hozzáférés abban az időben. A víruskeresés minden fájlban felismeri a kártevőket a kliensgépen, függetlenül attól, hogy történik-e éppen olvasási vagy írási hozzáférés. Egy rendszeresen ismétlődő víruskereséssel a számítógép teljes merevlemezén ellenőrizhetőek a kártevők, beleértve az egyébként ritkán használt vagy „alvó” fájlokat. Kétféle tervezhető víruskeresési mód található a G Data programban: az őrjárat (Idle scan) és az egyszerű vagy ismétlődő víruskeresés. Az őrjárat az ajánlott módja a víruskeresésnek, mert nincs szüksége időzítésre, amikor nincs aktivitás a számítógépen, akkor automatikusan megkezdi az ellenőrzését. Alternatív megoldásként a keresési munkafeladatok használhatóak arra, hogy egy előre meghatározott időben víruskeresést kezdeményezzenek a kliensgépen.
9.1
Őrjárat (Idle scan)
A hagyományos, teljes keresési munkafeladat, a nap egy meghatározott idejére tervezve, erősen igénybe veszi a számítógép erőforrásait, így a futtatása nem praktikus akkor, ha a felhasználó éppen be van jelentkezve. A keresőfeladat munkaidőn kívülre időzítésével elkerülhető a munka megszakítása, ugyanakkor szükséges, hogy a számítógép bekapcsolt állapotban legyen. Az ideális megoldás az őrjárat (idle scan) funkció használata, így amikor a számítógép be van kapcsolva, de éppen nincs használatban, a G Data Security Client automatikusan elindítja a víruskeresést a háttérben az előre meghatározott fájlokra és könyvtárakra, majd megállítja a keresést, ha a felhasználó visszatér a számítógéphez. Így biztosítható a biztonság szükséges szintje, de elkerülhető az azzal járó teljesítménycsökkenés. Az olyan kliensek számára, amelyek nem csatlakoznak folyamatosan a vállalati hálózathoz, az időzített keresési feladatok az őrjárattal (idle scan) helyettesíthetőek. Az a laptop, amelyik hosszabb kihagyás után csatlakozik a vállalati hálózathoz, majd megkapja az újonnan létrehozott, ugyanakkor már lejárt keresési feladatokat, azonnal belekezd azok végrehajtásába, ami így lecsökkent teljesítményhez vezethet. Az ilyen klienseknél az őrjárat engedélyezésével, illetve az időzített feladatok letiltásával biztosítható a teljes védelem, illetve elkerülhető a kapcsolódást követő túlterheltség. A kliens inaktivitásának meghatározásához a G Data Security Client tálcaikonnak minden munkafolyamatban bekapcsolt állapotban kell lennie. Az inaktív állapot különféle paraméterek szerint kerül meghatározásra. A víruskeresés a bekapcsolást követő tíz percen belül nem indul el, egyéb esetben csak akkor, ha a felhasználó legalább egy percig nem használja a számítógépet. Ha a felhasználó nincs a számítógépnél, de a háttérben futó folyamatok processzor-, illetve I/O aktivitást generálnak, a víruskeresés megáll, továbbá az őrjárat elindulását megelőzi az esetleges időzített feladatok futása. Abban az esetben, ha az őrjárat (idle scan) éppen fut, de valamilyen paraméter megváltozik (például a felhasználó visszatér a számítógéphez vagy valamilyen időzített munkafeladat elindul), az őrjárat futása megáll. Ahogy a paraméterek ismételten megfelelőek, az őrjárat futása a megállás állapotától folytatódik. A felhasználó számára az őrjárat ugyanúgy működik, mint bármelyik másik időzített keresési
munkafeladat. A keresés a háttérben zajlik, kártevőtalálat esetén értesíti a felhasználót (amennyiben az adminisztrátor engedélyezte ezt a beállítást). Az adminisztrátorok számára az őrjárat az elindulásáról vagy megállásáról nem hoz létre általános jelentést, ugyanakkor bármilyen kártevőtalálat esetén jelentést tesz a „JELENTÉSEK” (REPORTS) modulban. Ha az őrjárat végzett a meghatározott könyvtárak teljes ellenőrzésével, feladatát hét nap elteltével automatikusan újrakezdi. Az őrjárat (idle scan) a „KLIENSBEÁLLÍTÁSOK” (CLIENT SETTINGS) modul „ÁLTALÁNOS” (GENERAL) fülén engedélyezhető. Némely kliens számára az általános gyors vagy teljes keresés elegendő lehet, másoknál az őrjárat biztosíthatja a szükséges biztonságot, míg az általános keresésekre szánt idő és teljesítményigény csökkenthető. Az egyéb beállításokhoz hasonlóan az őrjárat kliensenként engedélyezhető. Ajánlott az őrjárat engedélyezése minden egyes hálózati kliensnél, csak abban az esetben kapcsolja ki, ha valamilyen teljesítményt érintő vagy egyéb irányú problémák merülnek fel. A „VIZSGÁLATI TERÜLET” (ANALYSIS SCOPE) kliensenként meghatározható, meghatározott könyvtárakon át, az összes teljes merevlemezt érintve. A magas kockázatú klienseknél az őrjárat beállítható úgy, hogy felügyelje a kényes könyvtárakat. Alternatív megoldásként részben átveheti a teljes víruskeresés szerepét, és ellenőrizheti a helyi merevlemezeket. Az őrjárat beállításai megfelelnek a Védelem keresési beállításainak, amelyek a Védelem (Monitor) fül alatt érhetőek el. Idetartoznak a keresőmotor beállításai; „REAGÁLÁS A FERTŐZÖTT FÁJLOKRA, TÖMÖRÍTVÉNYEKRE”
(REACTION TO INFECTED FILES, INFECTED ARCHIVES), „LETAPOGATÁSI MÓDOK” (SCANNING MODE), illetve a letapogatási sajátosságok, mint a „HÁLÓZATI HOZZÁFÉRÉS-VÉDELEM” (MONITOR NETWORK ACCESS), „HEURISZTIKA” (HEURISTICS), „TÖMÖRÍTVÉNYEK” (ARCHIVES), „E-MAIL TÖMÖRÍTVÉNYEK ELLENŐRZÉSE” (CHECK E-MAIL ARCHIVES), „RENDSZERTERÜLETEK ELLENŐRZÉSE” (CHECK SYSTEM AREAS), „TÁRCSÁZÓK ELLENŐRZÉSE” (CHECK FOR DIALERS) és a „FELHASZNÁLÓ ÉRTESÍTÉSE VÍRUSTALÁLAT ESETÉN” (NOTIFY USER WHEN A VIRUS HAS BEEN FOUND). Mivel az őrjárat (idle scan) egy speciális kereső munkafeladat, keresési kivételeit az „ÁLTALÁNOS” (GENERAL) fül alatt található keresési munkafeladatok kivételeitől veszi át.
9.2
Keresési munkafeladatok
Az időzített víruskeresés végrehajtása az egyszerű vagy ismétlődő keresési munkafeladatoknak megfelelően történik. Az egyszerű keresési munkafeladat csak egyszer fut le, az ismétlődő munkafeladatok a beállított időzítés szerint, többször. Mindkétféle munkafeladat a „FELADATOK” (TASKS) modulból tervezhető és kezelhető. A G Data Administrator egyéb moduljainak megfelelően a tervezett munkafeladatok klienskezelő területen kiválasztható kliensekre vagy klienscsoportokra alkalmazhatóak. A modulban láthatóak a jelenleg definiált munkafeladatok. Alapértelmezettként az összes munkafeladat megjelenik, beleértve a biztonsági mentés munkafeladatokat, a javításkezelő munkafeladatokat stb. A kereső munkafeladatok megjelenítéséhez kattintson a megfelelő gombra a modul eszköztárán. A munkafeladatoknál több tulajdonság is listázva van. A kliens-munkafeladatoknál megjelenik a hozzá tartozó kliens neve (csoportoknál a csoport neve). Az „ÁLLAPOT” (STATUS) oszlopban a munkafeladat jelenlegi állapota látható. Csoport-munkafeladatoknál az állapot kliensenként ellenőrizhető a vonatkozó kliens kiválasztásával a bal oldalon. Ha egy munkafeladat legalább egyszer futtatva lett, a munkafeladat listázása kibővíthető a hozzá tartozó keresési napló(k) megjelenítésével. A naplón duplán kattintva megtekinthető a munkafeladat eredményének részletezése. Az „INTERVALLUM” (INTERVAL) oszlopban a beállított keresési intervallum látható, „EGYSZER” (ONCE) az egyszerű feladatoknál, vagy „NAPONTA” (DAILY) az olyan ismétlődő feladatoknál, amik mindennap
lefutnak. Végül a „TERÜLET” (SCOPE) alatt a munkafeladat számára meghatározott keresési terület látható.
: G Data Administrator, Feladatok modul, Keresési munkafeladatok Az egyszerű és az ismétlődő keresési munkafeladatok definiálhatóak a megfelelő gombok megnyomásával a tálcán, vagy a „FELADATOK” (TASKS) menü megnyitásával, majd az „ÚJ” > „EGYSZERŰ KERESÉSI MUNKAFELADAT” (NEW > SINGLE SCAN JOB) vagy „ISMÉTLŐDŐ KERESÉSI MUNKAFELADAT” (PERIODIC SCAN JOB) kiválasztásával (lásd 9.2.1. és 9.2.2. fejezet). A munkafeladat beállítása után az azonnal megjelenik a „FELADATOK” (TASKS) listában, az „ÁLLAPOT” (STATUS) oszlopban az aktuális állapota látható. Miután a munkafeladat legalább egyszer végre lett hajtva, megjelenik a legutolsó futásának dátuma és ideje, illetve a keresés naplója (a bal szélen található plusz ikon megnyomásával hozzáférhető). Ha bármilyen kártékonyprogram-találat születik időzített keresés alatt, a munkafeladat létrehozásánál beállított művelet automatikus végrehajtódik. A keresési naplóban megtalálható lesz a fertőzéssel kapcsolatos bejegyzés, és létre lesz hozva egy jelentés a „JELENTÉSEK” (REPORTS) modulban (lásd 6.2. fejezet). Az egyszerű és az ismétlődő munkafeladathoz is néhány általános beállítás elérhető a keresési munkafeladat (scan job) ablakban található „MUNKAFELADAT IDŐZÍTÉSE” (JOB SCHEDULING) fülön. A felhasználók számára engedélyezhető a keresési munkafeladatok megállítása vagy megszakítása. Bizonyos esetekben, amikor az időzített keresési munkafeladat esetleg megszakítja a felhasználó munkáját, a munkafeladat megállításával tovább dolgozhatnak anélkül, hogy a számítógép teljesítménye negatívan befolyásolva lenne. Ez a lehetőség kellő körültekintéssel használandó, mivel ha a felhasználó úgy dönt, hogy megszakít egy lényeges keresési munkafeladatot, az befolyásolhatja a rendszer biztonságát. A felhasználó értesítést kap arról, ha az időzített keresés alatt vírustalálat történik. Míg ez egy hasznos lehetőség a fájlrendszervédelem-keresések alatt (lásd 8.2 .fejezet), az időzített keresések alkalmával a felhasználót általában nem szükséges értesíteni erről. A víruskereső automatikusan gondoskodik a fertőzött fájlról, és a fertőzésről jelentés generálódik a G Data Administrator „JELENTÉSEK” (REPORTS) moduljában. A keresés alatt a G Data Security Client minden második percben jelenti a folyamat állapotát a ManagementServernek (frissíti a keresési munkafeladat részleteit a „FELADATOK” [TASKS] modulban). Ez egy értékes információ az adminisztrátor számára, hogy
nyomon követhesse a keresés pontos folyamatát, ugyanakkor az ismétlődő kereséseknél ritkán hasznos. Csak egy egyszer lefutó feladatok hajtódnak végre azonnal, így csak ennek találatait szükséges közvetlenül követni. Lehetőség van a kliensek automatikus lekapcsolására a keresési munkafeladatok befejeztével, ugyanakkor az adatvesztések megakadályozására, illetve a nem várt fejlemények elkerülésére az automatikus kikapcsolás csak abban az esetben lép érvénybe, ha a keresési munkafeladat végeztével a felhasználó nincs bejelentkezve a számítógépre. A számítógép automatikus kikapcsolása olyan esetekben hasznos, ha a keresés az általános munkaidő utánra van időzítve. Az ismétlődő munkafeladatok késleltethetőek, ha a kliensszámítógép nincs bekapcsolva a beállított időben, így ezen lehetőség használatával biztosítható, hogy egyetlen munkafeladat sem kerül kihagyásra. Egyetlen munkafeladat kihagyásával az esetleges fertőző fájlok a következő kereséskor érintetlenek maradnak, így tovább terjedve megfertőzhetnek más rendszereket. Ezen lehetőség kikapcsolása csak a rendszeresen és gyakran ismétlődő munkafeladatoknál ajánlott, így az esetlegesen kimaradó munkafeladatot nagyon hamar kiváltja az azt követő.
9.2.1 Ismétlődő keresési munkafeladatok Bármilyen ismétlődő keresési munkafeladat tervezése előtt az időzített keresést egy egészként nézve kell figyelembe venni. Minden egyes hálózati klienst rendszeresen ellenőrizni kell, de egyetlen keresési feladattal tervezve, amelyik mindegyik számítógépet ellenőrzi, nem hatékony. Eltérő időzített kereséseket kell használni a szervereknél és a klienseknél, továbbá a különféle kliensszerepkörök különböző keresési beállításokat igényelnek. Többféle keresési munkafeladat is alkalmazható egy kliensen, például mindennap egy gyors ellenőrzés, hetente egyszer pedig egy teljes. Az időzített keresések biztosítják, hogy egyik kliens sem marad hosszabb ideig ellenőrzés nélkül. Ezt kiegészítve a valós idejű védelemmel, illetve a rendszeresen futtatott keresési munkafeladatokkal, biztosítható, hogy a számítógépek kártevőmentesek legyenek. A keresési munkafeladatok, az ellenőrzött fájlok számától függően, behatással lehetnek a számítógép teljesítményére. A teljes merevlemez tartalmának napi ellenőrzése emiatt nem ajánlott, hosszú ideig tart, processzor-erőforrást igényel, illetve nagyjából állandó merevlemezterhelést jelent. A legtöbb kliensgép számára az őrjárat (idle scan) a legmegfelelőbb választás (lásd 9.1 fejezet). Amennyiben mégsem az őrjáratot választja, a valós idejű védelem mellett alkalmazott napi egy gyors kereséssel, továbbá a heti egy teljes kereséssel elejét veheti mindenféle kártevőfertőzésnek. Az olyan számítógépeknél, amelyek jobban ki vannak téve a kártevőfertőzés veszélyének, például gyakran történik letöltés rajtuk, amennyiben a kliensteljesítmény azt megengedi, sűrűbbre kell időzíteni a teljes kereséseket. A szerverek, úgymint fájl- és adatbázisszerverek, általában jelentős terhelésnek vannak kitéve, nehezen biztosítva a processzor erőforrásából a víruskeresésre. Az ilyen számítógépeknél a keresések időzítését a munkaidőn kívülre vagy az általános karbantartás idejére kell időzíteni. A legtöbb vállalati hálózatnál több keresési munkafeladat beállítása szükséges. Mindegyiket időszakosan ismétlődőre kell beállítani, opcionálisan kiegészítve egy-egy sima, egyszeri kereséssel, amely lefedi a kivételeket vagy a súlyosabb eseteket. A következő bekezdések többféle típusú ismétlődő keresési munkafeladatot fednek le, amelyek mintaként szolgálnak a vállalati hálózat szükségleteit tekintve. Mindegyik ismétlődő keresési munkafeladatra igaz, hogy nincs egységes megoldás. A vállalati hálózatnak, a hálózati zónáknak és az egyedi klienseknek megfelelően kell kialakítani azokat. Miután a munkafeladatok párszor lefutottak, ellenőrizni kell, hogy a kívánt eredménynek megfelelően működnek e, továbbá, hogy nem érintik túlzottan negatívan a kliensgépek teljesítményét.
9.2.2 Teljes keresés Az elsődleges és vitathatatlanul a legfontosabb ismétlődő keresési típus a teljes keresés (full scan). A valós idejű védelem kiegészítéseként minden egyes hálózati klienst rendszeresen ellenőrizni kell valamilyen időzített kereső munkafeladattal is. A teljes keresés felderíti azokat a Kártevőket is, amelyeket a valós idejű kliensvédelem nem tár fel. Mialatt a fájlrendszervédelem felismer minden egyes kártevőt, amelyre olvasás, írás vagy futtatás történik, proaktívan nem ellenőrzi azokat a fájlokat, amelyek a merevlemezre kerülnek. Ha egy fájl akkor íródik a merevlemezre, amikor a védelem (még) nincs bekapcsolva, a fájlrendszervédelem csak akkor fogja a kártevőt megtalálni benne, amikor a rendszer megkísérli azt megnyitni vagy futtatni. Mivel a teljes keresés a teljes merevlemez tartalmát ellenőrzi, így még az előtt felismeri a kártékony programokat, mielőtt a rendszer megpróbálná azokat futtatni. Minél sűrűbben van teljes keresés futtatva, annál magasabb a biztonsági szint, és bizonyosan nincsenek kártékony fájlok a rendszerben. Ugyanakkor mivel ilyenkor az összes fájl ellenőrizve van a merevlemezen, a teljes keresés nagyon teljesítményigényes. A legtöbb rendszeren ilyenkor a futó alkalmazások lelassulnak, és a felhasználó munkáját ez befolyásolja. A teljesítményt szem előtt tartva a teljes keresést naponta futtatni a legtöbb esetben nem jó megoldás. A minimális vagy közepes veszélynek kitett klienseken elég hetente egyszer futtatni a teljes keresést, a munkaidőn kívül vagy a hétvégi órákban. A nagy veszélynek kitett klienseknél ennél gyakrabban is ellenőrizhetőek, ideális esetben akkor, amikor a számítógép használaton kívül van. A szervereken szintén kell időzített teljes keresést futtatni, ha a teljesítmény egy sarkalatos pont, akkor a szerver általános karbantartási idejére tervezve a végrehajtást.
: G Data Administrator, Feladatok modul, Új, ismétlődő keresési munkafeladat (teljes keresés) A G Data Administratorban, a „FELADATOK” (TASKS) modulban, a teljes keresés beállítható ismétlődő keresési munkafeladatként. Győződjön meg róla, hogy a megfelelő kliens vagy csoport ki van választva a klienskezelő területen. Az „ISMÉTLŐDŐ KERESÉSI MUNKAFELADAT” (PERIODIC SCAN JOB) párbeszédablak a „MUNKAFELADATOK IDŐZÍTÉSE” (JOB SCHEDULING) fülön nyílik meg. Adja meg a dátumot és az időt, mikor fusson a keresés a kiválasztott klienseken. Mivel a teljes keresés kellőképpen erőforrás- és időigényes, győződjön meg róla, hogy a kiválasztott időpont nincs átfedésben egyéb feladatokkal (például: egyszerű és ismétlődő keresések, biztonsági mentések vagy Javításkezelő [PatchManager] feladatok). A „LETAPOGATÁS” (SCANNER) fülön beállítható, hogy a keresési munkafeladat milyen paraméterek szerint fusson le. Mivel a teljes keresés jelentős mértékben erőforrás-igényes, ajánlott mindig olyan esetben futtatni, amikor a kliens éppen nincs használatban. A keresési beállításokat nem szükséges teljesítmény-szempontból finomhangolni,
mindazonáltal a kliensgép igényei szerint optimalizálni kell azokat. A legbiztonságosabb keresési beállítás mindkét keresőmotor használata egyszerre. Abban az esetben is, ha ez negatívan befolyásolja a kliensgép teljesítményét a teljes keresés alatt, használja mindkét keresőmotort az optimális kártevőfelismerés érdekében. A fertőzött fájl találata esetén végrehajtandó művelet az adminisztrátor beállításaitól függ. Általánosságban a megtisztítás, illetve a megtisztítás sikertelensége esetén a karanténba mozgatás az ajánlott beállítás. Így elkerülhető a fájl törlése hamis találatkor, és az adminisztrátornak lehetősége van a fájl további vizsgálatára a karanténban. A fertőzött (e-mail) tömörítvények szintén a karanténba mozgathatóak, ugyanakkor ezek több figyelmet igényelnek. Ha csak egyetlen fertőzött fájl vagy e-mail található a tömörítvényben, a teljes tömörítvény a karanténba lesz mozgatva, így azok a fájlok, amelyek nem fertőzöttek, de egy fertőzött fájllal egy tömörítvényben találhatóak, szintén a karanténba kerülnek. A teljes tömörítvény letörlése még drasztikusabb lehetőség, használata nem ajánlott. Lehetőség van a fertőzött tömörítvények naplózására, ilyen esetben az adminisztrátornak rendszeresen ellenőriznie kell a „JELENTÉSEK” (REPORTS) modult. Ajánlott mindegyik fájl ellenőrzése; ha az ellenőrizendő fájltípusokat megváltoztatja a „CSAK PROGRAMFÁJLOK ÉS DOKUMENTUMOK” (ONLY PROGRAM FILES AND DOCUMENTS) beállításra, a keresés figyelmen kívül hagyhat potenciálisan fertőzött fájlokat. A víruskeresés prioritása átállítható magasra (high), abban az esetben, ha a kliens nincs használatban a keresés idején, így jelentősen lecsökkentve a kereséshez szükséges időt. Egyéb esetben a közepes (medium) vagy az alacsony (low) prioritás beállítást kell használni. A speciális ellenőrzések, mint a heurisztika, e-mail tömörítvények, rendszerterületek, betárcsázók és rootkitek, mind engedélyezhetőek a maximális biztonság érdekében. A tömörítvények is bevehetőek az ellenőrzésbe, azonban mivel aránylag megváltoztathatatlanok, illetve elkülönítettek, ezért ezek opcionálisan lefedhetőek egy ritkábban végrehajtott ismétlődő kereséssel (lásd 9.2.1.3. fejezet). A teljes keresés keresési területének az összes merevlemezt le kell fednie. „A KÖVETKEZŐ KÖNYVTÁRAK ELLENŐRZÉSÉNEK” (CHECK THE FOLLOWING DIRECTORIES) kiválasztásával az adminisztrátor beállíthatja, hogy mely könyvtárak legyenek ellenőrizve. Ez a lehetőség azon könyvtárak kiválasztására is használható, amelyeket nem kívánunk ellenőriztetni, ugyanakkor ajánlott a „HELYI MEREVLEMEZEK ELLENŐRZÉSE” (CHECK LOCAL HARD DRIVES) beállítás megtartása, és a „KLIENSBEÁLLÍTÁSOK” (CLIENT SETTINGS) modulban meghatározni a végleges kizárásokat (lásd 9.3. fejezet). A teljes merevlemez-ellenőrzés kiegészítéseként a memória és az automatikus indítás ellenőrzését külön kell beállítani (lásd 9.2.1.3 fejezet).
9.2.3 Gyorskeresés Az ismétlődő keresési munkafeladatok második típusa a gyorskeresés. A gyorskeresési munkafeladatot naponta ismétlődőre célszerű beállítani, mindegyik hálózati kliens számára. A szervereknél is használható, de csak abban az esetben, ha rendelkeznek elég szabad erőforrással a munkafeladat futtatásához. A gyorskeresés ellenőrzi azokat a fájlokat, amelyek a legnagyobb fertőzésveszélynek vannak kitéve, illetve kihagyja az ellenőrzésből a nem futtatható fájlokat (amelyek nagy valószínűséggel nem fertőzik meg a klienst). Az ellenőrizendő fájlok számának csökkentésével nagyban csökken a kereséshez szükséges idő, ugyanakkor megtartja a megfelelő biztonsági szintet. A teljes kereséshez hasonlóan a gyorskeresés is az „ISMÉTLŐDŐ KERESÉSI MUNKAFELADAT” (PERIODIC SCAN JOB) kiválasztásával érhető el. A gyorskeresést naponta célszerű futtatni (a hétvége kihagyható azoknál a klienseknél, amelyek csak hétköznap vannak bekapcsolva és használva). Az idő, amikor a munkafeladat futni fog, szabadon beállítható. A gyorskeresés sokkal kevésbé erőforrás-igényes, mint a teljes keresés, de még így is hatással van a teljesítményre (annak függvényében, hogy a „LETAPOGATÁS” [SCANNER]
fülön milyen beállítások lettek megadva). A gyorskeresés időzíthető például az ebédidőre vagy a munkaidő lejárta után (feltéve, hogy a klienseket nem kapcsolják ki). A kliensgép hardverkiépítésétől, illetve a gyorskeresés beállításaitól függően a felhasználó nem fog tapasztalni teljesítménycsökkenést, történjen a munkafeladat futtatása a nap bármely szakában. A „LETAPOGATÁS” (SCANNER) fülön beállítható a kártevőkeresés típusa. A gyorskeresésnél ezek a beállítások leginkább a szükséges sebességtől függenek. A gyorskeresés lényege a futtatható fájlok napi ellenőrzése a kliensgép teljesítményének túlzott igénybevétele nélkül. Az optimális kártevő-felismerés miatt célszerű mindkét keresőmotor használata. Abban az esetben, ha a kliensgép erőforrásait túlzott mértékben igénybe veszi a keresés, lehetőség van csak az egyik keresőmotor használatára is, de ez minimálisan csökkenti a felismerési teljesítményt. A teljes kereséshez hasonlóan az adminisztrátor beállíthatja, hogy vírustalálat esetén milyen művelet legyen végrehajtva: a megtisztítás/naplózás az ajánlott beállítás. A gyorskeresésnél a „Fájltípusokat” (File types) a „CSAK PROGRAMFÁJLOK ÉS DOKUMENTUMOK” (ONLY PROGRAM FILES AND DOCUMENTS) szerint állítsa be. Így időt spórolhat, hiszen csak azok a fájlok lesznek ellenőrizve, amelyek futtatással vagy megnyitással megfertőzhetik a rendszert, a többi fájl kimarad az ellenőrzésből. A keresés prioritása a rendelkezdésre álló erőforrásoktól függ. Ha a keresési folyamat akkor lesz futtatva, amikor a felhasználó nagy valószínűséggel dolgozik a gépen, alacsony (low) vagy közepes (medium) prioritás beállítása szükséges, így azonban a keresés valamivel tovább tart. A magas (high) prioritás használatakor fut le a leggyorsabban a keresés, ugyanakkor ez veszi leginkább igénybe a számítógép erőforrásait. A „MINDEGYIK ELÉRHETŐ PROCESSZOR HASZNÁLATA” (USE ALL AVAILABLE CPUS) beállítás felgyorsítja a keresést, de komoly teljesítménycsökkenést okozhat. A heurisztika engedélyezésével a keresés mintatechnológia használatával történik, a kártevőminták felismeréséhez. A gyorskeresésnél a tömörítvények ellenőrzése kihagyható, a jelölőnégyzetből távolítsa el a jelölést. A tömörítvényeket nem szükséges a gyorskeresés alkalmával ellenőrizni, ugyanez érvényes az email tömörítvényekre is. Ilyen esetben a fájlrendszervédelemet bekapcsolva kell tartani, így a tömörítvényekben található károkozók a kicsomagoláskor azonnal blokkolva lesznek. A rendszerterületeket célszerű a gyorskeresés alkalmával ellenőrizni, tovább a rootkitek ellenőrzését szintén ajánlott bekapcsolni. Egyik beállítás sem túlzottan teljesítmény- vagy időigényes, ugyanakkor fontos részei a rendszernek. Végezetül a tárcsázók (dialers), kémprogramok (spyware), reklámprogramok (adware) és a kockázatos programok (riskware) keresés szintén bekapcsolható, ha azok az adminisztrátor megítélése szerint károkozók, ugyanakkor ki is kapcsolhatóak, így némi időt spórolva.
: G Data Administrator, Feladatok modul, Új ismétlődő keresési munkafeladat (Gyorskeresés) A gyorskeresésnél a vizsgálati területnek minden kliensfájlt tartalmaznia kell. Válassza ki a „HELYI MEREVLEMEZEK ELLENŐRZÉSE” (CHECK LOCAL HARD DRIVES) lehetőséget a keresési munkafeladat teljes merevlemeze(ke)n való futtatásához. Lehetőség van a gyorskeresés korlátozására bizonyos előre meghatározott könyvtárakra, mint például a Windows vagy a Program files könyvtárak. Ezzel ugyan csökkenthető az ellenőrzésre fordítandó idő, ugyanakkor biztonsági kockázatot jelent, mert a károkozók nem feltétlenül ezekben a könyvtárakban találhatóak, illetve számos variánsuk direkt egyéb, ritka könyvtárakban próbál elrejtőzni a felismerés elől.
9.2.4 Egyéb ismétlődő keresések A teljes és a gyorskeresés mellett számos egyéb keresési típus létezik. Az adminisztrátornak ajánlott létrehozni olyan kereséseket, amelyek a memóriát és az automatikus indítási területeket ellenőrzik. Ezek a gyakran célba vett Windows automatikus indítási területet, illetve a jelenleg a memóriában futó programokat ellenőrzik. Ezek a keresési feladatok minimálisan erőforrásigényesek, és ajánlott minden egyes hálózati kliensen végrehajtani egy új, ismétlődő keresési feladat létrehozásával, ahol az „Ellenőrzési terület” (Analysis scope) a „MEMÓRIA ÉS AUTOMATIKUS INDÍTÁS ELLENŐRZÉSE” (CHECK MEMORY AND AUTOSTART) szerint van beállítva. A memória és az automatikus indítási terület ellenőrzése alapesetben a rendszer indításakor történik, de beállítható óránként vagy naponta ismétlődő munkafeladatként is. A rendszerindulás alkalmával történő ellenőrzés megfelelő időpont a minimálisan teljesítményigényes keresések számára. A nagy teljesítményigényű vagy hosszú időt igénybe vevő keresések futtatása a rendszerindulás alkalmával kerülendő. Ugyanakkor az olyan klienseknél, amelyek magas kockázatnak kitett fájlokkal vagy könyvtárakkal rendelkeznek, ezen fájlok ellenőrzése a rendszerinduláskor, még mielőtt azok használva lennének, megnövelt biztonságot nyújtanak. Az ismétlődő keresések használhatóak azon fájlok ellenőrzésére is, amelyet az általános gyorskeresés vagy teljes keresés esetleg nem fed le (például nagyméretű tömörítvények, amelyek ritkán vannak használatban). Amennyiben ezekben a tömörítvényekben fertőzött fájl található,
bekapcsolt fájlrendszervédelem mellett a számítógép biztonságban van. A többféle biztonsági réteg miatt a tömörítvények kizárhatóak az általános teljes keresésből, időspórolás végett, és egy különálló ismétlődő feladattal ellenőrizhetőek. A teljes keresést célszerű hetente indítani, ugyanakkor a tömörítvények ellenőrzése tervezhető kéthetente vagy havonta egyszer. Alternatív megoldásként az ismétlődő keresések két teljes vagy gyorskeresés közé is időzíthetőek, hogy egy meghatározott könyvtárat ellenőrizzenek. Különösen a nagy veszélynek kitett kliensek profitálhatnak a plusz ellenőrzésekből vagy az általános teljes keresés gyakoriságának növeléséből.
9.2.5 Egyszerű kereső munkafeladatok Az ismétlődő keresésektől eltérően az egyszerű kereső munkafeladatok egyszer futnak le. Az egyszerű keresés hatásos eszköz az adminisztrátor kezében, amikor éppen kártevő-felderítést vagy megtisztítást végeznek. Egy kártevőfertőzés-jelentés vizsgálatakor (lásd 10. fejezet) az érintett könyvtárra indított egyszerű keresési feladattal könnyen ellenőrizhető a kártevő eltávolítása. Mindemellett egy egyszerű keresési feladattal, amely a kliensgép memóriáját és automatikus indítási területét ellenőrzi, megbizonyosodhat arról, hogy a fertőzés minden nyoma eltűnt. Az ismétlődő munkafeladatokhoz hasonlóan az egyszerű kereső munkafeladatok is könnyen kezelhetőek a G Data Administrator „FELADATOK” (TASKS) moduljában. A munkafeladat időzítésének beállítása valamelyest egyszerűbb, mint az ismétlődő feladatoknál. Az egyszerű kereső munkafeladat előre is beállítható, indítási idővel vagy a nélkül, illetve szükség esetén közvetlenül indítható. Az idő megadása nélkül a munkafeladat nem lesz időzített, de a „FELADATOK” (TASKS) áttekintésben megjelenik. A munkafeladat kiválasztásával, majd az eszköztáron a „FUTTATÁS MOST” (RUN NOW) gomb megnyomásával a munkafeladat bármikor indítható. A felhasználók számára engedélyezhető, hogy megállíthassák vagy megszakíthassák a kereső munkafeladatot. Ez bizonyos esetekben hasznos lehet, habár az egyszerű kereső munkafeladat, a természetét tekintve, a felhasználó beavatkozása nélküli gyors lefutásra van kitalálva. Hasonlóképpen, vírustalálat esetén a felhasználó értesítése az esetek túlnyomó részében nem szükséges. Ha az adminisztrátor felügyeli a munkafeladatot, a lehetséges fertőzésekre gyorsan tud reagálni. Opcionálisan lehetőség van a kliensgép lekapcsolására a keresés befejeztével. Ez csak abban az esetben célszerű, ha a kliensgépet a keresés befejeztével már nem kívánják használni, például a munkaidő végeztével. Végezetül, a kliens folyamatosan jelenti a keresés állapotát a ManagementServer felé, így az adminisztrátor közvetlenül követheti azt. Az egyszerű kereső munkafeladat „KERESÉSI BEÁLLÍTÁSAIT” (SCANNER SETTINGS) mindig a körülményeknek megfelelően kell kialakítani. Az egyszerű felismerés, illetve a legtöbb esetben mindkét keresőmotor használata optimális beállítások, csakúgy, mint a heurisztika és a rootkitek keresése. A fájlok típusa, illetve a vizsgálati terület a (lehetséges) fertőzés helyétől függ: minden fájl, programfájlok és dokumentumok, tömörítvények, e-mail tömörítvények, rendszerterületen: mindegyik területen, amelyik feltételezhetően fertőzött. Bizonyos esetekben a legpraktikusabb eljárás a klienshez egy korábban már létrehozott teljes keresés munkafeladat kiválasztása, majd a „FUTTATÁS MOST” (RUN NOW) lehetőség kiválasztása, hogy az előre beállított időzítésen kívül futtassuk. A „VIZSGÁLATI TERÜLET” (ANALYSIS SCOPE), a beállításokhoz hasonlóan, megváltoztatható, hogy megfeleljen a kártevőfertőzés helyének. Minden esetben a memória és az automatikus indítási terület keresését célszerű végrehajtani, így ellenőrizhető, hogy a kártevőfertőzés semmilyen egyéb nyomot nem hagyott.
9.3
Kivételek
Többféle oka lehet annak, hogy fájlokat vagy könyvtárakat kizárjunk a víruskeresésből vagy az őrjárat ellenőrzéséből10, például néhány fájl elképzelhető, hogy hibásan kerül kártékonyként felismerésre. A gyorskeresés, alapértelmezett beállításként, számos fájltípust, illetve alacsony kockázatú könyvtárat kizár a keresésből. A teljes keresésnél kizárhatóak a tömörítvények vagy adatbázisfájlok, amelyeket egy másik, különálló keresési munkafeladat fog ellenőrizni. A teljesítmény, idő, illetve a hibás felismerések mind-mind indokolt okai lehetnek egy kivétel beállításának. Mindemellett nagy figyelemmel kell eljárni, ha úgy döntünk, hogy kizárunk fájlokat, könyvtárakat vagy merevlemezeket egy keresési munkafeladatból. Szinte az összes fájltípus tartalmazhat kártevőt. Mindegyik merevlemezen található összes fájlt legalább egy ismétlődő keresési munkafeladatba bele kell foglalni, legyen az akár gyorskeresés, teljes keresés vagy valamilyen testre szabott keresési munkafeladat. Ugyanakkor nem mindig hasznos két feladat között egy fájlt több mint egyszer ellenőrizni. A különféle ismétlődő keresési munkafeladatok ellenőrizhetnek egy-egy fájlt többször, de a kliensgép merevlemezének nagyobb területeit többszörösen ellenőrizni szükségtelen.
: G Data Administrator, Kliensbeállítások modul, Általános, Keresőfeladatok, Kivételek Minden más beállítással együtt a kivételeket is ‒ kliensenként vagy csoportra ‒ a klienskezelő területen lehet meghatározni. Megfontoltan kell dönteni, mely klienseknél mely modulbeállítások használatával kerülnek a kivételek meghatározásra, mert ezek behatárolják a kizárási területet. A kizárásokat egy lehetőleg minél kisebb, jól meghatározott csoport számára kell beállítani. A kivételek beállítása egy olyan kliensnél, amelyiknek nincs rá szüksége, utat engedhet a kártevőfertőzésnek. A könyvtár és meghajtók kizárása a vírusellenőrzésből alkalmazható egyetlen keresésnél is, olyan keresési munkafeladatot létrehozva, amelynek a vizsgálati területe nem tartalmazza azokat. Azok a könyvtárak, amelyek olyan fájlokat tartalmaznak, amelyeket nem szükséges ellenőrizni, kihagyhatóak az általános gyors vagy teljes keresésből, ugyanakkor egy kéthetente vagy havonta lefutó keresési munkafeladatban ezeket is ellenőriztetni kell. Alternatív megoldásként az „ÁLTALÁNOS” fülön található kivételek listájának használatával az adminisztrátor megadhat fájltípusokat vagy könyvtárakat, amelyek globális kizárásra kerülnek (ez érinti az összes munkafeladatot és az őrjáratot [idle scan]). Mivel az ezen a listán meghatározott kivételek teljes körűen hatnak, csak komoly probléma esetén alkalmazzuk, például ha egy létfontosságú fájlt kártékonyként ismer fel a védelem.
10
Bővebb információért a fájlok valós idejű keresésből való kizárásáról, olvassa el a 8.2. fejezetet.
10.
Kártevőfertőzés kezelése
Nem számít, hogy a felhasználó mennyire tájékozott a kétes weboldalak látogatásával vagy az email csatolmányok megnyitásával kapcsolatban, egyszer elérkezik a pillanat, amikor egy kártevő eléri a számítógépet és megkísérli megfertőzni azt. A G Data biztonsági megoldás különböző rétegei összedolgoznak a fenyegetés megállításában, így nem keletkezhet semmilyen kár a rendszerben vagy a hálózatban. Egy jelentés kerül a „JELENTÉSEK” (REPORTS) modulba, illetve opcionálisan az adminisztrátor is automatikusan értesítve lesz az eseményről11. A kártevő teljesen automatikusan blokkolva lesz, ugyanakkor ez nem jelenti azt, hogy a fenyegetés figyelmen kívül hagyható. Az adminisztrátornak tájékozódnia kell arról, hogy honnan érkezett a fenyegetés, milyen fajta károkozásra képes, illetve mekkora az esélye az ismételt előfordulásnak. A károkozók automatikus blokkolásának előnye, hogy nincs szükség azonnali beavatkozásra a kliensen. Azonban egy egyszerű kártevőfertőzés lehet, hogy csak a jéghegy csúcsa, különösen a vállalati hálózatok gyakran célpontjai kifinomult, összetett támadásoknak, amelyek több lépcsőben és különféle vektorok használatával támadnak. A G Data Administrator kifogástalan naplózási és statisztikai képességeket kínál, amellyel kiértékelhetőek a fertőzések, és eldönthető, hogy szükség szerint milyen további intézkedéseket kell tenni. Minden további analízis kiindulópontja a „JELENTÉSEK” (REPORTS) modul, de számos G Data biztonsági modul hozzájárulhat a kártevőfertőzés feltérképezéséhez, illetve a további esetek elkerüléséhez. Az olyan szervezeteknél, ahol vannak kockázatkezelési eljárások vagy hasonló intézkedések, egy kártevőfertőzés számos eseményt elindíthat. Az automatizált felismerési és kárenyhítési, illetve a bővített kárenyhítési szakaszok egyesíthetőek vagy megváltoztathatóak, hogy illeszkedjenek a meglévő eljárásokhoz, mialatt a fertőzés utófázisában gyűjtött információk segíthetnek annak ellenőrzésében, hogy a támadási vektorral többé nem lehet visszaélni.
10.1
Automatizált felismerés és kárenyhítés
A kártevők felismerése teljesen automatizált folyamat. Amikor a G Data egyik biztonsági rétege lokalizál egy fenyegetést, akár időzített kereséssel, akár egy valós idejű biztonsági modullal, automatikusan végrehajtja az előre beállított intézkedést, majd létrehoz egy jelentést a „JELENTÉSEK” (REPORTS) modulban. Ebből az okból kifolyólag lényeges előre eldönteni a műveletek folyamatát. Kétféle kárenyhítési útvonalat kell követni: gondoskodni magáról a fertőzésről, és megakadályozni a továbbterjedését a hálózaton. Az előbbi a G Data Kliensbeállítások (Client settings) moduljában beállítható, míg az utóbbihoz a hálózati kliensek, illetve azok biztonsági beállításainak átfogó ismerete szükséges (lásd 10.2. fejezet). Mindegyik biztonsági rétegnél külön meghatározható, hogy egy kártevőfertőzött fájl miként legyen kezelve. A valós idejű fájlrendszervédelemhez a „VÉDELEM” (MONITOR) fülön a „REAGÁLÁS A FERTŐZÖTT FÁJLOKRA” (REACTION TO INFECTED FILES) alatt lehet a beállításokat megadni. Ugyanezen a fülön találhatóak a „VISELKEDÉSFELÜGYELŐ” (BEHAVIOR MONITORING) komponens beállításai is. Az e-mail ellenőrzés beállításai az „E-MAIL” fülön találhatóak, míg az időzített kereső munkafeladatok reagálási beállításai a „LETAPOGATÁS” (SCANNER) fülön. Bizonyos intézkedések kombinálhatóak egymással, mint például a megtisztítás és a karanténozás. Az Ajánlott az e-mail riasztások beállítása, így az adminisztrátor egyszerűen értesülhet a kártevőfertőzésekről, vagy egyéb eseményekről. Bővebb információ a 6. fejezetben található az (automatikus) ellenőrzésről. 11
adminisztrátor beállíthatja, hogy a biztonsági kliens először kísérelje meg a fájl megtisztítását, majd abban az esetben mozgassa a karanténba, ha a megtisztítás sikertelen.
10.1.1 Hozzáférés tiltása Az első szükséges intézkedés, amit kártevőtalálatkor tenni kell, az érintett fájl blokkolása, így megakadályozható annak futása, így a rendszer további fertőződése. Ez az abszolút elvárható minimum. Ha egy fertőzött fájl nem kerül blokkolásra, akkor az továbbfertőzheti a rendszert. A kártevő fajtájától függően ez rendszer instabilitásához, teljesítménycsökkenéshez, adatvesztéshez vagy még ennél is rosszabb dologhoz vezethet. Mindegyik G Data biztonsági modul tartalmazza a fertőzött fájlok blokkolásának lehetőségét (vagy a viselkedésfelügyelő modul esetén az adott folyamat megállítását, amint az gyanús viselkedést mutat). Amint egy fájl vagy folyamat blokkolva lesz, a kliens azonnal küld egy jelentést erről a ManagementServernek, amely ott kiváltja az opcionálisan beállított értesítési eljárást. A kártevő blokkolása teljes mértékben megakadályozza a fertőzést, de nem gondoskodik magáról a fájlról. A kártékony fájl vagy folyamat továbbra is a merevlemezen marad, és később esetleg megpróbálhatja ismét futtatni magát. Ez semmilyen problémát nem jelent a G Data biztonsági modulok által védett kliensek számára, ugyanakkor más kliensek, amelyek hozzáférhetnek ehhez a fájlhoz, és nem állnak védelem alatt, megfertőződhetnek. Következésképpen ajánlott minden esetben egy további művelet végrehajtása a fájl blokkolása után, legyen az akár megtisztítás, karanténozás vagy a fájl törlése.
10.1.2. Megtisztítás A kártevők lehetnek izolált fájlok, kifejezetten a rendszer megfertőzését célul kitűzve. Egyéb esetben tartalmazhatnak egy vagy több komponenst, amelyek hozzákapcsolják magukat egyéb, valós fájlokhoz. Ezt többféle szándékkal tehetik. A felhasználó sokkal inkább hajlamos megnyitni egy fertőzött fájlt, ha az nem tűnik fertőzöttnek, például ha egy kártevőt elrejtenek egy Word dokumentumban vagy valamilyen külső program futtatható fájljában. A kártevők felismerése bonyolultabb, ha egy ilyen ártalmatlan fájlba vannak csomagolva. Ha egy kártevő olyan programokat vagy dokumentumot módosít, amelyek már a számítógépen találhatóak, nagyobb befolyással van a felhasználó fölött, mert eltávolíthat, elrejthet vagy titkosíthat fájlokat. A megtisztítási (disinfection) művelet megkísérli a kártevőt eltávolítani a fertőzött fájlból. A sikeres megtisztítás után a fájl tovább használható a rendszer megfertőzésének veszélye nélkül. Azon biztonsági modulok számára, amelyek felajánlják ezt a lehetőséget, a megtisztítás az ajánlott beállítás. Kártevőtalálat esetén a biztonsági modul kiértékeli a fájlt és ellenőrzi, hogy lehetséges-e annak megtisztítása. Nem mindegyik fájlt lehet megtisztítani, néhány kártevő helyrehozhatatlanul károsítja a fájlokat. Különösen nehéz megtisztítani olyan fájlokat, amelyeket a kártevő módosított, de magát a kártevőt nem tartalmazza, például a titkosított dokumentumok. Ezen okból kifolyólag a valós idejű védelem szolgál a fertőzések megelőzésére. A megtisztítás célszerű kombinálni valamilyen tartalék opcióval, arra az esetre, ha a megtisztítás nem lehetséges. Mindegyik modulnál a megtisztítás kombinálható valamilyen egyéb beállítással, mint a fájl hozzáférésének blokkolása, a fájl karanténba mozgatása vagy a fájl eltávolítása.
10.1.3 Karantén Javasolt a karantén funkció használata, különösen a megtisztítással kombinálva. A karanténkönyvtár egyfajta széfként funkcionál a fertőzött fájlok számára. Mindegyik biztonsági modul képes a felismert kártevők karanténba mozgatására, ahol átnevezésre kerülnek, így megakadályozva a további futtatásukat. A karanténhoz az adminisztrátor, és ha engedélyezve van, a felhasználók férhetnek hozzá. Mindegyik karanténban található fájlhoz tartozik egy jelentés a „JELENTÉSEK” (REPORTS) modulban. A jelentések listája korlátozható a karanténnal kapcsolatos jelentésekre, a hozzá tartozó gomb megnyomásával. A karanténban lehetőség van az érintett fájlok megtisztítására, visszamozgatására vagy törlésére az eszköztár gombok használatával, vagy jobb egérgombbal a jelentésre kattintva, és a megfelelő opciót kiválasztva. Amikor karanténban található fájlokkal dolgozunk, a megtisztításuk előtt meg kell győződni arról, hogy nem lettek futtatva. Ha egy fájlt nem lehet megtisztítani, akkor semmiképpen ne kísérelje meg futtatni azt. Hagyja a karanténban vagy törölje le. Az egyetlen kivételt a hamisan felismert fájlok jelentik, ha egy fájl tévesen kerül kártékonyként megjelölésre, akkor hozzá kell adni az érintett modul kivételek listájához, majd ezt követően vissza kell mozgatni az eredeti helyére. Különös figyelemmel kell kezelni a gyanús fájlok fehérlistázását, ha véletlenül kártevőt juttatunk így vissza egy tiszta rendszerbe, az számos rendszerproblémához és adatvesztéshez vezethet. A karanténozott fájlok elküldhetőek a G Datanak további analízisre. Vírustalálat (gyanús) fájlok esetén ez segít növelni a későbbi felismerési rátát, ugyanakkor a fájlok nagyszámú beküldése miatt egyedi válaszadás nem történik.
10.1.4 Fájlok törlése A fertőzött fájlok törlése a legalaposabb eljárás. Kártevőtalálat esetén a fájl automatikusan törlésre kerül, így képtelen megfertőzni a klienst vagy továbbfertőzni a hálózaton. Az olyan vállalatok, amelyek szorgalmazzák a maximális biztonságot, a gyakorlati következményeket figyelmen kívül hagyva beállíthatják a biztonsági modulokat a fertőzött fájlok azonnali törlésére. Mindazonáltal ez a beállítás nem ajánlott. A modulok és vírusellenőrzés beállításaitól függően előfordulhat, hogy bizonyos fájlok hamisan lesznek kártevőként azonosítva, így az azonnali törlés adatvesztéshez vezethet. Minden esetben a fájl megtisztítása/karanténozása az ajánlott beállítás.
10.2
Bővített kárenyhítés
Az automatikus intézkedések mellett, amelyet a biztonsági modulok végrehajtanak, az adminisztrátor is számos dolgot tehet. Mindenekelőtt tájékoztathatja a felhasználó(ka)t a fertőzésről. A felhasználók gondatlanságból is megnyithatnak egy fertőzött weboldalt, fájlt vagy egyéb erőforrást. A vírusfigyelmeztetés tájékoztatja őket arról, hogy az erőforráshoz a hozzáférés blokkolva lett, és a fájl a karanténba vagy törlésre került.
: G Data Security Client, Kártevőtalálat A figyelmeztető ablak a „KLIENSBEÁLLÍTÁSOK” (CLIENT SETTINGS) alatt, a „Felhasználó értesítése vírustalálat esetén” (Notify user when a virus has been found) bekapcsolásával érhető el. Hasznos, ha a felhasználó értesül a blokkolt kártevőről. A jövőben tudni fogják, hogy el kell kerülniük az érintett erőforrást, mindemellett esetleg további hasznos információkkal szolgálhatnak az adminisztrátornak a fertőzésről. Ugyanakkor a tapasztalatlan felhasználókat ez az üzenet összezavarhatja vagy aggódással töltheti el, ami az adminisztrátor riasztásához vezethet. Ezen felhasználók számára a vírusfigyelmeztetést célszerű kikapcsolni. Alternatív megoldásként manuálisan is küldhető üzenet a kliensre, a „KLIENSEK” (CLIENTS) fül „ÜZENETEK” (MESSAGES) funkció használatával. Ez több lehetőséget hordoz magában, részletesebb, pontosabb információ küldhető a felhasználónak. Azonban ez a folyamat nem automatizálható, így eltelik bizonyos idő a fertőzés és a között, amíg az adminisztrátor manuálisan elküldi az üzenetet. A felhasználók hozzáférése a helyi karanténhoz a „KLIENSBEÁLLÍTÁSOK” (CLIENT SETTINGS) modulon belül engedélyezhető, így a felhasználó áttekintheti a karanténjelentések egy egyszerűsített változatát, amely alapesetben csak a „JELENTÉSEK” (REPORTS) modulban érhető el. A G Data Security Client a tálcaikonjának menüjén keresztül hozzáférést biztosít a karanténhoz (Quarantine). A karanténban látható a fertőzés dátuma és ideje, a vírus neve, a fájlnév, illetve a könyvtár, ahol eredetileg megtalálható volt. A felhasználók megtisztíthatják, visszamozgathatják vagy törölhetik a fájlokat. Hamis találat esetén (false positive) a felhasználó az adminisztrátor beavatkozása nélkül visszaállíthatja a fájlt, ugyanakkor pont ebben található az egész dolog veszélyessége is, mert így a lehetséges fertőzött fájlok mindenféle megtisztítás nélkül visszamozgathatóak az eredeti helyükre. Minden kliens számára ajánlott ezen lehetőség kikapcsolva tartása. Ha az adminisztrátornak közvetlenül a kliensen kell elérnie a karantént, akkor a beállítást csak erre az egy kliensre kell engedélyezni, jelszóvédelemmel ellátva (a „KLIENSBEÁLLÍTÁSOK” [CLIENT SETTINGS] modulban a „BEÁLLÍTÁSOK JELSZAVAS VÉDELME” [PROTECT OPTIONS WITH A PASSWORD] engedélyezésével). A szerveroldalon az adminisztrátor számos intézkedést tehet, ha vírustalálatról érkezik jelentés. Az első teendő annak biztosítása, hogy a fertőzés nem terjed tovább más hálózati kliensekre. Ennek módja a fertőzés súlyosságától függ. Egyszerű, körülhatárolható kártevőfertőzésnél elegendő az érintett fájl karanténozása vagy törlése. Ha olyan fenyegetés van, amely potenciálisan megfertőzhet más klienseket a hálózaton, különös tekintettel a védelemmel nem rendelkezőkre, az érintett klienst azonnal, fizikailag el kell távolítani a hálózatról vagy meg kell tiltani a
hozzáférését (átmenetileg). Ehhez szükséges a fertőzés további vizsgálata, illetve kárenyhítés helyileg, az adminisztrátor által. Erre csak nagyon erős fertőzés esetén van szükség. Az érintett kliensre egy azonnali teljes keresés indítása minden esetben ajánlott (lásd 9.2.2. fejezet), amely ellenőrzi a merevlemezeit, a memóriát, illetve az automatikus indítási területet a kártevő nyomait keresve. A „JAVÍTÁSKEZELŐ” (PATCHMANAGER) modul használatakor a kliensen ellenőrizni kell az esetlegesen nem naprakész programokat (lásd 15.3 fejezet), és a hiányzó javításokat, amint lehetséges, telepíteni kell. A Házirendkezelő (PolicyManager) segítséget nyújt a programok, webtartalmak vagy eszközök blokkolásában, illetve beállítható a vállalati tartalomkezelés részeként. Egy kártevőfertőzés használható egy új házirend bevezetésének kiindulópontjaként is. Ha a támadási vektor ismert (például egy meghatározott weboldal, USB kulcs vagy egyéb cserélhető médium), a „HÁZIRENDKEZELŐBEN” (POLICYMANAGER) blokkolható a jövőbeli használatuk (lásd 14. fejezet).
10.3
Analízis
A kezdeti kárenyhítő folyamatok után a kártevőfertőzést célszerű analizálni. Ez a folyamat nem tartalmaz pontos protokollt vagy előre meghatározott lépéseket. A középpontban az információgyűjtés a kártevőről, illetve a későbbi fertőzések elkerülése áll. A szűkös időbeosztás miatt néhány adminisztrátornak erre nem lesz ideje, míg mások a fertőzést minden tekintetben fel tudják deríteni. A legfontosabb dolog, hogy a kártevő már blokkolva van, és újabb előfordulás esetén ismételten blokkolva lesz. A további analízis, az információk gyűjtése segít a védelmi folyamatot optimalizálni, de nem feltétlenül van rá szükség. Minél több információt sikerül találni, annál jobban meghatározott intézkedéseket tud az adminisztrátor bevezetni, például adott weboldalak és programok feketelistázása vagy újabb keresési munkafeladatok definiálása. A fertőzéssel kapcsolatos kutatás kiindulópontja a „JELENTÉSEK” (REPORTS) modul, ahol látható a fertőzött fájl neve, elérési útvonala, illetve a vírus neve. A Jelentések oszlopban látható, hogy melyik biztonsági modul ismerte fel a vírust, amely segít annak megállapításában, hogy a kártevő miként próbálta meg megfertőzni a rendszert. Például ha a jelentés a „VÉDELEM” (MONITOR) modulból érkezett, akkor az arra utal, hogy a kártevő olvasásra vagy írásra került a fájlrendszerbe/fájlrendszerből. A legtöbb „Védelem” (Monitor) felismerés cserélhető médiumokról (például USB kulcs) érkezik, vagy valamilyen folyamat által (például egy fájl letöltése a böngészővel). A vírustalálat jelentését végző modulra alapozva külön intézkedések tervezhetőek, mint például új időzített keresési munkafeladat, weboldal hozzáadása a „HÁZIRENDKEZELŐ” (POLICYMANAGER) feketelistájához vagy a Védelem (Monitor) beállítások finomhangolása. A vírus neve fontos pont az információkeresésben. A vírus teljes neve, továbbá a családja/kategóriája segít a fertőzés elhárításával kapcsolatos alapvető tanácsok megtalálásában. A Jelentések modulban látható a vírus neve, amiként azt a biztonsági modul vagy a víruskereső motor jelentette. A név első fele gyakran a kártevő típusára utal: Trójai (Trojan), Reklámprogram (Adware), Általános (Generic) vagy Egyéb (Other). Ez segít tisztázni a kártevő fő funkcióját, illetve azt, hogy miként fertőzte meg a rendszert. Néhány vírus esetében a kártevő típusát a platform meghatározása követi, például JS (JavaScript) vagy VBS (VBScript). A platform meghatározza azt a script- vagy programozási nyelvet, amelyben a kártevő íródott vagy amelyet használ. Ez hasznos információ, de közvetlenül nem használható a támadási vektorok lezárásához. Egy adott platform blokkolása a számítógépen rendkívül drasztikus megoldás, amely általában nagyszámú egyéb, vírusmentes, tiszta programot is érint. Mindemellett egy platform biztonsági beállításainak részletes áttekintése, a sebezhető területeinek nyomon
követése az ajánlott gyakorlat (akár még vírusfertőzés előtt). A platform mellett néhány vírusnév konkrét utalást tartalmaz arra a hibára, amelyet kihasznál. Például az Exploit.CVE-20113402.Gen a Common Vulnerabilites and Exposures (CVE) adatbázisban a 2011-3402 bejegyzés alatt részletezett sebezhetőséget használja ki. A CVE adatbázis-bejegyzések rendkívül nagy segítséget nyújtanak az ismert sebezhetőségek kiderítésében és azok kárenyhítési módszereiben. Az Amerikai Belbiztonsági Minisztérium kezel egy CVE adatbázist, amely a http://nvd.nist.gov címen érhető el, ahol ingyenesen hozzáférhetőek a legfrissebb CVE közlemények. A vírus nevének további része általában a kártevő valamilyen azonosító tulajdonságából tevődik össze. A név gyakran eltérő a különféle vírusirtógyártóknál, de segít az online keresésben való elindulásban.
: G Data Administrator, Jelentések
11.
Mobileszköz-kezelés
A vállalati hálózatok nem csak PC eszközökből állnak. Hogy támogassa a megnövekedett kapcsolattartást az alkalmazottakkal, számos vállalkozás bevezette a mobileszközöket, mint például tabletek és okostelefonok. A mobileszközökkel az alkalmazottak hatékonyan tudnak dolgozni a hagyományos munkakörnyezetükön kívül, elérhetik a szükséges forrásokat és információkat, ugyanakkor ezzel együtt megvan a maguk veszélye is. A mobileszközökre érkező kártevők veszélyeztetik az eszköz és az adatok biztonságát, információlopás történhet vagy az eszköz meghibásodását okozhatják. Ez a fajta fenyegetés még inkább igaz az olyan hálózatokra, amelyek engedik a nem menedzselt eszközök csatlakozását. Engedélyezni az alkalmazottak által használt, saját tulajdonukban lévő eszközök csatlakozását a vállalati hálózathoz, működőképes módja lehet a termelékenység növelésének, miközben az eszközök megvásárlásával is spórolni lehet, ugyanakkor szigorú biztonsági házirendet követel meg, hogy elkerülhető legyen a vállalati hálózat kártevőfertőzése. A számítógépek védelméhez hasonlóan a mobiltelefonok és a tabletek szintén igénybe vehetik a G Data ügynök alapú megoldását. A mobileszközök kezelése mindegyik G Data megoldásban megtalálható, melynek segítségével az adminisztrátorok központilag telepíthetik az Android alapú készülékekre a kliensalkalmazást. Az alkalmazással központilag ütemezhető a webes védelem és a vírusellenőrzések.
11.1
Mobileszközök kezelése
A mobileszközöket ugyanazon a felületen lehet kezelni, mint a többi klienst. A G Data Administrator a klienskezelő területén (client management area) listázza a mobileszközöket, a beállítás ugyanazt a fülrendszert használja, mint a többi kliens. A mobileszközök távolról telepíthetőek a klienskezelő terület eszköztárán található funkciókkal, majd automatikusan megjelenik, amint az alkalmazás telepítése befejeződött, és először felvette a kapcsolatot a ManagementServerrel. Ez magába foglalja a telepítési jelszó beállítását a „SZERVERBEÁLLÍTÁSOK” (SERVER SETTINGS) ablakban. Bővebb információkért a mobileszközök távoli telepítésével kapcsolatban olvassa el a 4.7.5. fejezetet. Az eszközök automatikusan számozásra kerülnek, az eszközök neve a „MOBILBEÁLLÍTÁSOK” (MOBILE SETTINGS) fülön megváltoztatható. A kiegészítő megjegyzés hozzáadása segít a különféle eszközök megkülönböztetésében. A mobileszközök kliensekként jelennek meg a listában, lehetőség van a csoportba sorolásukra. Ajánlott egy különálló csoport létrehozása a mobileszközök számára, lehetőség szerint alcsoportokkal, a különféle részlegek, osztályok megkülönböztetésére, amelyek menedzselt mobileszközöket használnak. A mobileszközök a „MOBILBEÁLLÍTÁSOK” (MOBILE SETTINGS) fül különféle paneljein keresztül kezelhetőek. Az eszközkezelés részeként a frissítések időzítését, illetve a szinkronizációt minden esetben be kell állítani. Mindkét beállítás az eszköz használati mintájától függ. Az olyan eszközöknél, amelyek gyakran kapcsolódnak valamilyen vezeték nélküli hálózathoz (WLAN), beállítható, hogy automatikusan frissítsék a vírusszignatúráikat, illetve néhány óránként szinkronizáljanak adatokat a ManagementServerrel. Azoknál az eszközöknél, amelyek javarészt a vállalati hálózaton kívül vannak használva vagy valamilyen mobilinternet-előfizetéssel csatlakoznak az internethez, beállítható, hogy ritkábban frissítsenek, vagy manuálisan, vagy csak Wi-Fi kapcsolat esetén. Ugyanez érvényes a szinkronizációra is, különböző beállítások alkalmazhatóak Wi-Fi és mobilinternet-előfizetés esetén.
11.2
Valós idejű védelem és víruskeresés
Az asztali és a laptopkliensekhez hasonlóan a mobilkliensek szintén sebezhetőek a kártevők fertőzésével szemben. Különösen a rootolt eszközök nem rendelkeznek a megfelelő védelmi mechanizmussal az ismeretlen forrásból származó kártékony alkalmazásokkal szemben, de azon rosszindulatú programokkal szemben sem, amelyek beszivárognak a hivatalos alkalmazásárusító boltokba (app store). Ugyanígy a weboldalakon keresztül is érkezhetnek kártevők, amelyek az operációs rendszer sebezhető pontjait kihasználva vagy a felhasználót megtévesztve megfertőzhetik a rendszert. Ezen okokból kifolyólag az Internet Security Androidra (Internet Security for Android) különféle modulokat kínál, amelyek valós idejű védelemmel vagy víruskeresési lehetőséggel szolgálnak. A „MOBILBEÁLLÍTÁSOK” (MOBILE SETTINGS) modul „ÁLTALÁNOS” (GENERAL) fülén az összes biztonsági modulhoz találhatóak beállítások. A webes védelem valós idejű védelmet biztosít az Android böngészőjének használatakor. Ajánlott ezt a beállítást bekapcsolva tartani. Mivel a webes védelem minimális adatforgalmat generál, beállítható, hogy csak akkor működjön, ha az eszköz WLAN-on keresztül csatlakozik. A második valós idejű védelmi komponens az automatikus víruskeresés, amelyet az „AUTOMATIKUSAN” (AUTOMATICALLY) kiválasztásával lehet engedélyezni a „VÍRUSELLENŐRZÉS” (VIRUS CHECK) alatt. Egy alkalmazás letöltése, majd elindítása után a vírusellenőrző láthatatlanul ellenőrzi azt a kártevőkkel kapcsolatosan, és megállítja a telepítést, ha valami rosszindulatú programot talál. A víruskeresési védelem egy teljes keresés formájában érhető el, amely az egész eszközt ellenőrzi. A „VÍRUSELLENŐRZÉS” (VIRUS CHECK) alatt engedélyezhető az „ISMÉTLŐDŐEN” (PERIODICALLY) lehetőség, hogy az Internet Security rendszeresen ellenőrizze az eszközt. Kétféle keresési mód állítható be: „MINDEN ALKALMAZÁS” (ALL APLICATION) vagy „TELEPÍTETT ALKALMAZÁSOK” (INSTALLED APCLIATIONS). Mindaddig, amíg az eszköz nem lassul le túlzottan, az általános „Minden alkalmazás” beállítás az ajánlott, így biztosítható, hogy semmilyen kártevő nem bújik meg a tárolókártyán (például egy SD kártya). Attól függően, hogy az eszközt milyen gyakran használják, illetve milyen gyakran van rá letöltve és/vagy telepítve új alkalmazás, a keresési időintervallum beállítható 1, 3, 7, 14 vagy 30 napra. A legtöbb esetben a napi ellenőrzés ajánlott, a keresés nem okoz észrevehető lassulást, és maximális biztonságot biztosít. Annak érdekében, hogy a keresés ne vegye igénybe különösebben az eszköz akkumulátorát, beállítható, hogy csak akkor történjen meg, ha az eszköz hálózati áramra van csatlakoztatva (töltésen van). Alternatív megoldásként az „ENERGIATAKARÉKOS ÜZEMMÓD” (POWER SAVE MODE) bekapcsolásával a keresés későbbre halasztódik, ha a készülék energiatakarékos üzemmódban van. Ez ugyan segít spórolni az akkumulátorral, ugyanakkor a készüléken esetleg már megtalálható kártevő észrevehetetlenül fertőzhet.
11.3
Eszközházirendek
Technikailag a mobileszközök távoli telepítése egy vállalati hálózaton nem különösebb kihívás. A mobilkliensek kezelésének munkafolyamata nagyban hasonlít az asztali és a laptopkliensek kezeléséhez. Ugyanakkor a mobileszközök gyakran vannak használatban vállalati és privát környezetben, keverve a kapcsolatokat, kommunikációt és az alkalmazásokat. Kiemelt odafigyelés szükséges a használati forgatókönyvek, illetve az azok betartásához szükséges házirendek kialakításához. Például az adminisztrátor dönthet úgy, hogy megtiltja a hálózaton a rootolt készülékek használatát, csak privát eszközöket engedélyez, bizonyos feltételek teljesülése esetén, vagy minden egyes eszközt nagyon szigorú vállalati házirend szerint állít be. Még bármilyen házirend meghatározása előtt a mobileszközöket csoportokra kell osztani. Ideális esetben az összes eszköz egy csoportba kerül és egyazon házirenddel kezelhető, és minden egyes
eszköz, amelyik ezt a házirendet használja, hozzá van adva ugyanahhoz a csoporthoz. A normál kliensekhez hasonlóan számos csoportot lehet meghatározni a hálózati zónákra vagy a kliensszerepkörökre alapozva (lásd 7.1 fejezet). Egy logikus besorolás lehet az eszközöket a vállalat részlegei szerint csoportosítani. Ha az eszközök használati forgatókönyvei túllépik a részlegek határait, akkor az eszközök felhasználás szerinti csoportosítása jelenthet alternatívát. A leghatékonyabb mód a mobileszközök kártevőmentességének biztosítására az eszközök vállalati hálózaton belülre korlátozása. A hálózati erőforrások közvetlen hozzáférése nélkül a mobileszközök csak nagyon nehezen fertőzhetnek meg kártevőkkel egyéb vállalati eszközöket. Az Android eszközöknél a legnagyobb veszély a rootolt eszközöktől származik. Ha a felhasználó root hozzáférést szerez az eszközhöz, az operációsrendszer- és alkalmazásszinten lévő biztonság könnyen kijátszható. Ha egy kártevő megfertőzi az eszközt, akkor az virtuálisan korlátlan hozzáférést szerez az operációs rendszer funkcióihoz. Annak érdekében, hogy a mobileszközök irányítása kézben tartható legyen, ajánlott a rootolt készülékek hálózati hozzáférésének megtiltása. A „Mobilbeállítások” (Mobile settings) modulban található „HÁZIRENDEK” (POLICIES) panelen az adminisztrátor beállíthatja a vállalati WLAN SSID-ját, Jelszavát (Password) és a „TITKOSÍTÁSÁNAK TÍPUSÁT” (ENCRYPTION TYPE). Ha a „ROOTOLT ESZKÖZÖK ENGEDÉLYEZÉSE” (ALLOW ROOTED DEVICES) lehetőség kikapcsolásával azok a rootolt eszközök, amelyeken megtalálható az Internet Security, a távoli karbantartási jelszóval zárolva lesznek, a WLAN hozzáférésük meg lesz tagadva. A rooteszközök blokkolásán kívül a „HÁZIRENDEK” (POLICIES) fül számos egyéb beállítást is kínál. Minden egyes eszközhöz vagy csoporthoz megadható egy telefontípus. A vállalat által kiadott, vállalati célokra használt eszközöket ajánlott a „VÁLLALATI” (CORPORATE) típusba sorolni. Ez zárolja az Internet Security kliensoldali beállításait, így a felhasználó véletlenül nem változtathatja meg a távolról vezérelt beállításokat, mialatt a vállalati hálózathoz csatlakozik. A „MAGÁN” (PRIVATE) típusba azok a készülékek tartoznak, amelyek nem a vállalat tulajdonában állnak. A „KEVERT” (MIXED) típus szolgál azon készülékek számára, amelyeket vállalati és magáncélokra egyaránt használnak. Minden egyes eszköznél az adminisztrátor megtilthatja a kamera hozzáférését (legalább Android 4.0-t használó készülékeknél). A telefonon tárolt adatok biztonságának érdekében titkosítás alkalmazható. Amikor a „TITKOSÍTÁS SZÜKSÉGES” (ENCRYPTION REQUIRED) opció be van jelölve, az eszköz automatikusan megnyitja az Andriod titkosítási beállításait, ahol a felhasználó engedélyezheti azt. Ez az ablak a titkosítás engedélyezéséig nem zárható be.
: G Data Administrator, Mobilbeállítások, Házirendek Az adminisztrátorok egyéb irányú szabályokat is bevezethetnek, nem csak eszközházirendeket. Az alkalmazások a fekete- és fehérlistás módon kezelhetőek (lásd 11.4 fejezet). A hívások és az SMS-üzenetek szűrhetőek, a telefon kapcsolati adatbázisa központilag kezelhető (lásd 11.5 fejezet). Bármilyen fajta házirend is kerül bevezetésre, a felhasználót tájékoztatni kell arról, hogy az eszköz, amit használ, távolról menedzselve van, és az adminisztrátor akár mélyebbre nyúló műveleteket is végrehajthat azon, mint például az eszköz blokkolása (mint vállalati házirend), vagy akár törölheti az egész tartalmát (lopás elleni intézkedéssel kapcsolatosan lásd 11.6 fejezet). A „KLIENSEK” (CLIENTS) modulban lehetőség van arra, hogy az Internet Security megjelenítsen egy végfelhasználói szerződést (EULA), amelyet a felhasználónak el kell fogadnia. A Kliensek (Clients) menüben az adminisztrátor írhatja és kezelheti az EULA-kat, az „EULA KEZELÉS” (EULA MANAGEMENT) alatt. Tetszőleges számú végfelhasználói szerződés hozható létre. Egy mobilklienst kiválasztva a Kliensek (Clients) menüből, a „HOZZÁRENDELT EULA SZERKESZTÉSE” (EDIT ASSIGNED EULA) vagy a „HOZZÁRENDELT EULA ELTÁVOLÍTÁSA” (REMOVE ASSIGNED EULA) opciókkal hozzárendelheti az EULA-t egy klienshez, vagy eltávolíthatja azt.
11.4
Alkalmazások
A mobileszközök nagy előnye, hogy az alapfunkcionalitásuk kiegészíthető különféle alkalmazások telepítésével. Ez még vállalati környezetben is kiemelten hasznos lehet: a termelékenységi eszközök vagy konfigurációs alkalmazások jelentősen növelhetik a mobileszközök felhasználási területeit. Ugyanakkor a vállalati eszközök egy kontrollált környezetet nyújtanak, biztosítva, hogy az alkalmazások nem okoznak kompatibilitási problémákat, nem jutnak hozzá érzékeny információkhoz vagy terjesztenek kártékony programokat. Az alkalmazáskezelés erőteljes módja a mobileszközök funkcionalitásvezérlésének, egyszerre biztonságot és használhatóságot biztosítva. Az adminisztrátorok minden pillanatban tudják, hogy milyen programok futnak a menedzselt eszközökön, amelyek szükség szerint tilthatóak vagy engedélyezhetőek.
A „MOBILBEÁLLÍTÁSOK” (MOBILE SETTINGS) modul „ALKALMAZÁSOK” (APPS) fülén mélyreható alkalmazáskezelési lehetőségek találhatóak. Első lépésként egy leltár készítésére használható, amely a hálózaton található mobileszközök által használt alkalmazásokat tartalmazza. A listában látható mindegyik alkalmazás neve, verziószáma, mérete és a telepítés ideje. Az összes alkalmazásnál az adminisztrátor információhoz juthat a gyártóról, a funkcionalitásról és a verziótörténetről, amennyiben ezek az információk hozzáférhetőek. Számos alkalmazásról az alkalmazásárusító bolt (app store) elégséges információval szolgál, másoknál szükség lehet a fejlesztő weboldalának megtekintésére. Ezekre az információkra, illetve az eszköz szándékolt használatára alapozva (az eszközcsoporton, típuson és hálózati zónán alapulva), az alkalmazások a fehér- és a feketelistához adhatóak. Így külön-külön blokkolhatóak a listázott alkalmazások. A meghatározott jelszó alkalmazásával az alkalmazások futása blokkolható. A fekete- vagy fehérlista alkalmazása attól függ, hogy az eszköz milyen hatóköreit akarjuk lezárni. Ha csak egy pár rossz alkalmazást akarunk blokkolni, de ezektől eltekintve a felhasználónak viszonylagos szabadságot akarunk biztosítani, a feketelistás megközelítés a megfelelő. Legalább az Android beállítások alkalmazást és magát az Internet Securityt jelszóval védeni kell. Így elkerülhető, hogy a felhasználó módosíthassa a beállításokat. A hivatalos alkalmazásárusító bolt (app store) feketelistára tételével biztosítható, hogy egyéb alkalmazás nem kerül majd telepítésre. Az eszköz alkalmazásainak teljes kontrollálására a fehérlistás megoldás a legmegfelelőbb. A fehérlistán található alkalmazások mindenféle korlátozás nélkül használhatóak, de az összes többi alkalmazás blokkolva van. Ez a leginkább hasznos megközelítés, ha az eszközöknél a maximális biztonságra törekszünk, vagy az adott eszközt csak egy konkrét munkafolyamatra használják. Például egy olyan eszköz, amelyen kifejezetten a kereskedelemmel foglalkoznak, futtatható fehérlistás módban, csak a telefonkomponenst és a kereskedelmi adatbázist engedélyezve.
11.5
Kapcsolatkezelés és -szűrés
Azon eszközök számára, amelyeket vállalati környezetben használnak, a kommunikációs folyamatok kontrollálása létfontosságú lehet. Az alkalmazások blokkolása segíthet, ha a kommunikációt teljes mértékben meg kell tiltani, de néhány esetben egy sokkal finomabban beállított szűrést kell eszközölni. Ahelyett, hogy teljes mértékben megtiltanánk a telefonos alkalmazás futtatását egy olyan eszközön, amelyik csak munkával kapcsolatos kommunikációra használható, a bejövő és a kimenő hívások szűrhetőek, ha nem felelnek meg a vállalati kritériumoknak. Például egy vállalatnál, amelyik ellátja az alkalmazottait saját telefonokkal, hogy azok el tudják érni a központot, amikor úton vannak, blokkolható az összes olyan telefonszám, amelyik nem tartozik a vállalati környezetbe. A kapcsolatok kezeléséhez a telefonon a Vállalati telefonkönyv (Corporate phone book) használható. Hatékony módja az ellenőrzés biztosításának a kapcsolati információk felett ‒ anélkül, hogy bármilyen szűrési lehetőséget használnánk ‒, ha az eszköz beépített telefonkönyvét blokkoljuk, majd helyette az Internet Security vállalati telefonkönyvének használatát engedélyezzük. A „MOBILBEÁLLÍTÁSOK” (MOBILE SETTINGS) modulban található „TELEFONKÖNYV” (PHONE BOOK) és a „HÍVÁSSZŰRŐ” (CALL FILTER) fülek együtt kiterjedt kapcsolatkezelési és -szűrési beállításokat kínálnak. A funkcionalitások alapja a kapcsolati adatbázis. Ez a vállalati kapcsolatok központi csomópontjaként funkcionál, amely alapján telefonkönyvek és célzott hívás- és SMS-szűrés hozható létre a különböző eszközök számára. Az adatbázis a „TELEFONKÖNYV” (PHONE BOOK) vagy a „HÍVÁSSZŰRŐ” (CALL FILTER) modulban található „KAPCSOLATI ADATBÁZIS MEGNYITÁSA” (SHOW
lehetőségre kattintva nyitható meg. A kapcsolatok manuálisan adhatóak hozzá, a hozzá tartozó gomb megnyomásával az eszköztáron. A „KAPCSOLAT” (CONTACT) párbeszédablakban lehetőség van a név (name), cím (address), e-mail/fax/telefon (email/fax/phone), illetve a szervezet (organization) megadására. Kisméretű menedzselt telefonkönyvhöz vagy az olyan vállalkozások számára, amelyek korlátozott számú kapcsolatokkal rendelkeznek, a kapcsolatok manuális megadása a praktikus megoldás. Ha a hálózaton Active Directory van használatban, a „KAPCSOLATOK IMPORTÁLÁSA” (IMPORT CONTACTS) gomb megnyomásával a kapcsolati információk importálhatóak. A megfelelő domaint kiválasztva, majd az OK gombra kattintva, az domainben található összes kapcsolati információ importálható. A „KAPCSOLATI ADATBÁZIS” (CONTACT DATABASE) áttekintő listájában az importált kapcsolatok szerkeszthetőek vagy eltávolíthatóak. Kattintson a „BEZÁRÁS” (CLOSE) gombra, miután befejezte az adatbázis feltöltését a szükséges kapcsolati információkkal. A „KAPCSOLATI ADATBÁZISBAN” (CONTACT DATABASE) meghatározott kapcsolatok kioszthatóak a megfelelő eszközökre. Például mindegyik eszközre eljuttatható a „kollégák” névjegyzéke. Alternatív megoldásként a sztenderd telefonkönyv-alkalmazás blokkolásával, illetve a „HIVÁSSZŰRŐ” (CALL FILTER) használatának kombinálásával az eszközök egy csoportja csak egy bizonyos meghatározott telefonszámokhoz férhet hozzá a telefonkönyvben. CONTACT DATABASE)
A „HÍVÁSSZŰRŐ” (CALL FILTER) modul a bejövő és a kimenő kommunikáció széles körű szűrésére használható, a beépített telefonkönyv szűrőjeként funkcionál. Ahelyett, hogy teljes mértékben blokkolva lenne az Android telefonkönyv-alkalmazása, a szűréssel lehetőség van a kommunikációs folyamatok kezelésére. Például a fehérlista mód engedélyezésével csak a listán található számokra vagy számokról érkezhet kimenő és bejövő hívás. A feketelista módban a kommunikáció alapjában véve engedélyezve van, csak a listán meghatározott számok vannak tiltva. A „TELEFONKÖNYV” (PHONE BOOK) modulban meghatározott számok, továbbá az eszköz telefonkönyvében található telefonszámok mindig átengedésre kerülnek a szűrőn (kimenő és bejövő hívások is).
11.6
Lopásgátló
Habár a mobileszközök hasznos részei lehetnek a vállalati munkafolyamatoknak, megnövelik a fizikai infrastruktúra és az adat alapú munkafolyamatok veszélyességi szintjét. Az alkalmazottak bizalmas adatokkal mozoghatnak, házon kívül is, a mobileszközt elveszthetik vagy akár el is lophatják tőlük, így könnyedén kiszivároghat valamilyen bizalmas adat. Annak biztosítására, hogy az eszköz elvesztése vagy ellopása esetén se lehessen hozzáférni a vállalati e-mailekhez, dokumentumokhoz vagy egyéb kommunikációhoz, többféle intézkedés eszközölhető, különböző célokra. Elsőként hasznos lehet az adott készüléket visszaszerezni. A készülék helyének meghatározása a GPS technológia segítségével, vagy valamilyen riasztási hang lejátszása. Amennyiben a készülék helyének meghatározása nem lehetséges, a készülék lezárásával hozzáférhetetlenné tehető. Végső megoldásként a készülék visszaállítható a gyári beállításokra, így megsemmisítve az összes adatot. A „MOBILBEÁLLÍTÁSOK” (MOBILE SETTINGS) modulon keresztül érhetőek el a lopásgátló (anti-theft) intézkedések. Többféle lehetőség van az aktiválásukra, akár automatikusan, akár manuálisan. Az összes intézkedés engedélyezéséhez számos beállítás szükséges. Szükséges egy „TÁVOLI KARBANTARTÁS JELSZÓ” (REMOTE MAINTENANCE PASSWORD) megadása (ez egy számokból álló PIN kód). Ez jelszóként funkcionál az SMS-parancsok küldésekor, illetve a képernyőzár jelszavaként is, amennyiben az nincs külön meghatározva. A „MEGBÍZHATÓ TELEFONSZÁM” (TRUSTED PHONE
beállításával a jelszó-visszaállítási (password reset) parancsot csak a megbízható telefonszámról fogadja el az eszköz. Legvégül az „ÉRTESÍTÉSI E-MAIL CÍM” (EMAIL ADDRESS FOR NOTIFICATION) megadásával visszajelzés kapható bizonyos műveletekről. NUMBER)
Ha egy készülék elveszik vagy ellopják, a készüléken való műveletek végrehajtásának legegyszerűbb módja, a parancsok SMS-ben kiadása. Az „ENGEDÉLYEZETT MŰVELETEK” (ALLOWED ACTIONS) alatt engedélyezhetőek vagy tilthatóak a készüléken végrehajtható műveletek. Egy SMS-üzenetet küldve a meghatározott paranccsal, a következő műveletek érhetőek el:
jelszó locate jelszó wipe jelszó ring jelszó mute jelszó lock
jelszó set device password: újjelszó
Az eszköz lokalizálása. Küld egy e-mailt az „Értesítési e-mail cím” (Email address for notifications) alatt beállított címre. Visszaállítja a készüléket a gyári beállításokra. Minden személyes adat törlődik. Riasztási hang lejátszása. Az eszköz az Internet Security elindulásáig egy csengőhangot játszik. Lenémítja az eszközt. Minden csengőhangot lenémít, kivéve, amelyik a riasztási hangként funkcionál. A képernyőzár-jelszó használatával engedélyezi a képernyőzárat. Ha nincs képernyőzár-jelszó beállítva, akkor a távoli karbantartásnál beállított jelszó lesz használatban. Beálltja a képernyőzár jelszavát, amely az eszköz lezárására lesz használva. Ez automatikusan nem zárja le az eszközt, ehhez ezt követően el kell küldeni a lezárás parancsot.
A parancs első fele (jelszó) a „MOBILBEÁLLÍTÁSOK” (MOBILE SETTINGS) alatt megadott távoli karbantartási jelszó. Szükség esetén ez egy SMS küldésével visszaállítható, ehhez a „MEGBÍZHATÓ TELEFONSZÁM” (TRUSTED PHONE NUMBER) használatával el kell küldeni a következő parancsot: remote password reset: új jelszó. Ha egy készüléket ellopnak, akkor a SIM kártyát gyakran eltávolítják belőle, hogy megakadályozzák, hogy az eredeti tulajdonos kapcsolatba léphessen az eszközzel a telefonszámán keresztül. Ennek ellenintézkedéseként megszabhatóak különféle automatikus műveletek arra az esetre, ha a SIM kártyát kicserélik. Engedélyezve a telefon képernyőzárát a telefon hozzáférhetetlenné tehető és a készülék helye meghatározható, a készülék az Értesítési email címre elküldi a GPS koordinátáit tartalmazó üzenetet. Amennyiben a SIM kártya cseréjére van szükség, például a készüléket leselejtezik vagy másik alkalmazotthoz kerül, győződjön meg róla, hogy kikapcsolta ezeket az intézkedéseket. A SIM és az SMS alapú intézkedések mellett a G Data Administratorban számos egyéb művelet is kezdeményezhető. Ha szükségessé válik valamilyen intézkedés azonnali végrehajtása, használható a „VÉSZHELYZETI MŰVELET” (EMERGENCY ACTION) funkció. Ehhez nem szükséges az eszköznek a ManagementServer hálózathoz kapcsolódva lennie, a Google Cloud Messaging (Google felhő alapú üzenetküldés) szolgáltatásán alapul, amellyel Android eszközökre lehet parancsokat küldeni. A Google Cloud Messaging használatához szükség van bizonyos beállításokra. Regisztrálni kell egy Google API fiókot az API kulcs (API key) és a küldőazonosító (sender ID) megszerzéséhez. A Google API fiók a https://code.google.com/apis/console/ webcímen hozható létre, ahol a bejelentkezéshez szükség van egy új vagy egy már meglévő Google fiókra. A „PROJEKT LÉTREHOZÁSÁRA” (CREATE PROJECT) kattintva hozható létre új API projekt. A „SZOLGÁLTATÁSOK” (SERVICES) fülön engedélyezni kell a „GOOGLE CLOUD MESSAGING ANDROIDRA” (GOOGLE CLOUD MESSAGING FOR ANDRIOD) lehetőséget, amelyhez el kell fogadni a Google szolgáltatás feltételeit. Az opció engedélyezése után a menüsávon az „API HOZZÁFÉRÉSRE”
(API ACCESS) kattintva megnyílik az API hozzáférési oldal. Az „ÚJ SZERVERKULCS LÉTREHOZÁSÁRA” (CREATE NEW SERVER KEY) kattintva létrehozható egy API kulcs a szerveren való felhasználásra. A G Data Administratorban ezt a kulcsot a „SZERVERBEÁLLÍTÁSOK” > „MOBIL” (SERVER SETTINGS > MOBILE) alatt kell megadni. A küldőazonosító (sender ID) a böngésző címsorában megtalálható.
Mialatt be van jelentkezve a Google API-ba, a következő felépítés szerint böngészi a weboldalakat: https://code.google.com/apis/console/#project:123456789012:overview. Ez a szám (ebben a példában: 123456789012) a küldőazonosító, ezt kell megadni a „MOBIL” (MOBILE) párbeszédablakban. A beállított küldőazonosítóval és API kulccsal a G Data Administrator felületéről már könnyedén küldhet vészhelyzeti műveletet. Válassza ki az eszközt, amelyen érvényesíteni szeretné az intézkedést a klienskezelő területen (client management area), majd válassza ki a szükséges műveletet. A „MŰVELET VÉGREHAJTÁSA” (EXECURE ACTION) gombra kattintva a parancs átküldésre kerül az eszközre, ahol azonnal végrehajtódik. A parancsok az SMS-ben küldendő parancsoknak megfelelően működnek. Mivel a lopásgátló műveletek komolyan érinthetik a telefon használhatóságát (például eltávolít róla adatokat), ajánlott a felhasználó értesítése erről egy EULA formájában (lásd 11.3. fejezet).
12.
Biztonsági mentések
Számos vállalatnál a munkafolyamatok digitalizálódásával a számítógépek az egész szervezeten átívelő információtárolóvá váltak. Az adatok digitálisan sokkal könnyebben hozzáférhetőek, mint papír formában, ugyanakkor ennek is megvannak a maga kihívásai. Az adatok biztonságát és sértetlenségét nagy figyelemmel kell felügyelni. Az olyan fizikai problémák, mint például áramkimaradás vagy egy meghibásodott merevlemez, komolyan érintik a munkafolyamatot, különösen abban az esetben, ha az adatokat nem lehet helyreállítani. A kártevők titkosíthatnak, megfertőzhetnek vagy törölhetnek fájlokat vagy dokumentumokat, ugyanakkor emberi hibából is történhet adatvesztés. Az adatok helyreállításához szükséges idő minimalizálásához fontos, hogy az adatmentések és a visszaállítások kellő figyelemmel legyenek megtervezve. A biztonsági mentések rendszeres létrehozásával, az adatok átmásolásával egy biztonságos helyre, biztosítható, hogy a fájlok soha nem fognak helyreállíthatatlanul elveszni. A fertőzésekkel kapcsolatos kárenyhítéshez hasonlóan az előzetes tervezés kulcsfontosságú. Ha elvesznek bizonyos fájlok, akár fizikai, akár emberi hibából, akkor azok késedelem nélkül visszaállíthatóak kell, hogy legyenek. A fájlok rendszeres biztonsági mentését magába foglaló biztonsági mentési és visszaállítási terv létrehozása létfontosságú az üzletmenet folytonosságának biztosításában. A biztonsági mentési és visszaállítási terv részben megelőzésből, részben visszaállításból áll. Kiindulópontként hasznos lehet a hálózaton található összes adatforrás osztályozása, olyan tulajdonságok szerint, mint érték, veszélyeztetettség vagy biztonsági mentési folyamat. Ha a vállalatnál dolgoznak olyan alkalmazottak, akik munkájuk nagy részét digitális dokumentumokkal végzik, ezeket az adatokat mindig biztosítani kell. Hasonlóan a központi adattárolókat, mint például adatbázisok, e-mail szerverek vagy közös munkát biztosító környezetek, szintén menteni kell, hogy vészhelyzet esetén se történhessen adatvesztés. Ugyanakkor néhány adat felcserélhető. A kliens operációs rendszerekről általában nem szükséges biztonsági mentést készíteni, az adatok megsérülése esetén ezek újratelepíthetőek. Ugyanez igaz az olyan szoftvercsomagokra, amelyekhez rendelkezünk a telepítő médiával. Mindemellett az operációs rendszer, illetve bizonyos programok beállításai lementhetőek, ha azokon a távoli telepítés után széles körű beállítások történtek. Minden egyes lementeni kívánt adathoz rendelkezésre kell állnia a megfelelő szabad tárterületnek. Különösen akkor, ha az adatcsoportokról rendszeresen készül biztonsági mentés vagy nagy fájlokat tartalmaz, a szükséges tárolókapacitás ugrásszerűen megnőhet. Miután a lementeni kívánt adatok kiválasztása megtörtént, a következő meghatározandó dolog a biztonsági mentések gyakorisága. A biztonsági mentés munkafeladatok végrehajthatóak egyszeri futtatással vagy ütemezett végrehajtásnak megfelelően. Az egy alkalommal futtatott biztonsági mentés csak meghatározott helyzetekben hasznos, például ha valamilyen adatot azonnal biztosítani kell a meghatározott biztonsági mentés ütemezésen kívüli időpontban. A legtöbb esetben a biztonsági mentéseket ütemezni kell. Az adatokról egy friss biztonsági mentésnek mindig rendelkezésre kell állnia, hogy vészhelyzet esetén gyorsan vissza lehessen állítani azokat, erről gondoskodik az ütemezett biztonsági mentés. Az egyszeri beállítása után mindig rendelkezésre fog állni a lehető legfrissebb biztonsági mentés az adatokról. Egyedül annyi a teendő, hogy rendszeresen ellenőrizni kell a naplófájlokban, hogy a biztonsági mentés rendben lefutott. A biztonság és a teljesítmény között kompromisszumot kell kötni. Minél gyakrabban történik biztonsági mentés, annál kevesebb adat veszik el, ha a kliensgép merevlemeze megsérül vagy ha a fájlokat kártevő fertőzi meg. Ugyanakkor a kliensgépen a biztonsági mentések létrehozásához időre és teljesítményre (merevlemez-aktivitás) van szükség, továbbá merevlemez-tárterületre a célszámítógépen (szerver) a biztonsági mentés eltárolásához.
Ez a kérdés a különbségi biztonsági mentésekkel többnyire kezelhető (lásd 12.2 fejezet), ugyanakkor ellenőrizni kell, hogy a biztonsági mentés célszámítógépe mindig rendelkezik a szükséges szabad merevlemez-kapacitással. Mivel a biztonsági mentések a biztonsági házirend elengedhetetlen részei, minden esetben meg kell győződni arról, hogy azok sikeresen végbementek. Mint a legtöbb informatikával kapcsolatos feladatnál, itt is ajánlott kijelölni egy személyt vagy csapatot, aki/amely végrehajtja/felügyeli a tervezést, kezelést és a feladatok végrehajtását. Vészhelyzet esetén egy felelős személlyel vagy csapattal gyorsabban hozhatóak meg a megfelelő döntések. Ha egy adminisztrátor vagy felhasználó adatvesztésről tesz jelentést, a munkafolyamatnak optimalizáltnak kell lennie a gyors és hatékony adat-visszaállítás érdekében
12.1
Biztonsági mentések kezelése
A G Data Backup (Biztonsági mentés) modul az Enterprise (vállalati) megoldás és a SmallBusiness Security részeként érhető el. A közvetlen integráció révén a G Data Administrator „FELATADOK” (TASKS) és „Jelentések” (Reports) modulján keresztül egyszerűen vezérelhető, biztosítva a biztonsági mentések könnyű beállítását és kezelését. A biztonsági mentés munkafeladatok a „FELADATOK” (TASKS) modul fülén hozhatóak létre és kezelhetőek. Itt listázva vannak a különböző tervezett munkafeladatok, a csak biztonsági mentés munkafeladatok megjelenítéséhez kattintson a kapcsolódó eszköztár gombra. Mint minden más modulnál, az összes munkafeladat a klienskezelő területen kiválasztott kliensekre vagy csoportokra alkalmazható. A lista oszlopban láthatóak a munkafeladatok legfontosabb tulajdonságai, amelyek kliensenként, csoportonként, állapotként, utolsó végrehajtás, intervallum, hatókör vagy név szerint rendezhetőek. A kliens-munkafeladatoknál annak a kliensnek a neve szerepel, amelyekhez hozzá van rendelve (csoportoknál a csoport neve). Az „ÁLLAPOT” (STATUS) oszlopban látható a munkafeladat aktuális állapota. A csoport-munkafeladatoknál az állapot kliensenként is ellenőrizhető a megfelelő kliens kiválasztásával a bal oldalon. Az „INTERVALLUM” (INTERVAL) oszlopban a biztonsági mentések intervalluma látható, úgymint egyszer (once) az egyszerű munkafeladatoknál vagy napi (daily) az ismétlődő munkafeladatoknál, amelyek mindennap lefutnak. Végezetül a „HATÓKÖR” (SCOPE) alatt látható a biztonsági mentés munkafeladat meghatározott hatóköre. Ha a munkafeladat korábban már lefutott, a megnyitásával egyesével megjelennek a különböző futások állapotüzenetei. Kattintson duplán az állapoton a részletes napló megnyitásához.
: G Data Administrator, Szerverbeállítások, Biztonsági mentés A biztonsági mentés és visszaállítás munkafeladatok egyedi beállításokkal rendelkeznek, de pár általános beállítási lehetőség is adott. A legfontosabb beállítási lehetőség a tárolási hely. Ha nagyszámú ütemezett biztonsági mentést alkalmaz vagy a feladatok gyakran futnak, nagyméretű szabad tárolókapacitásra van szükség. A tárolási hely beállítása ugyanakkor körültekintő tervezést igényel, a tárhelynek bőségesnek kell lennie és szükség esetén egyszerűen bővíthetőnek. A teljesítményt szem előtt tartva a tárterület ne legyen tömörített vagy titkosított. A biztonsági mentés program automatikusan titkosítja és tömöríti az adatokat, ezen adatok újra titkosítása operációsrendszer- vagy hardverszinten csökkenti a teljesítményt, ugyanakkor nem növeli meg a biztonságot. A biztonsági mentés számára fenntartott merevlemezt ajánlott csak erre a célra használni, egyéb fájlokat ne tartalmazzon. Az adminisztrátor így egyszerűen archiválhatja ezeket a lemezeket, ha azt a vállalat adatkezelési irányelvei megkövetelik. Az alapértelmezett biztonsági mentés célkönyvtára a szerverkönyvtár: C:\ProgramData\G DATA\AntiVirus ManagementServer\Backup (Windows Vista/Windows Server 2008 fölött) vagy C:\Documents and Settings\All Users\Application Data\G DATA\AntiVirus ManagementServer\Backup (Windows XP/Windows Server 2003). Mivel ezek a könyvtárak a szerver rendszerlemezén találhatóak, nem ajánlott azokat a biztonsági mentés célkönyvtáraként használni. Legalább egy biztonsági mentés célkönyvtár meghatározása szükséges, például egy másik merevlemez, ugyanabban a számítógépben. Több útvonal megadásakor a G Data Administrator automatikusan az első olyan útvonalra készíti a biztonsági mentést, amely rendelkezik megfelelő mennyiségű szabad tárterülettel. Továbbá ezzel a lehetőséggel a biztonsági mentés célkönyvtárai könnyen változtathatóak valamelyik útvonal kikapcsolásával (például ha nincs elég szabad tárterület).
A biztonsági mentések célkönyvtárának meghatározása mellett a „SZERVERBEÁLLÍTÁSOK” (SERVER SETTINGS) párbeszédablakban lehetőség van a biztonsági mentés jelszavának exportálására. Ezt ajánlott megtenni, mivel a biztonsági mentések jelszóval védettek. A biztonsági mentések
importálásakor szükséges a jelszó megadása (vagy fájlból importálása), ezért az exportált jelszót egy biztonságos helyre kell elmenteni. A biztonsági mentés archívum importálásához kattintson a „BIZTONSÁGI MENTÉS ARCHÍVUM IMPORTÁLÁSA” (IMPORT BACKUP ARCHIVES) gombra. A biztonsági mentéseket tartalmazó könyvtár kiválasztása után a G Data Administrator importálja annak tartalmát, és listázza a biztonsági mentés fájl(oka)t a „FELADATOK” (TASKS) listában az „IMPORTÁLT ARCHÍVUMOK” (IMPORTED ARCHIVES) fejléc alatt. A biztonsági mentések, mint bármely más munkafeladatok, visszaállíthatóak a „MUNKAFELADAT VISSZAÁLLÍTÁSA” (RESTORE JOB) funkcióval (lásd 12.3. fejezet). A biztonsági mentés munkafeladatok végrehajtásakor a kliens eltárolja azt a helyi gyorsítótárba, amíg azok átmásolásra kerülnek a ManagementServerre. Ha a „HASZNÁLJA A KLIENS SZTENDERD ÚTVONALÁT” (USE CLIENT STANDARD PATH) be van jelölve, a biztonsági mentés arra a helyi gyorsítótár-útvonalra (partícióra) lesz elhelyezve, ahol a legtöbb szabad hely található. Amennyiben ez a rendszerlemez, akkor a \ProgramData\G Data\Backup könyvtárba, ha egy másik merevlemez, akkor a \G Data\Backup könyvtár alá. A bejelölés törlésével bármilyen más könyvtár megadható. Ez különösen akkor hasznos, ha kényszeríteni akarjuk azt, hogy a biztonsági mentés ne a rendszerlemezre történjen. A biztonsági mentések végrehajtásához mind a kliensgépnek, mind a szervergépnek rendelkeznie kell elegendő szabad tárkapacitással (a biztonsági mentés gyorsítótárhoz a kliensen, illetve a biztonsági mentés eltárolásához a szerveren). A „SZERVERBEÁLLÍTÁSOK” (SERVER SETTINGS) ablakban beállíthatóak a merevlemez-terület küszöbértékei. Ha a kliensen vagy a szerveren a szabad tárterület mennyisége a beállított küszöbérték alá csökken, egy figyelmeztető üzenet kerül a „JELENTÉSEK” (REPORTS) modulba, továbbá a kliens gyorsítótárából törlődik minden olyan biztonsági mentés, amely már átkerült a ManagementServerre, kivéve a legutolsó. Ha a szabad tárterület a kliensen vagy a szerveren a hibaküszöb alá csökken, egy hibaüzenet kerül a „JELENTÉSEK” (REPORTS) modulba, majd a szerver biztonsági mentés tárhelye, illetve a kliens gyorsítótára automatikusan kitakarítódik. Ha ezt követően sem áll rendelkezésre a szükséges szabad tárhely a szerveren, a biztonsági mentés nem hajtódik végre. A szerver és kliens hibaküszöbértéke egy vagy több legnagyobb helyigényű biztonsági mentés méretét takarja, némi hibahatárral. A figyelmeztetési küszöbértéket ennél magasabbra ajánlott venni, így az adminisztrátor időben értesülhet a közeledő tárhellyel kapcsolatos problémákról.
12.2
Biztonsági mentés létrehozása
A keresési munkafeladatokhoz hasonlóan a biztonsági mentések ütemezését is egy egészként kell kezelni, nem több, egymással össze nem függő munkafeladatként. Együtt, az összes biztonsági mentés munkafeladatnak kell biztosítani a dokumentumok, beállítások és egyéb fontos fájlok rendszeres lementését egy biztonságos helyre, de egy hatékony biztonsági mentés ütemezés ennél több dolgon alapszik. Az adatkonszolidáció, a kliensbeállítások és a szerverteljesítmény erősen befolyásolja a biztonsági mentés munkafeladatok kezelhetőségét. Bármilyen biztonsági mentés tervezését megelőzően ezeket a kérdéseket ajánlott figyelembe venni, és egy egységesített biztonsági mentési tervet összeállítani. A lementeni kívánt fájlok számától függően egy biztonsági mentési folyamat akár több óráig is eltarthat. A teljes biztonsági mentést magába foglaló munkafeladat megtervezésekor győződjön meg arról, hogy az olyan időpontra van ütemezve, amikor a kliensgép nincs használatban, így elkerülve a zavaró teljesítménycsökkenést. Az ezt követő, későbbi biztonsági mentések már nem fognak annyi adatot lementeni, mint az első
alkalommal, mert csak az új és a frissített fájlok lesznek lementve. Ezt figyelembe véve ezen biztonsági mentések időzítése az általános munkaidő idejére nem okoznak problémát. Különösen az ismétlődő munkafeladatoknál győződjön meg arról, hogy az ütemezés ideje nem ütközik semmilyen egyéb létfontosságú dologgal. Egyéb biztonsági mentés munkafeladatokat, a javításkezelő munkafeladatokat vagy a keresési munkafeladatokat nem ajánlott egyidejűleg futtatni egy tervezett biztonsági mentéssel, így elkerülve a rendszer teljes megállását. A laptopok számára tervezett biztonsági mentéseknél lehetőség van a biztonsági mentés elhalasztására, ha a laptop tápellátásáról az akkumulátor gondoskodik, így elkerülhető a merevlemez túlzott leterhelése, illetve ennek eredményeként az akkumulátor gyors lemerülése. A biztonsági mentés azonnal folytatódik, ahogy a laptopot hálózati áramforrásra kapcsolják. Ha a biztonsági mentés csak kevés fájlt érint, akkor aránylag hamar végbemegy, ilyenkor az adatbiztonság előnyt élvezhet a felhasználói élménnyel vagy a laptop teljesítményével szemben, de a legtöbb esetben biztonságosnak tekinthető a biztonsági mentés elhalasztása a legközelebbi hálózati áramforrásra kapcsolásig. A biztonsági mentés munkafeladat meghatározásának legnehezebb része a lementeni kívánt fájlok kiválasztása. A folyamat megkönnyítéséhez hasznos lehet meggyőződni arról, hogy az adatforrások konszolidáltak kliensszinten, illetve a teljes hálózatot tekintve is. Ahelyett, hogy az összes kliensen ellenőrizni kelljen, hogy azok hol tárolják a dokumentumokat és a beállításokat, egy szabványosított helyi könyvtárba vagy egy szervermegosztásra másolva idő spórolható, továbbá biztosítható, hogy semmi lényeges nem marad ki a biztonsági mentésből. Alapértelmezettként a Windows szabványosított helyi könyvtárakat használ a dokumentumok és a beállítások tárolására. Annak ellenére, hogy ez az adatkonszolidáció egy formája, nem ajánlott csak ezeknek a könyvtáraknak a biztonsági mentése. Tartalmazhat szükségtelen fájlokat, amik feleslegesen foglalják a biztonsági mentés tárterületét, vagy kihagyhatóak olyan fontos dokumentumok, amelyek esetleg valamilyen más helyre lettek manuálisan elmentve. A felhasználók fájljai legkönnyebben úgy kezelhetőek, ha azok valamilyen központi (fájl) szerveren vannak tárolva. Egy felhasználó alapú könyvtárszerkezet biztosításával egy hálózati megosztáson, mint alapértelmezett mentési útvonal a dokumentumok számára, az adminisztrátor csak ezen hálózati megosztás biztonsági mentésével biztonságba helyezheti az összes felhasználó fájljait. Kisebb hálózatok számára, amelyeken esetleg nem található fájlszerver, a Windows helyi konszolidációja hasznosnak bizonyulhat, de az adminisztrátornak ismernie kell annak korlátait, illetve meg kell győződnie arról, hogy az összes létfontosságú fájlról készül biztonsági mentés. Eltekintve az átmeneti fájlok biztonsági mentésből kizárásának szerveroldali lehetőségeitől, helyi intézkedések használhatóak az összevisszaság minimalizálására, illetve a szükséges merevlemezhellyel való spórolásra. Egy könyvtár hozzáadásakor a biztonsági mentés munkafeladathoz, az adminisztrátornak ellenőriznie kell, hogy csak olyan típusú fájlokat tartalmaz, amelyeknek szükséges a lementése. Az átmeneti fájlok, az általános rendszerfájlok vagy egyéb, alacsony prioritású fájlok kizárhatóak a biztonsági mentésből, illetve másik könyvtárba mozgathatóak vagy törölhetőek.
Az összes létező fájl egyetlen biztonsági mentéssel való lementése kerülendő. A mindent magukba foglaló biztonsági mentés munkafeladatok pazarolják a merevlemez-területet, hosszú időt vesznek igénybe és bonyolult a gyors, célzott visszaállításuk. A biztonsági mentések rendszerezhetőek fájltípusok, veszélyeztetettség, fontossági sorrend szerint, illetve ezek kombinációjaként. Például a fontos adatbázisfájlokról rendszeresen kell biztonsági mentést készíteni, míg az ugyanezen a számítógépen található naplófájlokról már lényegesen ritkábban. Célszerű leltárt készíteni a hálózati klienseken a munka során használt vagy rendszeresen létrehozott fájlokról, mérlegelni, hogy azok mennyire fontosak, illetve mennyire nagy az
adatvesztés veszélye. Mindegyik fájlcsoport számára ajánlott külön biztonsági mentési folyamatot létrehozni, a fontos vagy magas veszélyeztetettségi minősítésbe eső fájloknál megnövelni a munkafeladat lefutásának gyakoriságát. A 12.2.1. fejezetben további tanácsok találhatóak a biztonsági mentési kategóriákkal kapcsolatosan. A biztonsági mentési folyamat alatt az összes másolandó fájl ellenőrzésre kerül a kártevőkkel kapcsolatosan. Így biztosítva, hogy mialatt az archívum felépül, kártékony fájlok nem kerülnek a biztonsági mentésbe. Ezzel elkerülhető egy külön keresési munkafeladat időzítésének szükségessége közvetlenül a biztonsági mentés munkafeladat elé. Annak érdekében, hogy illetéktelenek ne férhessenek hozzá a biztonsági mentésben tárolt fájlokhoz, mindegyik biztonsági mentés tömörítvény titkosításra kerül, így azt nem lehetséges csak úgy, egyszerűen megnyitni a merevlemezről, továbbá elkerülhető az is, hogy valamilyen kártevő megfertőzhesse azt. A biztonsági mentés befejeztével a fájlok tömörítésre kerülnek, majd ezt követően ellenőrizve lesz a tömörítvény sértetlensége. A fájl ezután a helyi gyorsítótárból a szerverre lesz átmozgatva, ahol a végleges biztonsági mentési célkönyvtárba kerül. A biztonsági mentés napló fájlja ezután elérhetővé válik a „FELADATOK” (TASKS) modul kapcsolódó munkafeladat bejegyzésén keresztül. Mind a teljes, mind a részleges biztonsági mentés munkafeladatokról keletkezik különálló naplóbejegyzés. Azok a fájlok, amelyek a biztonsági mentés létrehozásakor használatban vannak vagy valamilyen lemezolvasási hiba miatt elérhetetlenek, nem kerülnek átmásolásra, így komplikációkhoz vezethetnek. Emiatt ajánlott minden egyes biztonsági mentési folyamat naplófájljainak ellenőrzése, hogy meggyőződhessen arról, hogy az sikeresen lezajlott, illetve szükséges-e valamilyen további biztonsági mentést vagy intézkedést eszközölni. Továbbá ajánlott egy általános ellenőrző, teszt visszaállítást is létrehozni, meggyőződve arról, hogy a biztonsági mentés kifogástalanul visszaállítható, a megfelelő, hibamentes fájlokat tartalmazza. A teszt visszaállítást egy kliensre vagy valamilyen kiválasztott könyvtárra célszerű alkalmazni. Mivel a biztonsági mentések megléte létfontosságú, ha valamelyik kliensen problémák tapasztalhatóak ezzel kapcsolatban, fontosak a rendszeres tesztfuttatások, illetve egyéb, a biztonsági mentés sértetlenségének ellenőrzésére irányuló eljárások.
: G Data Administrator, Feladatok, Biztonsági mentési naplófájl
12.3
Dokumentumok
Vitathatatlanul a dokumentumok a legfontosabb fájlok, amelyekről biztonsági mentést kell készíteni. A legtöbb vállalatnál az informatikai dolgozók a munkájuk túlnyomó részét digitális fájlok létrehozásával töltik, mint például dokumentumok, programok, grafikák vagy egyéb értékek. Ezek a fájlok gyakran a termelési folyamat magját jelentik, és bármilyen adatvesztés visszavetheti a termelést vagy akár közvetlen bevételkiesést okozhat. Az ilyen fájlok biztosítása a biztonsági mentések elsődleges célja kell, hogy legyen. A dokumentumok a kliens merevlemezén vagy egyéb, külső, helyi tárolón találhatóak, ami nagyban megbonyolítja a biztonsági mentést. Ha nincs központi adattároló a dokumentumok számára, minden egyes kliensnél külön biztonsági mentés munkafeladatot kell alkalmazni, amely pontosan lefedi a dokumentumok tárolására használt könyvtárakat. Azokon a klienseken, amelyek használják a felhasználói profilhoz tartozó könyvtárakat, mint például Desktop vagy My Document, a biztonsági mentés ezen könyvtárak lefedésére definiálható, amely lefedi az itt található dokumentumokat, illetve beállításokat. Alternatív megoldásként a biztonsági mentés az egész merevlemezt is érintheti, kihagyva azokat a fájlokat, amelyek nem dokumentumok (olyan kivételek meghatározásával, mint például: .exe, .dll vagy .com). Mindemellett a legmegbízhatóbb biztonsági mentési stratégia a fájlok tárolásának meghatározása még a korai stádiumban. A fájlok központi tárolásával, például egy hálózati fájlszerveren, a biztonsági mentés nagyon leegyszerűsödik egy munkafeladat létrehozásával, amely csak ezt a könyvtárszerkezetet fedi le. A fájlok szétszóródásának megakadályozása ebben a fázisban lényegesen csökkenti annak lehetőségét, hogy bizonyos fájlok véletlenül kimaradjanak a folyamatból. A biztonsági mentés munkafeladatok ütemezése függ a kliensgépek használatának gyakoriságától. Többnyire a kliensgépek napi használatban vannak, így ajánlott a biztonsági mentés munkafeladat napi ütemezése. Elvétve előfordulhat, hogy elég két vagy három napra beállítani a munkafeladat ütemezését. Első körben teljes biztonsági mentést (full backup) kell alkalmazni egy olyan időpontban, amikor a kliensgép éppen nincs használatban. A teljes biztonsági mentés az összes fájlt érinti, következésképpen a mérete viszonylag nagy lesz. Az ezt követő, későbbi biztonsági mentések beállíthatóak részleges biztonsági mentésként. Az ilyen típusú biztonsági mentés (különbségi biztonsági mentés néven is ismert) csak azokat a fájlokat menti le, amelyek a legutóbbi teljes biztonsági mentés óta megváltoztak. Ezzel jelentős idő spórolható meg biztonsági mentés folyamat alatt, illetve kevesebb helyet foglal el a biztonsági mentés célkönyvtáraiban (szerveren és a helyi gyorsítótáron). A visszaállítás némileg több időt vesz igénybe, mert így több fájlból kell felépíteni (az eredeti teljes, illetve a későbbi részleges biztonsági mentésekből). Amennyiben ez problémát okoz, akkor a későbbi napi ütemezésű biztonsági mentések is lehetnek teljes biztonsági mentések, ugyanakkor a szükséges tárterület gyorsan növekedhet. Ilyen esetben a teljes biztonsági mentéseket heti, a részleges biztonsági mentéseket pedig napi ütemezésűre kell állítani.
12.2.2 Adatbázisok Számos informatika-központú vállalatnál bizonyos fájltípusok központilag tárolódnak. Ez magába foglalhatja a központilag kezelt munkafolyamat-környezeteket, a kapcsolati adatbázisokat, az értékesítési információkat vagy egyéb olyan eszközöket, amelyek a vállalati termeléssel kapcsolatosak. A következő fontos adatbázis a levelezőszerveren tárolja a leveleket.
Merevlemez-meghibásodás esetén az egyszerű adatbázis, amely a vállalat fontos leveleit, kapcsolatait vagy termékinformációit tartalmazza, megsérülhet vagy megsemmisülhet. Az adatok biztosítása érdekében a biztonsági mentéseket úgy kell beállítani, hogy ezeket az adatbázisokat rendszeresen lementsék egy biztonságos helyre. Az adatbázisok biztonsági mentése nem mindig egyszerű folyamat. Az adatbázis típusától függően a fájlok folyamatosan használatban lehetnek. Például egy e-mail adatbázishoz a biztonsági mentési folyamat addig nem tud hozzáférni, amíg az e-mail szerver fut. A biztonsági mentés futásának ideje alatt győződjön meg arról, hogy az adatbázisfájlok nincsenek használatban. Állítson meg minden futó folyamatot, amelyek használhatják az adatbázist, a háttérben futó szolgáltatásokat is beleértve. Számos adatbázisnál ez az eljárás alapvető szolgáltatásleálláshoz vezet. Ilyen esetekben a biztonsági mentést az általános karbantartás idejére kell időzíteni, például hétvégére vagy éjszakára, amikor minimálisan vagy egyáltalán nincs aktivitás. A biztonsági mentések gyakoriságának beállítása az adatbázis használati módjától függ. Az olyan fontos adatokról, amelyek gyakran vagy állandóan változnak, mint például az e-mail adatbázis, ajánlott napi rendszerességgel biztonsági mentést készíteni. Először teljes biztonsági mentést kell végezni, majd ezt követően részleges, különbségi biztonsági mentéseket, így elkerülhető a rendelkezésre álló tárterület gyors elfogyása. A ritkábban használt adatbázisokról elegendő hetente egyszer biztonsági mentést készíteni. Így a biztonsági mentések jobban tervezhetőek, kevesebb szolgáltatáskimaradást okozva. Némely adatbázisokról egyszerűen készíthető biztonsági mentés a G Data biztonsági mentés modul fájl alapú megoldásával, míg mások rendelkeznek beépített biztonsági mentéssel. Függetlenül attól, hogy a G Data biztonsági mentési modult vagy beépített megoldást használja, létfontosságú, hogy rendszeres időközönként készítsen az adatbázisról biztonsági mentést, illetve ellenőrizze azok integritását, visszaállíthatóságát.
12.2.3 Konfiguráció A kliensek beállításai, az idő múlásával, lényegesen eltérhetnek az eredetileg meghatározottól. A felhasználók megváltoztathatják a beállításaikat az operációs rendszerben vagy valamilyen külső programban, vagy az adminisztrátor központilag megváltoztathatja azt az időközben felmerülő események hatására. A konfigurációs beállítások elvesztése miatt hosszú időt vehet igénybe azok újra beállítása, például újratelepítéskor vagy merevlemezhiba esetén. A beállításokat tartalmazó fájlok biztonsági mentésével lecsökkenthető az ehhez szükséges idő. A kliensen található összes konfigurációs fájl megtalálása nem mindig egyszerű feladat. Néhány beállítást fájlok tárolnak (általában: .ini kiterjesztésűek), mások a Windows rendszerleíró adatbázisában találhatóak. Azoknál a programoknál, amelyek támogatják a beállítások központi mentését (akár központi beállítással vagy a Microsoft csoportházirendek segítségével), a megfelelő fájlok egyszerűen beazonosíthatóak, így leegyszerűsítve a biztonsági mentésüket. Továbbá egyszerűen változtathatóak, központilag, akár több kliensnek egyszerre is a beállításai. Kisebb hálózatoknál az adminisztrátor manuálisan is beazonosíthatja a kliensekre telepített programokat, illetve a beállításukat tartalmazó fájlok helyét. A „KLIENSEK” (CLIENTS) modulban található programleltár (Software inventory) segít információkat gyűjteni a klienseken található programokról, azonban hosszabb időre van szüksége a beállítást tartalmazó fájlok megtalálásához. A feltérképezett beállításfájlokra létrehozható egy biztonsági mentés munkafeladat. Általánosságban ezt a munkafeladatot elegendő havonta egy lefutásra ütemezni, ugyanakkor az olyan kliensek számára, ahol gyakrabban történnek változások a beállításokban,
ennél gyakrabban, heti vagy napi ütemezéssel is használható.
12.2.4 Rendszerfájlok Nem csak azokról a fájlokról szükséges biztonsági mentést készíteni, amelyeket a felhasználó hoz létre. Az operációs rendszerhez vagy egyéb, külső programhoz tartozó, futtatható fájlokról vagy egyéb komponensekről szintén mentést kell készíteni. Az adatbázisok biztonsági mentéséhez hasonlóan ez nem feltétlenül egyszerű folyamat, mivel számos rendszerfájl folyamatosan használatban van. További problémát okoz az a tény, hogy a programok biztonsági mentése gyakran nem működik önállóan. Az adott alkalmazás Program Files könyvtárának lementése nem veszi figyelembe a különféle függőségeket, mint például egyéb programok, keretrendszerek, bizonyos operációsrendszer-funkciók vagy frissítések. Egy ilyen biztonsági mentés visszaállítása egy teljesen friss operációs rendszerre nem garantálja a program működését. A különböző programok biztonsági mentésére jobb megoldás, ha azok telepítőit biztonságba helyezzük a szerveren. Magának az operációs rendszernek a visszaállítása leegyszerűsíthető azzal, ha a teljes operációs rendszert, a legutolsó frissítéseket, illetve a gyakran használt programokat tartalmazó képfájlt tároljuk. Ez a képfájl hasonlít a biztonsági mentéshez, de nem tartalmazza a felhasználó dokumentumait. Ugyanakkor egy teljesen tiszta, frissítésekkel ellátott operációs rendszerből épül fel, az összes szükséges programmal együtt. A képfájl rendszeres aktualizálása igényel némi munkát, ugyanakkor nagyban lecsökkenti a teljes rendszer visszaállításához szükséges időt. Ez a forgatókönyv akkor működik a legjobban, ha a felhasználó a személyes adatokat nem lokálisan, hanem például egy fájlszerveren tárolja. A kliensgép merevlemezhibája így nem okoz semmilyen adatvesztést, és az új merevlemez üzembe helyezésekor az operációsrendszer-képfájlból egyszerűen és gyorsan helyreállítható a teljes rendszer.
12.2.5 Egyszeri biztonsági mentés A biztonsági mentések az ütemezésen kívül manuálisan is futtathatóak. Ez olyan esetekben hasznos, amikor az adott kliensgépről általánosságban nem szükséges biztonsági mentést készíteni, például az alacsony prioritás vagy az adatvesztés minimális veszélye miatt. Azonban ha valamilyen küszöbönálló hardvermeghibásodás veszélyezteti a kliensgép stabilitását, egy egyszeri biztonsági mentéssel az adatok gyorsan biztonságba helyezhetőek. Az ilyen fajta biztonsági mentés munkafeladatok előre tervezhetőek, így gyorsan lehet reagálni az esetleges vészhelyzetre. Ugyanakkor, mivel egy kész munkafeladat nem rendelhető hozzá másik kliensgéphez, így nincs lehetőség egy egyszerű, vészhelyzeti biztonsági mentés munkafeladat létrehozására. A „BIZTONSÁGI MENTÉS MUNKAFELADAT” (BACKUP JOB) párbeszédablak meglehetősen egyszerű, az adminisztrátor gyorsan meghatározhatja a szükséges intézkedéseket az egyszeri biztonsági mentés tervezésekor.
12.4
Biztonsági mentés visszaállítása
Vészhelyzet esetén fontos, hogy rendelkezésre álljon a lehető legfrissebb biztonsági mentés. Ha a biztonsági mentés munkafeladatok megfelelően vannak időzítve, az adatvesztés
minimalizálható. A biztonsági mentések tervezéséhez képest az adatok visszaállítása viszonylag egyszerű. Amire minimálisan szükség van, az egy működő operációs rendszer, illetve egy telepített G Data Security Client (amelyek újratelepíthetőek teljes merevlemez meghibásodás esetén).
: G Data Administrator, Feladatok, Biztonsági mentés visszaállítása Válasszon ki egy klienst a klienskezelő területen, majd nyissa meg a „FELADATOK” (TASKS) modult a klienshez tartozó összes biztonsági mentés munkafeladat megtekintéséhez. Kattintson jobb egérgombbal a munkafeladatra, majd kattintson a „BIZTONSÁGI MENTÉS VISSZAÁLLÍTÁSA” (RESTORE BACKUP) lehetőségre a „VISSZAÁLLÍTÁS” (RESTORE) párbeszédablak megnyitásához. Alternatív megoldásként válassza ki a ManagementServert, nyissa meg a „FELADATOK” (TASKS) menüt, majd válassza az „ÚJ” > „VISSZAÁLLÍTÁSI MUNKAFELADAT” (NEW > RESTORE JOB) lehetőséget, hogy áttekintést kapjon az elérhető, összes klienshez tartozó biztonsági mentésekről. Válasszon ki egy biztonsági mentést, majd kattintson az OK gombra a „VISSZAÁLLÍTÁSI BEÁLLÍTÁSOK” (RESTORE SETTINGS) párbeszédablak megnyitásához. A biztonsági beállítások megerősítése után a Visszaállítási munkafeladat hozzáadódik a „FELADATOK” (TASKS) modulhoz, majd azonnal végrehajtásra kerül. Amennyiben a tárhely korlátozott, az adminisztrátor manuálisan átmozgathatja a biztonsági mentés archívumot egy másik helyre, azonban ahhoz, hogy ezek visszaállíthatóak legyenek, újra kell importálni a G Data Administratorba. A „BEÁLLÍTÁSOK” (OPTIONS), „SZERVERBEÁLLÍTÁSOK” (SERVER SETTINGS), „BIZTONSÁGI MENTÉS” (BACKUP) alatt TALÁLHATÓ „BIZTONSÁGI MENTÉS ARCHÍVUMOK IMPORTÁLÁSA” (IMPORT BACKUP ARCHIVES) gombbal az adminisztrátor bármilyen könyvtárból importálhatja a biztonsági mentés archívumot. A biztonsági mentés jelszavát meg kell adni, amely a biztonsági mentést létrehozó ManagementServeren található „BIZTONSÁGI MENTÉS JELSZÓ EXPORTÁLÁSA” (EXPORT BACKUP PASSWORD) gombbal elérhető. Ezt követően az importált biztonsági mentés megjelenik a „FELADATOK” (TASKS) modul biztonsági mentések listájában. A visszaállítási munkafeladatok használhatóak egy adott rendszer visszaállítására, arra az állapotra, amikor a biztonsági mentés készült. Ez főleg az olyan biztonsági mentésekre érvényes, ahol a beállítások vagy a rendszerfájlok kerültek lementésre. Ilyen esetben az összes fájlt az eredeti helyére kell visszaállítani, szükség szerint felülírva a már meglévőket. Ugyanakkor az adatbázisok és a dokumentumok szelektíven is visszaállíthatóak, csak a szükséges fájlokkal ellátva a klienst. A „FÁJLKIVÁLASZTÁS” (FILE SELECTION) fülön lehetőség van a biztonsági mentés archívum tallózására, illetve azon belül fájlok/könyvtárak bevételére vagy kizárására. Abban az esetben, ha a kliensgépen egy fájl véletlenül törölve lesz, a biztonsági mentéssel visszaállítható annak az egy fájlnak a legutóbbi állapota.
A biztonsági mentés visszaállítása nem korlátozódik arra a gépre, amelyen a biztonsági mentés készült. Bármilyen biztonsági mentés visszaállítható bármelyik gépre, amennyiben az rendelkezik az ehhez szükséges szabad merevlemez-kapacitással. A megfelelő biztonsági mentés kiválasztásával a „VISSZAÁLLÍTÁS” (RESTORE) párbeszédablakban található „VISSZAÁLLÍTÁSI KLIENS” (RESTORE ON CLIENT) legördülő résznél bármelyik kliens kiválasztható. Az ezt követő párbeszédablakban kiválaszthatóak azok a fájlok, amelyeket erre a bizonyos kliensre vissza kíván állítani. Ezzel a lehetőséggel az adminisztrátor létrehozhat egy biztonsági mentést egy adott hálózati szerepkörrel rendelkező kliensről (például amelyik több fájl- vagy adatkészlettel rendelkezik, mint más kliensképek), majd azt visszaállíthatja egy másik szerepkörbe tartozó kliensgépre. Az első biztonsági mentést követően ajánlott a biztonsági mentés archívum tesztelése, ellenőrizve, hogy az archívum minden szükséges fájlt megfelelően tartalmaz, illetve megfelelően működik. Kattintson jobb egérgombbal a biztonsági mentés munkafeladatra, majd válassza a „BIZTONSÁGI MENTÉS VISSZAÁLLÍTÁSA” (RESTORE BACKUP) lehetőséget a „VISSZAÁLLÍTÁS” (RESTORE) párbeszédablak megnyitásához. Ellenőrizze, hogy a biztonsági mentés archívum szerepel-e a listában, majd kattintson az OK gombra a „VISSZAÁLLÍTÁSI BEÁLLÍTÁSOK” (RESTORE SETTINGS) párbeszédablak megnyitásához. A fájl- és könyvtárlista segítségével ellenőrizhető az összes fájl megléte. A hibamentes visszaállítás ellenőrzéséhez állítsa vissza mindegyik fájlt egy a „BEÁLLÍTÁSOK” (OPTIONS) fül alatt meghatározott új célkönyvtárba.
13.
Tűzfal (Firewall)
A tűzfal a hálózati biztonság alapvető része. A védelem első vonalaként a tűzfal megszűri a bejövő és a kimenő forgalmat, biztosítva, hogy a támadók ne férjenek hozzá távolról a számítógépen futó szolgáltatásokhoz, illetve a számítógépen található alkalmazások ne léphessenek kapcsolatba külső szerverekkel. A fehérlisták használatával (tűzfalszabályok) bizonyos kinti látogatók hozzáférést kaphatnak, illetve bizonyos alkalmazások kapcsolatba léphetnek külső szerverekkel. A hálózat kialakításától függően (lásd 1. fejezet) a tűzfal lehet egy hardvereszköz vagy valamilyen szoftveres megoldás. Egy fizikai tűzfal megszűri az összes bejövő és kimenő forgalmat. Számos router, akár vállalati, akár otthoni, alsó kategóriás, rendelkezik beépített tűzfallal. Másfelől a szoftveres megoldások telepíthetőek szerverre vagy kliensre, és számítógépszinten biztosítanak védelmet. Mindegyik hálózatnak legalább egy tűzfallal rendelkeznie kellene a kéretlen forgalom kint tartására. A hálózati biztonság első rétegeként mindegyik vállalati hálózatnak ajánlott egy tűzfalat üzemeltetnie. Mindemellett a kliensgépeket ajánlott szoftveres tűzfallal védeni, ezzel kézben tarthatóak az alkalmazásjogosultságok. Ahelyett, hogy bizonyos forgalmakat blokkolnánk a be- és a kimenő forgalom, a kliensek vagy a hálózati zónák számára, különféle szabályok meghatározásával e folyamat vezérelhető. A tűzfalat célszerű központilag vezérelni, és a vállalat biztonsági házirendjei szerint beállítani. Az ütközések elkerülése végett minden egyes tűzfal között ‒ legyen az akár hardveres, akár szoftveres ‒ a beállításokat össze kell hangolni. A tűzfalszabályok két célt szolgálnak: kezelik a hálózatbiztonságot és fenntartják a vállalati házirendeket. A bejövő forgalomhoz a tűzfalszabályok meghatározása viszonylag egyszerű: minden bejövő forgalmat el kell dobni, hacsak nem igényli azt a felhasználó vagy valamilyen alkalmazás (például: szörfözés a weben vagy peer-to-peer letöltés kezdeményezése). Az tisztán biztonsági kérdés, hogy a nem igényelt forgalmat mikor tekintjük rosszindulatú kapcsolódási kísérletnek. A kimenő forgalomnál a szabályok meghatározása még inkább bonyolult. Bizonyos alkalmazás és szolgáltatás kimenő forgalma megtiltható, mert azok biztonsági kockázatot jelentenek, míg mások nem kártékonyak, ugyanakkor nem egyeznek a vállalat házirendjével. Például a csevegő- (chat-) programok kimenő forgalma nem kártékony, azonban ha ez nem egyeztethető össze a vállalati házirenddel, akkor blokkolhatóak. A központilag kezelt klienstűzfalszabályok a G Data Security Client „TŰZFAL” (FIREWALL) modulján keresztül érvényesíthetőek. Ez szűri az összes ki- és bemenő forgalmat, biztosítva a nem engedélyezett kommunikáció blokkolását. A G Data tűzfal mélyreható vizsgálattal szűri a hálózati forgalmat. Ez a módszer nem pusztán összehasonlítja az egyes csomagokat egy előre meghatározott szabálykészlettel, hanem figyelembe veszi a szerverrel/számítógéppel korábban cserélt csomagokat is. Így azokat a csomagokat, amelyek egy meglévő TCP adatfolyamban vagy UDP kapcsolatban vannak továbbítva, nem szükséges újra teljesen megvizsgálni, hanem a kapcsolat állapotát alapul véve szűrhetőek (mint például korábban használt IP címek vagy portok). Ez csökkenti a feldolgozási időt csomagonként, és biztosítja, hogy az adminisztrátorok vagy a felhasználók gyorsan határozhassanak meg szabályokat egy adott típusú kapcsolat engedélyezéséhez anélkül, hogy foglalkozniuk kéne az IP címmel, portszámmal vagy a csomag irányával. A kliensgépeken a G Data Security Clientben található „TŰZFAL” (FIREWALL) modult ajánlott használni. A kliens, illetve annak összes védelmi modulja (mint például a fájlrendszer-védelem és a tűzfal) ugyan mindenféle probléma nélkül telepíthető szerverekre is, ugyanakkor az előre meghatározott szabálykészleteivel a kliensgépek vannak megcélozva. A szerveren való használathoz az adminisztrátornak meg kell győződnie a megfelelő szabálykészletek meglétéről.
13.1
Tűzfalkliensek kezelése
A G Data tűzfal a G Data Administratorban található saját modulján keresztül vezérelhető. A „TŰZFAL” (FIREWALL) modulban megtalálható minden, a klienskezelő területen kiválasztott kliensekre alkalmazható lényeges beállítás. A tűzfal első központi telepítésekor vagy a kliensbeállítások konfigurálásánál meg kell győződni arról, hogy a tűzfal valóban telepítve van a megfelelő kliensre (a távoli telepítéskor és utána is). Az „ÁTTEKINTÉS” (OVERVIEW) panelen található „G DATA TŰZFAL” (G DATA FIREWALL) oszlopban látható a tűzfal aktuális állapota, minden egyes kliensnél. Azoknál a klienseknél, amelyeken jelenleg még nincs telepítve a tűzfalkomponens, a „NINCS TELEPÍTVE” (NOT INSTALLED) állapot látható. A későbbi telepítést legegyszerűbben a G Data Administrator távoli telepítési képességével lehet elvégezni. Nyissa meg a „TŰZFAL” (FIREWALL) modult, majd válassza ki azokat a klienseket, amelyekre a tűzfalat telepíteni kívánja. Kattintson jobb egérgombbal a kliensekre, majd válassza a „G DATA TŰZFAL TELEPÍTÉSE” (INSTALL G DATA FIREWALL) lehetőséget. Ez elindítja a tűzfalkomponens távoli telepítését. A G Data Security Client távoli telepítéséhez hasonlóan a kliensszámítógépnek bizonyos rendszerkövetelményeknek itt is meg kell felelnie (lásd 4.7.1. fejezet). Amennyiben a távoli telepítés nem megoldható, a klienstelepítő csomag vagy helyi telepítés alkalmazható a tűzfal telepítésére (lásd 4.7.2 és 4.7.3 fejezetek). A többi modulhoz hasonlóan a tűzfal beállításai alkalmazhatóak egy vagy egyszerre több kliensre. A KLIENSKEZELŐ TERÜLETEN (CLIENT MANAGEMENT AREA) válassza ki a kapcsolódó klienseket, hogy azok a „TŰZFAL” (FIREWALL) modul „ÁTTEKINTÉS” (OVERVIEW) paneljén megjelenjenek. A tűzfal kliensenként engedélyezhető vagy letiltható. A G Data tűzfalat célszerű mindegyik hálózati kliensen engedélyezni, de általánosságban ajánlott legalább azokon a klienseken, amelyek az internethez kapcsolódnak. A konfliktusok elkerülése végett csak abban az esetben kapcsolja ki a G Data tűzfalat, ha valamilyen egyéb tűzfal védi a kliensgépet. A kliensaktivitás figyelemmel kíséréséhez engedélyezze a „BLOKKOLT ALKALMAZÁSOK JELENTÉSE” (REPORT BLOCKED APPLICATIONS) lehetőséget, így minden egyes esetben, ha egy alkalmazás blokkolásra kerül, a G Data tűzfal jelentést küld a ManagementServernek, amely megjelenik a „JELENTÉSEK” (REPORTS) modulban. Ha egy kliensalkalmazást valamelyik tűzfalszabály blokkolja, a jelentésben megjelenik az érintett alkalmazás, így szükség szerint az adminisztrátor közvetlenül hozzáadhatja azt az egyik szabálykészlethez. A vírusriasztásoknak megfelelően az ismétlődő tűzfalriasztások jelenthetik azt, hogy a felhasználó nem megfelelően használja a számítógépet, vagy a munkájának egy része nem végezhető el funkcionalitási hiányosságok miatt.
: G Data Administrator, Tűzfal, Áttekintés Kliensenként, illetve csoportonként engedélyezhető az ún. nem helyszíni (off-site) szabálykészlet. Egy meghatározott nem helyszíni beállítás engedélyezése különösen hasznos az olyan kliensek számára, amelyek általánosságban a vállalati hálózaton kívül vannak használatban. A G Data tűzfal a normál beállításokat fogja használni addig, amíg a kliens a vállalati hálózathoz kapcsolódik, de azonnal átvált a nem helyszíni beállításokra, amint a kliens egy másik hálózathoz kapcsolódik. Ezzel biztosítható a megfelelés a vállalati hálózat számára, ugyanakkor több rugalmasságot biztosít a felhasználónak, ha a számítógépet valahol máshol használja. A nem helyszíni szabálykészlet csak akkor engedélyezhető, ha a kliens használja valamelyik vállalati szabálykészletet: az autópilóta mód nem engedélyezi a nem helyszíni beállítás alkalmazását.
13.2
Autopilóta
Az autopilóta mód a G Data tűzfal alapértelmezett beállítása az összes kliens számára. Ezzel a beállítással a tűzfal minden feladatát teljes mértékben a háttérben látja el. A felhasználót semmilyen figyelmeztetéssel nem zavarja meg, és az adminisztrátornak csak minimális számú menedzselési feladatot kell ellátnia. Az autopilóta módnak minimális menedzselésre van szüksége, és olyan hálózatokra telepíthető, ahol nagyon kevés külső alkalmazás van használatban, vagy ahol a programleltár viszonylag állandó. A bejövő és kimenő kapcsolatok az automatikus kiértékelést követően engedélyezve vagy tiltva lesznek. Ha valamilyen alkalmazás kimenő kapcsolatot akar létesíteni, és az adott folyamat nem azonosítható kártevőként, a tűzfal engedélyezi azt. Az első kettő kifelé irányuló kapcsolatlétesítési kísérletnél egy átmeneti szabály átengedi a forgalmat a tűzfalon. Amennyiben ugyanez a folyamat harmadszor is megkísérli a kimenő kapcsolat létesítését, az autopilóta szabálykészletéhez hozzáadódik egy szabály, amellyel véglegesen engedélyezni fogja az alkalmazást. A bejövő kapcsolatok mindig eldobásra kerülnek,
kivéve, ha azt valamilyen, a rendszeren található egyik folyamat kifelé irányuló kapcsolódásának részeként kezdeményezi. A „JELENTÉSEK” (REPORTS) modul figyelemmel kísérésével az adminisztrátor ellenőrizheti, hogy a tűzfal milyen gyakorisággal blokkol alkalmazásokat. Amennyiben az autopilóta mód valamilyen lényeges kimenő vagy bejövő kapcsolódási kísérleteket blokkol, ajánlott az érintett klienst manuális szabálykészlet módba tenni. Ugyanez érvényes a laptopkliensekre is, az olyan számítógépeket, amelyek gyakran vannak a vállalati hálózaton kívül használva, célszerű manuális szabálykészlet módra állítani, a nem helyszíni konfigurációs lehetőségek engedélyezéséhez.
13.3
Szabálykészletek
Amikor az autopilóta mód nincs használatban, az adminisztrátornak széles körű lehetőségei vannak a tűzfal beállítására. A G Data tűzfal a szabálykészletek használatával ‒ alkalmazáskollekció-, protokoll- és port alapú szabályokkal ‒ vezérli a kliensek felé és a kliensektől irányuló hálózati adatáramlást. A szabálykészletekkel részletekbe menően vezérelhető a hálózati forgalom, ugyanakkor a beállítása több időt igényel, mint az autopilóta módnál. Az adminisztrátornak ismernie kell a hálózati kialakítást, a protokollokat, illetve az alkalmazásokat, mielőtt megkísérelné egy testre szabott szabálykészlettel beállítani a tűzfalat. a Létrehozása után egy szabálykészlet az „ÁTTEKINTÉS” (OVERVIEW) panelen hozzárendelhető egy vagy több klienshez, illetve beállítható mint szokásos vagy nem helyszíni szabálykészlet. A „SZABÁLYKÉSZLETEK” (RULE SETS) panelen létrehozhatóak újak vagy szerkeszthetőek már meglévő szabálykészletek a teljes hálózat számára. A panel tetején, a „SZABÁLYKÉSZLET” (RULE SET) legördülő listában látható az összes meghatározott szabálykészlet. A tűzfal alapértelmezettként autopilóta módban működik, mindenféle meghatározott szabálykészlet nélkül. Kattintson az „ÚJ” (NEW) gombra az új szabálykészlet hozzáadásához. Új szabálykészlet létrehozásához meg kell adnia egy nevet. Opcionálisan lehetőség van egy megjegyzés (note) hozzáfűzésére a szabálykészlet későbbi könnyebb beazonosításához (például, hogy mely kliensekre érvényes, vagy tartozik e hozzá valamilyen meghatározott alkalmazás vagy protokoll). A „LOPAKODÓ MÓD ENGEDÉLYEZÉSE” (STEALTH MODE ENABLED) lehetőség bekapcsolásával megtiltható a kliensek számára, hogy reagáljanak a portok vizsgálatára, így tovább növelve a biztonságot. Az ezt követő felugró ablakban kiválaszthatóak a tűzfalszabályok az alapértelmezett szabálykészletből. Ebben a készletben különféle szabályok találhatóak mindennapi alkalmazásokhoz, beleértve a Windows, illetve Microsoft specifikus funkciókat, illetve olyan, külső gyártótól származó programokat, mint az Adobe Reader vagy a Mozilla Firefox. A szabályok kiválasztásával a hálózaton használt alkalmazások számára idő spórolható, ugyanakkor biztosítani kell, hogy csak a legszükségesebb kommunikáció legyen engedélyezve. Az OK gombra kattintva létrehozható a kiválasztott szabályokat tartalmazó szabálykészlet. A szabálykészletlista mellett a „SZERKESZTÉS” (EDIT) gombbal szerkeszthető a neve, illetve a hozzá tartozó megjegyzés. Az „IMPORT” és az „EXPORT” gombokkal elmenthetőek vagy importálhatóak a szabálykészletek a biztonsági mentéshez, illetve az előre definiált szabálykészletek egyszerű hozzáadásához. A szabálykészletek tetszőleges számú szabályt tartalmazhatnak, akár előre definiáltat, testre szabottat vagy valamilyen jelentésre reagálva létrehozottat. A kapcsolatok a szabálykészletben található minden egyes szabály szerint elbírálásra kerülnek. A szabályok prioritás (rang) szerint
vannak listázva: minden egyes kapcsolódási kísérletnél az első rangnál lévő szabály üti a második rangnál lévőt, amely üti a harmadik rangnál lévőt és így tovább. Így lehetőség van a protokollok és portok mélyreható vezérlésének, például az első szabályban engedélyezve van a 2000-es porton az UDP forgalom, a második szabályban pedig minden egyéb UDP forgalom eldobásra kerül. A lista jobb oldalán található „RANG” (RANK) vezérléssel a listán a szabályok másik pozícióba mozgathatóak. Egy szabálykészletben található szabály letiltásához vegye ki a neve melletti jelölőnégyzetből a bejelölést, vagy szerkessze a szabályt és vegye ki a kijelölést a „SZABÁLY ENGEDÉLYEZVE” (RULE ENABLED) beállításnál.
: G Data Administrator, Tűzfal, Szabálykészletek, Új szabály A szabályok hozzáadhatóak manuálisan az „ÚJ” (NEW) gomb használatával, vagy lehetőség van a szabályvarázsló használatára a „VARÁZSLÓ” (WIZARD) gomb megnyomásával. A varázsló segítségével hozzáadható szabály az alapértelmezett szabálykészletből, másolható egy már meglévő szabály, biztosítható vagy megvonható a hozzáférés bizonyos programokhoz, illetve megnyitható vagy lezárható egy meghatározott port. A manuális szabályhozzáadás leginkább akkor hasznos, ha a varázsló nem szolgál elegendő rugalmassággal, például ha a szabályoknak csak egy bizonyos időkeretben kell érvényesnek lenniük. Mindegyik szabály több komponensből áll. Az alapvető szükséges információ a kapcsolat iránya és a hozzáférés típusa. A tűzfalszabályok beállíthatóak bejövő, kimenő, illetve bejövő és kimentő kapcsolatokra. Néhány alkalmazásnál engedélyezhető, hogy csak csomagokat küldhessen, míg másoknál teljes mértékben megtiltható a hálózati hozzáférés. Az alapinformációk kiegészítéseként egy vagy több tulajdonság kiválasztható: „PROTOKOLL” (PROTOCOL), „IDŐKERET” (TIME FRAME) vagy „IP TÉR” (IP SPACE). A protokoll legördülő menü számos protokollt tartalmaz, amelyekhez a tűzfal képes szűrni a forgalmat, emellett egy meghatározott alkalmazás és/vagy port is megadható. Az „ALKALMAZÁSOK” (APPLICATIONS) felugró ablakban nagyon pontosan meghatározható az engedélyezendő vagy blokkolandó alkalmazás. Használható egy vagy több alkalmazás forgalmának szűrésére, illetve engedélyezhető vagy blokkolható egy alkalmazás forgalma kizárólag abban az esetben is, ha azt egy meghatározott szülőfolyamat hívta meg. A „PORTOK” (PORTS) párbeszédablakban az adminisztrátor hozzáadhat a szabályhoz egyes portokat vagy porttartományokat. Az „IDŐKERET” (TIME FRAME) lehetőséggel a szabály korlátozható a nap egy meghatározott idejére vagy a hét meghatározott napjaira. Ez biztonsági célból, illetve a vállalat házirendjével kapcsolatosan is hasznos lehet. Végezetül az
„IP tér” (IP space) beállítással hozzáadható egy (külső) IP cím vagy IP tartomány, amelyre a forgalom korlátozva lesz. Ez lehet egy IPv4 vagy egy IPv6 cím, egy DNS szerver, egy alapértelmezett átjárószerver vagy egy WINS szerver. Az „ÚJ SZABÁLY” (NEW RULE) párbeszédablakban kifinomult tűzfalszabályok hozhatóak létre. Ezeket a szabályokat a meghatározott hálózati konfigurációnak, a programleltárnak, a biztonsági igényeknek, illetve a vállalati házirendeknek megfelelően kell létrehozni. Az alapértelmezett szabályok megfelelő kiindulópontot biztosítanak, de szükséges majdnem mindegyik szabály finomhangolása, mielőtt az a teljes hálózatra alkalmazható lenne. Valamilyen fontos forgalom véletlen blokkolása rendkívül zavaró, káros lehet a felhasználó számára. Emiatt egy szabálykészlet kialakításakor ajánlott a készlet tesztelése egy vagy több kliensen, még mielőtt további bevezetésre kerülne. Meg kell győződni arról, hogy a kliens és a ManagementServer közötti kommunikáció nem szakadt meg, mivel ez a hibakeresést lényegesen megnehezíti. Általános útmutatásként ajánlott a tűzfalat „fehérlista módban” használni: az ismert alkalmazásokhoz meghatározni szabályokat, és minden egyéb forgalmat elutasítani. Ezt a szabálykészlet végére egy szabály beillesztésével lehet elérni, amely minden protokollt és portot blokkol. Minden egyes kapcsolódási kísérlet, amelyet nem fed le valamilyen másik szabály, blokkolásra kerül. E szabálykészletnek nem egyszerű a beállítása, mivel nagyon nehéz megtippelni az összes olyan forgalmat, amelyet a kliens generálni fog. Bizonyos időt vesz igénybe a kliens normál használati mintájának feltérképezése, illetve a szabályok meghatározása, amelyek ezt lefedik. Az egyik lehetséges megoldás valamelyik kliens kijelölése szabálykészlet-tesztelő platformként. Ennek a kliensnek tartalmaznia kell a legtöbb vagy az összes, a hálózaton használatban lévő alkalmazást. Kezdésnek az alapértelmezett szabálykészletbe tartozó szabályok alkalmazásával a kliensen keresztül felmérhető a hálózati forgalmi igény, és hozzáadhatóak a megfelelő jogosultságok. A tűzfal naplója rendkívül hasznos lehet a kapcsolódási kísérletek mélyreható vizsgálatában. Bármilyen szabálykészlet bevezetése előtt meg kell győződni arról, hogy mindegyik hálózati zónának megvannak a maga szabálykészletei, a szükséges jogosultságokkal. A szabálykészleteknek csak a hálózati zónában, illetve az ahhoz tartozó kliensek számára szükséges kommunikációval kapcsolatosan kell szabályokat tartalmazniuk. Túl sok alkalmazás számára biztosítani a hozzáférést biztonsági kockázatot jelent, ugyanakkor a szabálykészletek számának kezelhetőnek kell lennie. Minél több szabálykészlet létezik, annál több lesz az esetleges hálózati jogosultságokkal kapcsolatos hibaelhárításhoz szükséges idő. Ugyanezen okból azokat a szabályokat, amelyekre már nincsen szükség, törölni kell a szabálykészletből. Például, ha egy adott alkalmazás többé nincs használatban a hálózaton, a kapcsolódó szabály(okat) ajánlott eltávolítani a tűzfal szabálykészletéből. A szabálykészletek rendben tartásával jobb rálátás érhető el a meglévő szabályokra, és egyszerűbbé válik a hibaelhárítás.
13.4
Felhasználói jogosultságok
A tűzfal egy elengedhetetlen hálózati biztonsági réteg, ugyanakkor, ha valamilyen létfontosságú alkalmazás részeit blokkolja, akkor megnehezítheti a felhasználó tevékenységét a kliensgépen. Az adminisztrátorok a tűzfal kezelésének egy részét átengedhetik a felhasználó számára, engedélyezve számukra, hogy ki-, illetve bekapcsolhassák a tűzfalat, vagy megváltoztathassák a nem helyszíni (off-site) beállítás szabálykészletét. Ez praktikus megoldás lehet, mivel a felhasználó így azonnal orvosolni tudja a jogosultsági problémákat, ugyanakkor veszélyt is hordoz magában: a vállalat biztonsági házirendje megkerülhetővé válik, ha a felhasználó
megváltoztathatja a szabálykészleteket vagy teljes mértékben kikapcsolhatja a tűzfalat. Ezt a lehetőséget ajánlott óvatosan kezelni, és csak a problémás kliensgépek számára beállítani, vagy olyan felhasználók számára engedélyezni, akik tisztában vannak a használatával. A felhasználók a G Data Security Clienten keresztül férhetnek hozzá a tűzfalbeállításokhoz. A tálcaikonon jobb egérgombbal kattintva megjelenik a „TŰZFAL” (FIREWALL) lehetőség, amelyre rákattintva elérhetővé válik a G Data tűzfal kezelőfelülete, ahol szerkeszthetőek a szabálykészletek (amennyiben az engedélyezve van, és a kliens nem helyszíni módban van használva). A tűzfal a „TŰZFAL KIKAPCSOLÁSA” (DISABLE FIREWALL) lehetőséggel kikapcsolható. Ez minden további figyelmeztetés nélkül kikapcsolja a tűzfalat, amely automatikusan nem kapcsolódik vissza, a kikapcsolt állapot a számítógép újraindítása után is megmarad. Ezt a lehetőséget nagy körültekintéssel kell alkalmazni, csak ritkán fordul elő olyan eset, hogy a felhasználó számára engedélyezni kell ilyen jogosultságokat.
13.5
Naplók (logs)
A tűzfalkomponens jelenti a blokkolt alkalmazásokat a G Data Administrator számára, azonban hasznos lehet egy fejlettebb áttekintő nézet a bejövő és a kimenő kapcsolatokról. A helyi tűzfalnapló hasznos lehet, ha egy alkalmazás megmagyarázhatatlan módon került blokkolásra, vagy ha a visszautasított bejövő kapcsolatok statisztikáját kívánja megtekinteni. Amennyiben a felhasználók meg akarják tekinteni a részletes naplókat, az adminisztrátornak engedélyezni kell az „A FELHASZNÁLÓ MEGVÁLTOZTATHATJA A NEM HELYSZÍNI BEÁLLÍTÁST” (ALLOW USER TO CHANGE THE OFF-SITE CONFIGURATION) parancsot. Ez hozzáadja a „TŰZFAL” (FIREWALL) lehetőséget a G Data Security Client tálcaikonjának jobb egérgombbal elérhető menüjéhez. A „TŰZFALRA” (FIREWALL) kattintva megnyílik a tűzfalkomponens fő kezelőfelülete. A „NAPLÓ” (LOG) panelen megtalálható a bejövő és a kimenő kapcsolatok részletes áttekintése. A felhasználó ellenőrizheti a kapcsolati protokollt (protocol), a kezdeményező alkalmazást (application), az irányt (direction), a helyi portot (local port), a távoli portot (remote port), illetve az okot (reason) az engedélyezési vagy blokkolási döntéssel kapcsolatosan. Ha a felhasználók nem akarják használni a naplókat, az adminisztrátornak lehetősége van közvetlenül is hozzáférni a naplófájlokhoz; a fejlett nézet előfordulhat, hogy túltelítődik. A tűzfal naplója egy SQLite adatbázisfájlban van elmentve. Ez a fájl számos adatbázis-böngészővel olvasható, mint például az SQLite Database Browser (www.sf.net/projects/sqlitebrowser/).
: G Data Security Client, Tűzfal, Napló A kapcsolati napló a LiveStrm.dat fájlban van tárolva, amely jellemzően a C:\Program Files (x86)\G DATA\AVKClient\Firewall útvonal alatt található. Az adatbázis több táblázatból áll, a kapcsolati napló (connection log) a „KAPCSOLATOK” (CONNECTIONS) táblázatban található. Minden egyes bejegyzés egy kapcsolatot jelöl, a tulajdonságai több oszlopban vannak listázva. Az alant található táblázatban megtalálhatóak a legfontosabb oszlopok, illetve azok leírásai.
12
AdapterID
A hálózati adapter azonosítója.
AdapterName
A hálózati adapter neve.
Allowed
A kapcsolat engedélyezve (allowed) (-1) vagy tiltva (blocked) (0) volt.
HasProcess IPv6
Az a folyamatazonosító (process ID), amely kezdeményezte a kapcsolatot. A futó szolgáltatások listájával való összehasonításra használható. A kapcsolat az IPv6 (-1) vagy az IPv4 (0) protokollt használja.
LocalPort
A helyi kapcsolati port.
Outgoing
A kapcsolat bejövő (-1) vagy kimenő (0).
ProcName
Az a folyamat (process), amely kezdeményezte a kapcsolatot. A futó szolgáltatások listájával való összehasonlításra használható.
Protocol
A kapcsolati protokoll12.
Reason
Egy számérték, amely a kapcsolat engedélyezésének vagy blokkolásának döntési okát képviseli.
RemoteHost
A távoli hoszt.
RemoteIP
A távoli IP cím.
RemotePort
A távoli kapcsolati port.
RuleID
A szabály azonosítója, ami a kapcsolat engedélyezésére vagy blokkolására vonatkozik. Megfelel a GDFwSvc.dat SQLite adatbázis egyik szabálytáblázat-azonosítójának.
A protokoll számok az IANA adatbázisban kikereshetőek (www.iana.org/assignments/protocol-numbers).
Az „OK” (REASON) oszlopban minden egyes kapcsolathoz egy számérték található. Ez az érték további információkat biztosít arról, hogy a kapcsolat miért lett engedélyezve vagy blokkolva. A leggyakrabban itt szereplő érték a 7 (REASON_RULE_MATCH), amely azt jelenti, hogy a kapcsolat a definiált szabálykészletben megfelelt az egyik szabálynak. Az értékek teljes listája a következő:
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 27 28 29 30
REASON_FILTER_OFF REASON_FLUSHED REAONS_ASK_USER_CACHE REASON_ASK_USER_WRONG_CHECKSUM REASON_ASK_USER REASON_ASK_USER_NO_FRONTEND REASON_ASK_USER_NO_PROCESS REASON_RULE_MATCH REASON_RULE_MATCH_WRONG_CHECKSUM REASON_SKIP_ID REASON_SUBSEQUENTLY REASON_BY_CONNECTION REASON_ENDPOINT_DOES_NOT_EXIST REASON_ADAPTIVE_MODE REAONS_ANSWER_FROM_OUTGOING REASON_RULESET_DEFAULT REASON_ANSWER_FROM_INCOMING REASON_RULE_MATCH_WRONG_PARENT_CHECKSUM REASON_RULE_MATCH_UNMATCHING_PARENT REAONS_ASK_USER_WRONG_PARENT_CHECKSUM REASON_ASK_USER_UNMATCHING_PARENT REASON_PROCESS_DIED REASON_TCP_ENDPOINT_IS_NOT_LISTENING REASON_RULE_MATCH_WRONG_MODULE_CHECKSUM REASON_JUST_OUTGOING REASON_DHCP_POLICY REASON_FIREWALL_OFF REASON_ICS REASON_WRONG_CHECKSUM_COMMITTED_BY_AV REASON_AUTOPILOT
14.
Házirendkezelő (PolicyManager)
A biztonsági rétegek, mint például a tűzfal, a fájlrendszervédelem vagy a víruskeresés, elejét veszik a fertőzéseknek, és egy biztonságos, kártevőmentes számítógépes környezetet biztosítanak a felhasználók számára. Ugyanakkor számos vállalati házirend meghatároz egyéb olyan típusú tartalmakat is, amelyekhez nem kívánatos a hozzáférés. A nem megfelelő tartalmat blokkolják, az alkalmazásokat feketelistára teszik vagy korlátozzák az internet-hozzáférést. Hasonlóképpen, a külső tárolóeszközök (merevlemez, USB kulcs) használata is gyakran korlátozott a vállalati klienseken. Ezeket az intézkedéseket nem csak a hálózat biztonságához szükséges beállítani, hanem a klienshasználatra vonatkozó vállalati házirendek érvényesítéséhez is. A G Data „HÁZIRENDKEZELŐ” (POLICYMANAGER) egyesíti ezeket a kérdéseket egy könnyen kezelhető modulban, amellyel lehetőség van a kliensek beállítására, pontosan azok felhasználási jellegzetességei szerint. Bármilyen házirend meghatározása előtt az adminisztrátornak célszerű kidolgoznia egy áttekintést a kliensek szerepköréről, illetve a felhasználók számára szükséges jogosultságok számáról a hálózaton. Például azoknak a kliensgépeknek, amelyek az informatikai részlegen vannak használatban, más jogosultságokra lesz szükségük, mint a kereskedelmen vagy a kutatási és fejlesztési részlegen lévőknek. Ugyanakkor vannak olyan, a teljes vállalatot érintő szabályok, amelyeket minden egyes kliensgépen alkalmazni kell. Ha a vállalat rendelkezik általános biztonsági házirendekkel, azok segíthetnek a megfelelő HÁZIRENDKEZELŐ (POLICYMANAGER) szabályok felépítésében. Például egy, a vállalat összes gépét érintő USB kulcs használattiltás egyszerűen végrehajtható a „HÁZIRENDKEZELŐ” (POLICYMANAGER) „ESZKÖZVEZÉRLŐ” (DEVICE CONTROL) paneljén. Az alkalmazásvezérlés, az eszközvezérlés és a webtartalom-vezérlés kombinálható egymással, olyan szabályokat létrehozva, amelyek biztosítják, hogy semmilyen bizalmas adat ne kerülhessen ki a vállalati hálózatból (valamilyen fájlmegosztó alkalmazáson, USB kulcson vagy felhő alapú tárolóhelyen keresztül). Ahogyan a többi biztonsági aspektust, a házirendeket sem kell azonnal, minden kliensre bevezetni. A „HÁZIRENDKEZELŐ” (POLICYMANAGER) a klienshasználatot többféle szempont szerint korlátozhatja, de a felhasználók számára a kliensgépek hatékony használatát nem javasolt korlátozni. A hatások megfelelő felméréséhez minden egyes házirendváltozást egy vagy több tesztkliensen ellenőrizni kell. Csak abban az esetben adja hozzá az összes kliens alapértelmezett házirendjéhez, ha a tesztkörnyezetben megfelelően, az elvárások szerint működik. A „HÁZIRENDKEZELŐ” (POLICYMANAGER) modul négy panelra van osztva: „ALKALMAZÁSVEZÉRLŐ” (APPLICATION CONTROL), „ESZKÖZVEZÉRLŐ” (DEVICE CONTROL), „WEBTARTALOM-VEZÉRLŐ” (WEB CONTENT CONTROL) és „INTENETHASZNÁLATI IDŐ” (INTERNET USAGE TIME). Mindegyik a
klienshasználat egy meghatározott aspektusát vezérli, külön-külön be-, illetve kikapcsolhatóak. A beállítások a klienskezelő területen kiválasztott kliensekre érvényesek. A Házirendkezelő (PolicyManager) modulok engedélyezhetőek az alap kliensfelhasználók számára, vagy az alap kliensfelhasználók és az adminisztrátorok számára. Az optimális biztonság érdekében az utóbbi beállítás használata javasolt, különösen akkor, ha a helyi adminisztrátorok nem képesek megkerülni a házirendszabályokat.
14.1
Alkalmazások
A biztonsággal kapcsolatosan, csakúgy, mint a házirendeknél, problémákat okozhat, ha engedélyezzük a felhasználóknak, hogy bármilyen programot futtathassanak. Az ismeretlen forrásból származó alkalmazások kártevőket tartalmazhatnak, továbbá bizonyos programcsoportokat nemkívánatosnak nyilváníthatunk. Például a legtöbb vállalati környezetben a felhasználóknak nincs szüksége peer-to-peer alkalmazásra. Az azonnali üzenetküldő alkalmazások gyakran szintén a tiltott programok közé tartoznak. Az alkalmazásvezérléssel az adminisztrátorok, a fekete- és fehérlista használatával, kliensenként kezelhetik és érvényre juttathatják az alkalmazásszabályokat. Mielőtt az alkalmazások fekete- vagy fehérlistázásával kapcsolatban bármilyen döntés születne, az adminisztrátornak tisztában kell lennie a hálózati klienseken használt alkalmazásokkal. Az alkalmazáslistának nem csak a hivatalosan, központilag telepített csomagokat kell tartalmaznia. Amennyiben nincs bevezetve korlátozás az új programok telepítésével kapcsolatosan, a felhasználók bármilyen alkalmazást telepíthetnek. A klienseken használt alkalmazásokról áttekintés kapható a „KLIENSEK” (CLIENTS) modulban. A „SZOFTVER” (SOFTWARE) panel tartalmazza a kliensre telepített összes programot. Ez az információ segít dönteni a programok engedélyezésében és tiltásában. Az alkalmazás előzetesen szortírozható a programleltár feketeés fehérlista-funkcióival. Mindegyik programnál el kell dönteni, hogy engedélyezendő vagy tiltandó az adott kliensen, jobb egérgombbal a bejegyzésre kattintva, a „FEHÉRLISTÁRA RAK” (PUT ON WHITELIST) vagy a „FEKETELISTÁRA RAK” (PUT ON BLACKLIST) lehetőséget választva. A „GLOBÁLIS FEKETELISTA” (GLOBAL BLACKLIST) és a „GLOBÁLIS FEHÉRLISTA” (GLOBAL WHITELIST) gombok használatával megjelenik a megfelelő lista, amelyek a döntéshozatal alapjaiként használhatóak az „ALKALMAZÁSVEZÉRLÉS” (APPLICATION CONTROL) modulban. A „TERMÉKFORGALMAZÓ” (VENDOR) oszlopban található forgalmazói névvel fekete- vagy fehérlistás szabályok hozhatóak létre a „HÁZIRENDKEZELŐBEN” (POLICYMANAGER).
Annak érdekében, hogy az alkalmazásvezérlés (application control) megfelelően működjön, a G Data Security Client fájlrendszervédelem (file system monitor) komponensének bekapcsolt állapotban kell lennie, mivel annak folyamatos fájlrendszer-ellenőrzése segít azonosítani az alkalmazásindulásokat (lásd 8.2. fejezet). Kliensenként kiválasztható, hogy az alkalmazásvezérlés (application control) fehér- vagy feketelista üzemmódban működjön. Feketelista módban minden egyes, az alkalmazáslistán szereplő program blokkolva lesz, ha a felhasználó megpróbálja futtatni azokat. Fehérlista módban csak a listán szereplő alkalmazások futtatása engedélyezett, minden egyéb alkalmazás blokkolva lesz. Habár a lehetőség adott minden egyes kliensnél más-más mód használatára, a kezelés egyszerűbbé tételéhez ajánlott mindegyiken ugyanazt alkalmazni. A legbiztonságosabb a fehérlista mód, így csak a biztonságosnak ítélt alkalmazások futtatására van lehetőség. Mindemellett a fehérlista meghatározásához meglehetősen sok tesztelésre van szükség, az adminisztrátornak minden egyes engedélyezendő programmal tisztában kell lennie, hogy elkerülje a fennakadást a felhasználók munkájában. Alternatívaként a feketelista módban az adminisztrátornak csak azokat a programokat kell meghatároznia, amelyeket tiltani akar. A feketelista módszer hátránya, hogy nem foglalkozik automatikusan azokkal a programokkal, amelyekről az adminisztrátornak nincs tudomása a feketelista meghatározásakor. Ha a felhasználó saját maga telepít egy programot később, az automatikusan nem kerül blokkolásra. Egy egyedi szabály hozzáadásához kattintson az „ÚJ” (NEW) gombra, vagy használja az „ALAPÉRTELMEZETT SZABÁLYOK” (DEFAULT RULES) lehetőséget, ha az alapértelmezettek listájáról kíván egyet kiválasztani. Az alapértelmezett szabályok rengeteg közismert, külső gyártó
programját tartalmazzák. Az egyedi szabály hozzáadása meglehetősen egyszerű, gyártó (vendor), fájl (file), illetve könyvtár (directory) szerint is meghatározható. A gyártószabály a (vendor) karakterláncában szereplő információ alapján engedélyezi vagy blokkolja a futtatható fájlokat. Győződjön meg arról, különösen a fehérlista mód használatakor, hogy legalább az operációs rendszer, illetve a G Data biztonsági komponensek megfelelően be tudnak töltődni. Ehhez adjon hozzá egy gyártószabályt (vendor rule) a Microsoft* és a G Data* karakterlánccal, vagy használja a kapcsolódó alapértelmezett szabályokat. Ha egy gyártót általánosságban blokkolni kell, a hozzá tartozó egy vagy több program meghatározható kivételként a futtatható fájljuk vagy könyvtáruk hozzáadásával a szabályhoz. A fájlokra vonatkozó szabályok meghatározhatóak a blokkolandó fájl tulajdonságainak megadásával, úgymint fájlnév, MD5 ellenőrző összeg, terméknév, fájlverzió vagy szerzői jog. Ezek a mezők megadhatóak manuálisan, vagy a „FÁJLATTRIBÚTUMOK MEGHATÁROZÁSA” (DETERMINE FILE ATTRIBUTES) opcióval automatikusan kitöltethetőek. Ennek segítségével az adminisztrátor kiválaszthatja az aktuális fájlt, biztosítva, hogy annak tulajdonságai helyesen kerülnek megadásra. Lehetőség van bármelyik tulajdonság karakterlánc elejére vagy végére csillag karaktert beszúrni. Ez különösen akkor hasznos, ha csak bizonyos verziótartományokat kell blokkolni. A könyvtárszabály használatával az adminisztrátor kiválaszthat bármilyen könyvtárat, a benne található futtatható fájlokat engedélyezheti vagy blokkolhatja (opcionálisan az alkönyvtáraival együtt).
: G Data Security Client, Alkalmazásvezérlés Az összes szabály meghatározása és az alkalmazásvezérlés (application control) engedélyezése után ajánlott mindegyik szabály megfelelő működésének tesztelése. Ha a felhasználó megpróbál futtatni egy blokkolt alkalmazást, a G Data Security Client automatikusan megakadályozza a hozzáférést. Ha az adminisztrátor engedélyezte az „A FELHASZNÁLÓ JELENTHETI A BLOKKOLT ALKALMAZÁSOKAT” (THE USER CAN REPORT BLOCKED APPLICATIONS) lehetőséget, a Security Client megjelenít egy felugró ablakot az alkalmazás részletezésével. A „HOZZÁFÉRÉS KÉRÉSE” (REQUEST PERMISSION) gomb megnyomásával egy jelentés kerül hozzáadásra a G Data Administrator „JELENTÉSEK” (REPORTS) moduljába. Ezen jelentés használatával az adminisztrátor közvetlenül hozzáadhat egy új szabályt az alkalmazásvezérléshez, fehérlistára téve az alkalmazást, abban az esetben, ha szükséges, hogy ahhoz az alkalmazáshoz a felhasználó hozzáférhessen. Az olyan kliensgépeknél, ahol az alkalmazásokat a felhasználó beavatkozásának vagy visszajelzésének kihagyásával akarja blokkolni, ezt az opciót kikapcsolva kell hagyni.
: G Data Administrator, Jelentések, Blokkolt alkalmazás Az a jelentés, amelyet az alkalmazásvezérlés (application control) ad hozzá a „JELENTÉSEK” (REPORTS) modulhoz, bizonyos rugalmasságot enged a szabályok meghatározásában. A blokkolt alkalmazás neve a jobb alsó sarokban található. A bal oldalon kiválaszthatóak azok a kliensek, amelyekhez az új szabályt létre kell hozni. Alapértelmezettként ez az a kliens, amelyről a jelentés érkezett, de az alkalmazások bármelyik hálózati kliens számára fehér- vagy feketelistázhatóak. Az „ENGEDÉLY TÍPUSA” (TYPE OF PERMISSION) a fehér- és a feketelistás módhoz is beállítható. Azon kliensek számára, amelyek feketelistát használnak, az a szabály, amely az érintett alkalmazást blokkolja, eltávolítható. Amennyiben az alkalmazást egy gyártószabály blokkolja, a fájl hozzáadható kivételként a szabályhoz, vagy akár az egész szabály eltávolítható. Azon kliensek számára, amelyek fehérlistát használnak, az alkalmazás hozzáadható fájl- vagy gyártószabályként.
14.2
Eszközök
A legtöbb kártevő-fenyegetés az internetről származik, ugyanakkor a cserélhető eszközök továbbra is népszerű támadási vektorai a kártékony programoknak. Az olyan cserélhető adattárolók, mint az USB kulcsok vagy a CD-ROM-ok, vírusokat tartalmazhatnak, ugyanakkor az adminisztrátornak nem csak a támadások miatt kell aggódnia, a bizalmas fájlok szintén kikerülhetnek a cserélhető adattárolók használatával, például ha a felhasználó felmásolja egy USB kulcsra valamelyik fontos adatbázist. A másik kényes eszközkategória a különböző (laptopokba épített) webkamerák, ezek a személyiségi jogok miatt kikapcsolhatóak. Az „ESZKÖZVEZÉRLŐ” (DEVICE CONTROL) panelen az adminisztrátornak lehetősége van kontroll alatt tartani ezeket az eszközöket az összes hálózati kliensen. Eszközkategóriákként az adminisztrátor megadhatja a hozzáférési jogosultságokat. Ezek kategóriánként megegyeznek; floppy (hajlékony) lemezhez, CD/DVD-hez, cserélhető adattárolókhoz és webkamerákhoz: ÍRÁS/OLVASÁS (READ/WRITE), „OLVASÁS” (READ), „HOZZÁFÉRÉS TILTÁSA” (DENY ACCESS).
Az írás/olvasás kiválasztásával a felhasználó teljes hozzáférést kap a kiválasztott eszközhöz. Az
olvasási hozzáférés olyan esetekben hasznos, amikor a felhasználónak fel kell másolnia bizonyos adatokat a kliensre az eszközről, ugyanakkor a kliensről már nincs jogosultsága fájlokat másolni az eszközre. A hozzáférés megtiltása a legjobb választás, ha egy eszközt teljes mértékben tiltani kell. Ez a legbiztonságosabb lehetőség, az eszközök nem fertőzhetik meg kártevőkkel a kliensgépet, illetve azok nem használhatóak a vállalati hálózatból adatok szállítására. Az eszközvezérlés használatának legegyszerűbb módja az eszközkategóriák teljes tiltása. Ugyanakkor lehetnek olyan helyzetek, amikor a teljes tiltás ellenére a felhasználónak vagy az adminisztrátornak szüksége van egy eszköz lokális használatára. A helyett, hogy engedélyezné az „OLVASÁS” (READ) vagy az „ÍRÁS/OLVASÁS” (READ/WRITE) lehetőséget a kategória összes eszközére, a fehérlista-funkcióval az adminisztrátor meghatározhat bizonyos használható eszközöket. Ha valamilyen eszközkategória „OLVASÁS” (READ) vagy „HOZZÁFÉRÉS TILTÁSA” (DENY ACCESS) módban van, a fehérlista használatával „OLVASÁS” (READ) vagy „ÍRÁS/OLVASÁS” (READ/WRITE) jogosultság adható egy meghatározott eszközre vagy médiumra. Bármilyen eszközházirend bevezetése előtt a létfontosságú eszközöket fehérlistára kell rakni, így biztosítva, hogy semmilyen munkafolyamatban nem léphet fel zavar, vagy nem szakadhat meg.
: G Data Administrator, Házirendkezelő (PolicyManager), Eszközvezérlés Az „ÚJ” (NEW) gomb megnyomásával megjelenik a fehérlista-bejegyzés felugró ablak. Az ablakban csak azok az eszközkategóriák vannak listázva, amelyek az eszközkategória-listában korlátozva vannak. Azok az eszközkategóriák, amelyeknél „OLVASÁS/ÍRÁS” (READ/WRITE) jogosultság van beállítva, nincsenek blokkolva, ezáltal nincs szükségük fehérlistás bejegyzésekre. A „HARDVERAZONOSÍTÓ/MÉDIUMAZONOSÍTÓ” (HARDWARE ID/MEDIUM ID) annak az eszköznek vagy médiumnak a meghatározására szolgál, amelyet a fehérlistához akar adni. A „…” gomb használatával meghatározható a megfelelő fehérlistázandó azonosító (ID). A felugró ablakban lehetőség van a helyi vagy a hálózati kliensekhez tartozó eszközök közötti keresésre. Egy adott hardverazonosító kiválasztásával a teljes eszköz a fehérlistára tehető. Például egy olyan rendszeren, ahol mindegyik DVD-meghajtó blokkolva van, az egyik meghatározható kivételként. Másfelől a médiumazonosító segítségével fehérlistára tehető egy meghatározott médium. Például egy olyan rendszeren, ahol blokkolva vannak a DVD-meghajtók, jogosultság adható egy
bizonyos CD vagy DVD használatára. Ez a funkció szintén hasznos olyan esetben, ha például a felhasználó nem használhat semmilyen cserélhető médiumot, ugyanakkor hozzá kell férnie valamilyen meghatározott (például a vállalat birtokában lévő) USB kulcshoz. Az alkalmazásvezérléshez hasonlóan az eszközvezérlés modul is működhet a felhasználó beavatkozásával vagy a nélkül. Az „A FELHASZNÁLÓ JELENTHETI A BLOKKOLT ESZKÖZÖKET” (THE USER CAN REPORT BLOCKED DEVICES) kiválasztásával a felhasználónak lehetősége van bármikor, amikor valamilyen eszköz blokkolásra kerül, ahhoz hozzáférést kérnie. A felugró ablakban jogosultság kérhető az eszköz vagy médium használatára. Ez egy jelentést hoz létre a „JELENTÉSEK” (REPORTS) modulban. Ezen a jelentésen alapulva hozzáadható egy fehérlista-kivétel. Maga az eszközkategória engedélyezhető a kiválasztott klienseknek vagy az eszközazonosítón (device ID), illetve médiumazonosítón (medium ID) alapulva, egy meghatározott eszközre vagy médiumra. A fehérlista lehetőségei a jelentésben elérhető adatoktól függenek. Az eszközkivételek megadásával körültekintően kell eljárni. A döntést nem célszerű csak a felhasználó kérésére alapozni, ha lehetséges, akkor hozzá kell férni ahhoz a médiumhoz, amelyhez a hozzáférést igényelték, és meg kell győződni róla, hogy arra csakugyan szükség van. A kivételek hozzáadásakor, amikor csak lehetséges, a hardverkivételekkel szemben a médiumkivételek használatára kell törekedni. Ez csökkenti az eszközök nem jogosult használatának kockázatát, ezáltal a kártevőfertőzések lehetőségét.
14.3
Webes tartalom
A vállalati házirendeknek gyakorta része a különböző weboldalak hozzáférésének korlátozása. Számos oka lehet a weboldalak blokkolásának. Az egyik a termelékenység: megakadályozni, hogy a felhasználók olyan weboldalakat látogassanak, amelyek semmilyen kapcsolatban nincsenek a munkájukkal, ezek tipikusan időrabló tevékenységek (online játékok vagy közösségi oldalak), illetve olyan weboldalakat is célszerű tiltani, amelyek illegális vagy nem megfelelő tartalommal bírnak. A fájlmegosztással foglalkozó, a felnőtt-tartalmú vagy a hacker információs oldalak lényegében semmilyen esetben nem kapcsolódnak a munkához. Az ilyen weboldalak gyakran az internet sötét oldalán találhatóak, ahol kártevők vagy feltört reklámhálózatok megpróbálhatják megfertőzni a látogató számítógépét. Mielőtt bármilyen, a „HÁZIRENDKEZELŐ” (POLICYMANAGER) „WEBES TARTALOMVEZÉRLÉS” (WEB CONTENT CONTROL) részében foglalt kategória letiltásra kerülne, célszerű összeállítani egy a lényeges weboldalakat tartalmazó leltárt, így biztosítva, hogy semmilyen létfontosságú oldal nem kerül véletlenül blokkolásra. Ezeket hozzá kell adni a „GLOBÁLIS FEHÉRLISTÁHOZ” (GLOBAL WHITELIST), mielőtt bármilyen házirend bevezetésre kerülne. Ha szükséges bármilyen weboldal név szerinti blokkolása, akkor azok hozzáadhatóak a „GLOBÁLIS FEKETELISTÁHOZ” (GLOBAL BLACKLIST).
: G Data Administrator, Házirendkezelő (PolicyManager), Webes tartalomvezérlés Az előre meghatározott weboldal-kategóriák blokkolásával idő és munka spórolható meg. Számos elérhető kategória létezik, tartalom szerint csoportosítva. Minden egyes kategória egy listát tartalmaz a feketelistás URL-ekről, amelyek tiltva lesznek. Minden egyes hálózati zónánál az adminisztrátornak el kell döntenie, hogy mely weboldal-kategóriák kerüljenek blokkolásra. Minimálisan ajánlott legalább az illegális oldalak blokkolása (a helyi törvényeknek megfelelően, ebbe a kategóriába tartozhatnak a különböző bűnözéssel, kábítószerekkel, fájlmegosztással, szerencsejátékkal vagy hackeléssel foglalkozó oldalak). A hálózati házirendektől, illetve az adminisztrátor szándékától függően bizonyos egyéb kategóriák engedélyezhetőek (a termelékenységet szem előtt tartva, úgymint: blogok, csevegőoldalak vagy közösségi hálózatok). A nem megfelelő tartalmak a kategóriák segítségével tilthatóak, például: felnőtt-tartalom (adult content), gyűlöletkeltés (hate) vagy meztelenség (nudity). A „KLIENSKEZELŐ TERÜLETEN” (CLIENT MANAGEMENT AREA) a megfelelő kliens vagy csoport kiválasztásával megadhatóak a blokkolni kívánt kategóriák. Ha a jelölőnégyzet a kategória neve előtt be van jelölve, akkor a hozzáférés az abba tartozó weboldalakhoz engedélyezett. A hozzáférés tiltásához törölni kell a bejelölést a kategória elől. A kategóriák bárhogyan kombinálhatóak. Mivel a kategóriák nagyon széles körű területet fednek le, nem ajánlott egyszerre, az összeset engedélyezve tiltani a hozzáférést, mert az nagyban megnehezíti a weboldalak elérését. Az adminisztrátoroknak célszerű egy meghatározott összeállítást használni, amely a felhasználók által látogatható, illetve nem látogatható weboldalakon alapszik. A kategórialista kiegészítéseként az oldalak a „GLOBÁLIS FEHÉRLISTA” (GLOBAL WHITELIST) és a „GLOBÁLIS FEKETELISTA” (GLOBAL BLACKLIST) használatával is engedélyezhetőek, illetve blokkolhatóak. A globális fehérlista használatával, a kategóriakiválasztásoktól függetlenül, meghatározhatóak látogatható weboldalak. Ennek megfelelően a globális feketelistával akkor is blokkolhatóak weboldalak, ha azok nincsenek valamilyen érvényben lévő kategóriában tiltva. A globális fehér- és feketelista az egész hálózatra érvényes, így az adminisztrátor gyorsan meghatározhat kivételeket az összes kliens számára. Például a vállalat weboldala vagy az egyéb, a munkához elengedhetetlen weboldalak hozzáadhatóak a fehérlistához.
A webes tartalomkezelés a HTTP forgalom-ellenőrző rétegen alapszik (lásd 8.1. fejezet). Ez azt jelenti, hogy az internetes forgalom feldolgozásának minden olyan kliensen bekapcsolva kell lennie, amelyen a webes tartalomvezérlés aktív. A „KLIENSBEÁLLÍTÁSOK” (CLIENT SETTINGS) modul „WEB/AZONNALI ÜZENETKÜLDŐK” (WEB/IM) fülén engedélyezhető az „INTERNETES FORGALOM FELDOLGOZÁSA (HTTP)” (PROCESS INTERNET TRAFFIC [HTTP]) lehetőség. Amennyiben a kliens proxyszervert használ, az szintén ugyanezen a fülön engedélyezhető. Amikor a felhasználó kérést intéz egy URL irányába a böngészőben, a G Data Security Client a G Data központi URL listájában ellenőrzi azt, hogy lekérje a kategóriáját. Amennyiben a kategória blokkolva van vagy az adott oldal globális feketelistán van, a kérés visszautasításra kerül, és az oldal nem jelenik meg. Abban az esetben, ha késleltetési probléma áll fenn, és a kategórialekérdezés 1000 milliszekundumon belül nem jár eredménnyel, a weboldal betöltődik. Ha az „A FELHASZNÁLÓ JELENTHETI A BLOKKOLT WEBTARTALMAT” (THE USER CAN REPORT BLOCKED WEB CONTENT) ki van választva, megjelenik egy felugró ablak. A felhasználó kérvényezheti a hozzáférést az adott weboldalhoz, amely egy jelentést hoz létre a „JELENTÉSEK” (REPORTS) modulban. Az adminisztrátor ezt követően hozzáférést biztosíthat a teljes kategóriához (bármelyik kliens vagy csoport számára), vagy hozzáadhatja a weboldalt a globális fehérlistához.
14.4
Internethasználati idő
A negyedik és egyben legutolsó Házirendkezelő (PolicyManager) modul nem az internetes tartalom szűrésére fókuszál, hanem annak teljes tiltására, amelyhez tartozik egy házirend és egy biztonsági komponens. Házirend-megközelítésben az adminisztrátor korlátozhatja az internetelérést a nap meghatározott időszakára, egy maximális időtartamra, vagy akár teljes mértékben blokkolhatja is azt. Azok a felhasználók, akiknek nincs szükségük internetelérésre, így jobban a feladatukra tudnak koncentrálni, vagy például engedélyezhető nekik, hogy csak az ebédszünet alkalmával férhessenek hozzá az internethez. Ezen felül az internet-hozzáférés korlátozása növelheti a biztonságot is, mivel így csökken az az időszak, ami alatt ez a támadási vektor elérhető. Ugyanakkor körültekintően kell dönteni, hogy ezt a lehetőséget milyen esetekben használjuk, mert az internet-hozzáférés blokkolása komolyan korlátozza az olyan munkafolyamatokat, amelyek az információszerzésen vagy azok publikálásán alapulnak. A „HÁZIRENDKEZELŐ” (POLICYMANAGER) „INTERNETHASZNÁLATI IDŐ” (INTERNET USAGE TIME) panelján két fontos komponens található. A bal oldalon található rácsháló mutatja, hogy a hét mely napjain és azon belül milyen időszakban van az internetelérés engedélyezve vagy korlátozva. Az időrács használatával számos beállítás eszközölhető. A fogd és vidd módszerrel vagy a Ctrl + Klikk, vagy Shift + Klikk kombinációkkal egyszerre több cella is kiválasztható. Jobb egérgombbal lehet váltani az internetelérés engedélyezése és tiltása között, azokra az időcellákra. Például ha biztosítani akarja, hogy csak az ebédidő alatt legyen elérhető az internet, válassza ki az összes időcellát (Ctrl + A), majd válassza a „BLOKKOLÁS” (BLOCK TIME) lehetőséget. Ezt követően válassza ki az ebédszünet időszakát, majd válassza az „ENGEDÉLYEZÉS” (ALLOW TIME) lehetőséget. Ha a felhasználó egy olyan időpontban akar elérni egy weboldalt, amikor az internet-hozzáférés blokkolva van, egy figyelmeztető lap jelenik meg a böngészőjében. Figyelem, az internethozzáférés korlátozása a helyi idő átállításával megkerülhető, ezért ajánlott egy csoportházirend objektummal megtiltani a felhasználóknak a helyi idő átállítását.
: G Data Administrator, Házirendkezelő (PolicyManager), Internethasználati idő A jobb oldalon található csúszkákkal meghatározható a napi, heti vagy havi használati limit. Ezek a korlátozások külön és az időrács kiegészítéseként is használhatóak. A csúszkák az „INTERNETHASZNÁLATI IDŐ FELÜGYELETE” (MONITOR INTERNET USAGE TIME) bejelölésével, majd a maximális internethasználati idő megadásával engedélyezhetőek. Alapértelmezettként az internet-hozzáférés mindig elérhető: 30 nap/hónap, 7 nap/hét, 24 óra/nap. A csúszkák állításával ez a mennyiség csökkenthető. Alternatív megoldásként az idő manuálisan is megadható. Például a hét (week) mezőben a 04 20:05 értéket megadva, az megfelel 4 nap, 20 óra és 5 perc engedélyezett internethasználati időnek. Miután az internethasználatra engedélyezett idő egy bizonyos időtartamban lejár, a felhasználónál egy figyelmeztető oldal fog megjelenni a böngészőben, ha megpróbál megnyitni egy weboldalt. Ha az időbejegyzések között ütközés van, az alacsonyabb mennyiségű idő lesz figyelembe véve. Például, ha az internethasználati limit havi 4 napban van megadva, de a heti limit 5 nap, a program automatikusan a 4 napos korlátot veszi figyelembe.
15.
Javítások kezelése (Patch management)
A javításokkal (patch) gyakran az olyan biztonsági réseket orvosolják, amin keresztül a támadók hozzáférhetnek a rendszerhez, és futtathatják a programjaikat. A biztonsági vészhelyzetekre reagálva létfontosságú a javítások gyors telepítése. Nehezítő tényező, hogy a javítások kiadásával automatikusan arra ösztönzik a hackereket, hogy minél hamarabb kihasználják az érintett biztonsági rést, mivel a javítások kiadása mellett általában az érintett sebezhető részt is nyilvánosságra hozzák. A javítófájlok visszafejtésével (reverse-engineering) a támadók hozzáférhetnek a hatékony támadáshoz szükséges információhoz. Ez még további nyomást helyez az adminisztrátorokra, hogy mihamarabb eszközöljék a javítást a rendszereken. A javítások kezelése (patch management) segít felgyorsítani a javítások bevezetését, továbbá növeli a teljes folyamat hatékonyságát a javítástelepítés koordinálásával és egységesítésével. Ha a javítások nincsenek telepítve, a rendszer sebezhető marad. A támadók, akik kihasználják a programok hibáit, a biztonsági rés komolyságától függően hozzáférhetnek a számítógépen tárolt fájlokhoz, futtathatnak programokat, átvehetik az irányítást egyéb, a hálózaton található számítógépek felett. A hackerek puszta jelenléte a vállalati hálózaton veszélyeztetheti az adatok sértetlenségét, illetve ha egy vagy több rendszer helyrehozhatatlanul megsérül, az adatvesztéshez vezethet. Emellett további károkat is okozhat: kritikus rendszerek leállása, szellemi tulajdon károsítása/lopása, hírnév, tekintély rombolása, illetve magas ügyvédi, jogi költségek, ha az ügyfelek adatai károsodnak/elvesznek. A szabványosított javítási folyamatok segítenek megelőzni, hogy a hackerek kihasználhassák a programhibákat, ugyanakkor a javítások kezelése (patch management) nem csupán az egyetlen bevezethető intézkedés. Függetlenül attól, hogy egy programhoz az összes javítás telepítve van, a hackerek tudatában lehetnek még fel nem fedezett hibáknak. Az üzleti hálózatokat és klienseket, kliensszinten, mindig védeni kell; biztonsági termékekkel, olyan intézkedések biztosításával, mint szignatúra alapú kártevő-felismerés, heurisztikus keresés, fájlreputáció-kezelés, illetve hálózati szintű védelem.
15.1
Javításkezelési ciklus (Patch management cycle)
A javítások kezelése minden számítógép számára fontos, legyen az akár otthoni eszköz vagy egy vállalati munkaállomás. Az elérhető új biztonsági frissítéseket folyamatosan figyelemmel kell kísérni, és a javításokat, amint lehet, telepíteni kell. Mindazonáltal a javítások kezelése és telepítése leginkább lépték kérdése. Az otthoni felhasználók számára a Microsoft beépített Windows Update szolgáltatása teljesen automatikus módon biztosítja a javításokat a Windows számára, továbbá több gyártó a teljesen nyílt, automatikus frissítések felé mozdul (például az Adobe az Adobe Reader vagy az Adobe Flash Player programokkal, vagy ugyanígy a böngészők, mint a Mozilla Firefox vagy Google Chrome). Ezeket rendszeresen figyelik egyéb programok automatikus frissítései is. A technikai felfogású felhasználók választhatnak különféle kereskedelmi frissítésfigyelő alkalmazásokat, így biztosítva azt, hogy egyetlen frissítésről sem maradnak le13. Ennek ellenére az otthoni számítógépek a legkevésbé biztonságos eszközök közé
13 Számos kereskedelmi csoport kínál frissítéskezelő alkalmazásokat, akár otthoni, akár kisvállalati felhasználóknak. Némelyikük csak figyelmeztető szolgáltatást nyújt, míg mások valamelyest hasonlítanak a javításkezelési megoldásokra. Az egyik ilyen például az UpdateStar (www.updatestar.com).
tartoznak, leginkább a felhasználó hanyagsága vagy a javítások telepítésének elodázása miatt. A telepített programok áttekintésének összetettsége, a biztonsági rések, illetve a javítások figyelemmel kísérése már önmagában túlzottan megterhelő az egyszerű felhasználók számára, nem beszélve azokról az adminisztrátorokról, akik akár egy többezres kliensszámú üzleti hálózatot üzemeltetnek. Ilyen esetben segíthet az egységesített, ismétlődő javításkezelés a programok és sebezhetőségeik leltárának létrehozásához szükséges idő csökkentésével, illetve a javítások automatikus bevezetésével. Egy hatékony javításkezelési folyamat átláthatóvá teszi az összefüggéseket, nyomon követi az összes változtatást, visszavonási lehetőséget biztosít, alaposan teszteli a tervezett változtatásokat, és közzéteszi a változtatásokat az összes érintett fél számára.
: Javításkezelési ciklus A javításkezelési ciklus több szakaszra bontható. Vegye figyelembe, hogy ez egy ciklus, nem egy eseményvezérelt folyamat. A javításokat proaktívan kell bevezetni, ezáltal a javításkezelést is proaktívan kell megvalósítani. A ciklikus folyamat minden egyes lépését pontosan meg kell határozni, illetve hozzárendelni valakihez. A szükségleteknek és a kívánalmaknak megfelelően a vállalatok összevonhatnak bizonyos szakaszokat, ugyanarra a személyre bízva a feladatot, vagy akár újabb műveleti pontokat is bevezethetnek. A meglévő változás és közzététel-kezelési szabványok (részben) integrálhatóak. A folyamat bizonyos lépései automatizálhatóak (leginkább a javítások bevezetése), ugyanakkor számos kulcsműveletet minden egyes ciklusnál manuálisan kell végrehajtani. A folyamat optimalizálásához a tervezés létfontosságú.14 A javításkezelési ciklus körforgásának mértéke függ a rendelkezésére álló erőforrásoktól, továbbá a hálózaton használatban lévő programokhoz kiadott javítások gyakoriságától. A Microsoft az elérhető javítások egyik legnagyobb forrása, ahol a Windows operációs rendszert rendszeresen, havonta ellátják a legfrissebb biztonsági vagy fejlesztési javításokkal. Néhány egyéb gyártó szintén a Microsofthoz igazítja a frissítési ciklusait (a legismertebb az Adobe; az Adobe Reader és a Flash Player az egyik legszélesebb körben telepített alkalmazás).15 Ezeket az 14 A 15.2 fejezet tárgyalja a javításkezelési ciklusok különböző lépéseit a G Data Javításkezelő (PatchManager) használatával. A különböző lépések elméleti áttekintéséhez tekintse meg a G Data TechPaper #0271 – „Javításkezelés, legjobb gyakorlatok” (Patch Management Best Practices) részét.
15 Az Adobe negyedévente, illetve soron kívül is megjelentet frissítéseket az Acrobat és a Reader termékeihez
előre meghatározott javítási ciklusokat valamilyen fix dátumra időzítik, ebben az esetben a Microsoft és az Adobe a hónap minden második keddjére. Ennek segítségével az adminisztrátorok egy ismétlődő, megbízható tervet készíthetnek a frissítések minden hónapban való bevezetésére. Egyéb gyártók kevésbé gyakran adnak ki frissítéseket, például a széles körben használt Java platformhoz minden harmadik, negyedik hónapban ad ki az Oracle biztonsági javítócsomagokat.16 Néhány gyártó, ahányszor csak kritikus hiba merül fel, azonnal ad ki javításokat. A javításkezelés tervezésekor ennek a gyors reagálási időnek ára van: némi időt vehet igénybe egy véletlenszerű időpontban kiadott javítás tesztelése és bevezetése. Másfelől a rögzített javításkiadás okozhat bizonyos biztonsági problémát, mivel egy felmerülő hiba a következő rögzített javításkiadási dátumig nem kerül kijavításra.
15.2
Szabványosított javítási házirend
A javításkezelési ciklus havi lépéseinek megtervezése, illetve a feladatok kiosztása előtt szükség van néhány szabvány meghatározására. A javításkezelési házirend segít a döntéshozatalokban a ciklus folyamán. A házirendnek le kell fednie a javítási stratégiával kapcsolatos kérdéseket: Az összes javítást telepíteni kell alapértelmezettként, vagy osztályozni kell azokat az orvosolt biztonsági rések súlyossága szerint? A javítások proaktívan (a lehetséges biztonsági rések befoltozására), vagy reaktívan (probléma felmerülése esetén), vagy a kettő kombinációjaként legyenek telepítve? Annak érdekében, hogy megspórolja azt az időt, ami minden egyes javításnál felmerülő döntéshozatalhoz szükséges, ajánlott annyi általános szabály meghatározása, amennyi csak lehetséges. Ugyanakkor minden egyes elérhető javítás telepítése sem megoldás: a hálózati és rendszerterhelés, illetve a kompatibilitási problémák elkerüléséhez megfontolt döntéseket kell hozni. A javításkezelési ciklus egyéb paraméterektől is függ, úgymint: telepítési szabványok, hálózati szabványok és alkalmazásbiztonsági beállítások. Habár minden egyes ciklus magában foglalja egy leltár létrehozását a hálózat aktuális állapotáról, a szükséges befektetett munka lényegesen csökkenthető, ha a hálózati környezet szabvány szerint épül fel, meghatározva, hogy milyen alkalmazások telepítése engedélyezett, illetve melyik számítógép milyen programokkal van ellátva. A fehér- és feketelisták használatával korlátozható a hálózati programleltár, ezzel nagyban segítve a javítások telepítését. Ugyanez érvényes a biztonsági beállításkora, a felhasználói fiókokra és a jelszavakra is. A házirendek szabványosításával kevesebb hibalehetőséggel lehet számolni a javítások telepítésekor. Mindamellett továbbra is hasznos lehet az esetleges hibák előfordulásának esetére az átvállalandó műveletek meghatározása. Előfordulhat, hogy a javítások telepítése/tesztelése alatt egyes számítógépek elérhetetlenné válnak, a javítások kompatibilitási problémákat okozhatnak, vagy bizonyos biztonsági problémák nem oldódnak meg maradéktalanul a javítások telepítése után. A javítások gyors újratelepítését, az alkalmazások beállításának megváltoztatását, illetve az incidensek eszkalálódását célszerű a javításkezelési házirend részeként meghatározni. Fontos szempont az új számítógépek telepítése a vállalati hálózaton. A javításkezelés szigorú (helpx.adobe.com/acrobat/release-note/release- notes-acrobat-reader.html). A Flash Player nemrég a gyors kiadási ciklusba lépett (blogs.adobe.com/flashplayer/2012/09/flash-runtime-rapid-release-cycle.html)
16 Lásd: www.oracle.com/technetwork/topics/security/alerts-086861.html.
feltételein túl fontos azoknak az operációsrendszer-lemezképeknek a naprakészen tartása, amelyekről az új számítógépek telepítése történik, mindig ellátva azokat a legutolsó frissítésekkel. Amennyiben elavult, nem naprakész rendszer kerül telepítésre, olyan biztonsági kockázat lép fel, amely csak akkor szűnik meg, ha az adott számítógép a javításkezelési ciklus részévé válik, és a programleltára listázásra kerül.
15.3
Javításkezelő (PatchManager)
A „JAVÍTÁSKEZELŐ” (PATCHMANAGER) egy opcionálisan elérhető modul az üzleti (business) és a vállalati (enterprise) termékek felhasználói számára. A már meglévő G Data AntiVirus, ClientSecurity és EndpointProtection modulokkal kombinálva a javításkezelési ciklus mindegyik fázisához elérhető a funkcionális támogatás (lásd 15.1. fejezet).
1. lépés: Leltárfrissítés Fontos, hogy a hálózaton található számítógépek hardver- és szoftverkörnyezetéről leltár készüljön, ami folyamatosan karban van tartva. A javításkezelési ciklus megfelelő támogatásához tisztában kell lenni a vállalati hálózaton található alkalmazásokkal, illetve azok verziószámával. A „KLIENSEK” (CLIENTS) modulban az adminisztrátor hozzáférhet a telepített alkalmazások listájához, minden egyes kliensgépnél. A leltár rendszerezhető a különféle típusú információk kinyerésére. Az alapértelmezett nézetben a kiválasztott kliensen található összes alkalmazás listája látható. A lista tartalmazza a telepítés dátumát, a program gyártóját, illetve a jelenleg telepített verziót. Az elemek gyártó és név szerinti csoportosításával egy gyors áttekintés kapható, amelyen ellenőrizhető, hogy mindegyik kliensgépre a legfrissebb verzió van-e telepítve. Ebben a lépésben ajánlott ellenőrizni, hogy a hálózati klienseken található-e olyan alkalmazás, amely nem képezi részét az általános központi telepítésnek. Az adminisztrátor nem tud tisztában lenni minden egyes létező alkalmazás potenciális biztonsági kockázataival. A programleltár használata segít észrevenni a nem jóváhagyott programtelepítéseket. Az adminisztrátor ezt követően döntést hozhat, hogy az érintett alkalmazás(oka)t hozzáadja a hivatalos központi telepítési listához (fehérlista), vagy eltávolítja azokat és blokkolja a telepítést, illetve a futtatás lehetőségét (feketelista). A G Data EndpointProtection használói a „HÁZIRENDKEZELŐVEL” (POLICYMANAGER) a teljes hálózatra vonatkozó házirendeket vezethetnek be, fehér- vagy feketelistára téve alkalmazásokat a központi telepítés szabályozásához.
: G Data Administrator, Kliensprogramleltár-nézet Nem csak az alkalmazások nyomon követése lényeges, a sikeres központi telepítés bizonyos fizikai előfeltételektől is függ, úgymint hálózati terhelés vagy hardverkiépítések. Az utóbbi a „HARDVER” (HARDWARE) leltározó funkció használatával listázható. Számos jellemző nyomon követhető. Az olyan fizikai jellemzők, mint például a processzor sebessége vagy az elérhető belső memória mennyisége, segít megbecsülni a központi telepítés sebességét. A rendelkezésre álló szabad merevlemez-terület ismeretében elkerülhetőek a javítások bevezetésekor keletkező hibaüzenetek. Továbbá a BIOS, illetve az alaplap firmware verziószámai is nyomon követhetőek, így lehetőség van a legfrissebben kiadott verziókkal való összehasonlításra.
2. lépés: Információgyűjtés A leltár létrehozását követően az adminisztrátornak informálódnia kell a legfrissebb javításokról, hogy azt összehasonlíthassa a meglévő készlettel. A „JAVÍTÁSKEZELŐ” (PATCHMANAGER) modul „JAVÍTÁSBEÁLLÍTÁS” (PATCH CONFIGURATION) fülén számos termék számára listázva vannak az elérhető javítások. Amint valamelyik gyártó kiad egy új javítást, az adatbázis automatikusan frissül. Alapértelmezettként a lista „GYÁRTÓ” (VENDOR), „PRIORITÁS” (PRIORITY) és „TERMÉK” (PRODUCT) szerint van csoportosítva. Ennek segítségével az adminisztrátorok gyorsan utánanézhetnek egy meghatározott termékhez elérhető javításoknak. További információk, illetve gyakran a teljes kiadási jegyzet (release notes) is elérhető, egy javításon jobb egérgombbal kattintva, majd a tulajdonságok (properties) lehetőséget választva.
: G Data Administrator, Javításkezelő (PatchManager), Javítások nézet
3. lépés: Stratégia és tervezés Az adminisztrátorok közvetlenül ellenőrizhetnek egy vagy több javítást, hogy az alkalmas-e valamelyik, a hálózati klienseken használt termékhez. Az alkalmasság ellenőrzéséhez kattintson jobb egérgombbal a javításon, majd válassza a „JAVÍTÁSOK ALKALMASSÁGÁNAK ELLENŐRZÉSE” (CHECK PATCHES FOR APPLICABILITY) lehetőséget, ezzel ütemezve egy „JAVÍTÁSALKALMASSÁGI MUNKAFELADATOT” (PATCH APPLICABILITY JOB) a meghatározott klienseken. Alternatívaként minden egyes, az adatbázishoz újonnan hozzáadott javításra végrehajtható egy automatikus ellenőrzési feladat. A „FELADATOK” (TASKS) modulban hozzon létre egy „JAVÍTÁSALKALMASSÁGI MUNKAFELADATOT” (PATCH APPLICABILITY JOB), amely, ahogy van új, elérhető javítás, azonnal végrehajtódik. A „JAVÍTÁSKEZELŐ” (PATCHMANAGER) ezt követően ellenőrizni fogja az új javítások alkalmasságát az összes meghatározott kliensen. A „JAVÍTÁSKEZELŐ” (PATCHMANAGER) nem telepíti automatikusan a javításokat, így az adminisztrátorok kiválaszthatnak különböző javításokat, és előzetes teszteket hajthatnak végre rajtuk. Az alkalmassági ellenőrzést követően a klienskezelő területen (client management area) válassza ki a megfelelő szervert vagy klienseket, majd nyissa meg a „JAVÍTÁSKEZELŐ” (PATCHMANAGER) „ÁLLAPOTÁTTEKINTÉS” (STATUS OVERVIEW) fülét. Alapértelmezettként a lista „ÁLLAPOT” (STATUS), „PRIORITÁS” (PRIORITY), „GYÁRTÓ” (VENDOR) és „TERMÉK” (PRODUCT) szerint van csoportosítva. Ennek segítségével gyorsan megtalálhatóak az alkalmas, nem alkalmas, illetve a korábban már telepített javítások. A kliensrendszer(ek)re alkalmas javítások azok, amelyeket áttekinteni, tesztelni, majd végül központilag telepíteni kell. A „JAVÍTÁSKEZELŐ” (PATCHMANAGER) minden egyes javításhoz biztosít információkat, amelyek segítenek dönteni abban, hogy egy javítás telepítésre kerüljön-e vagy sem. A „JAVÍTÁSKEZELŐ” (PATCHMANAGER) modul áttekintő listájában láthatóak azok a termékek, amelyekre alkalmazható valamelyik javítás, továbbá megjelenik a kiadási dátuma, a hivatalos címe és a prioritása. Mindegyik javításhoz biztosítva van annak teljes leírása, illetve általában
egy URL a hivatalos kiadási jegyzékhez (release notes). Ezek az információk segítenek az adminisztrátornak annak eldöntésében, hogy egy adott sebezhetőség mennyire veszélyes, és milyen gyorsan kell a javítást központilag telepíteni. Azokat a javításokat, amelyek magasabb veszélyességi rátába esnek, magasabb prioritással kell telepíteni, mint a nem kritikus javításokat. Ugyanakkor a hálózaton használt alkalmazások közül nem mindegyik egyformán fontos, a kritikus alkalmazásokhoz tartozó javításokat mindig a kevésbé kritikus alkalmazások javításait megelőzően kell telepíteni. Ez az a pont, ahol lényeges a javításkezelési házirend, annak érdekében, hogy gyorsan eldönthető legyen, hogy mely javítások és milyen sorrendben legyenek telepítve (lásd 15.2. fejezet). Fontos újra megjegyezni, hogy nem feltétlenül szükséges minden egyes javítás telepítése alapértelmezettként. A javításkezelés automatizálásának nem az a lényege, hogy kivegye a döntéshozást az egyenletből, hanem hogy elegendő részletet biztosítson a megalapozott döntéshez, illetve hogy leegyszerűsítse a központi telepítés folyamatát. A „ JAVÍTÁSKEZELŐ” (PATCHMANAGER) annyi információt biztosít, amennyit csak lehetséges, de a javítások tesztelésével és a végső központi telepítéssel kapcsolatos döntések mindig az adminisztrátortól függenek.
4. lépés: Tesztelés Miután megszületett a döntés egy adott javítás központi telepítéséről, megkezdődhet a tesztelési folyamat. A lehetséges problémák felderítésének érdekében a javítások tesztelését ajánlott egy olyan számítógépszetten végezni, amelyek hasonlóak az aktuálisan használt kliensekhez, anélkül, hogy a ténylegesen használt klienseket megzavarnánk, ugyanakkor nem mindegyik adminisztrátor fér hozzá elég géphez, hogy felépíthesse a hálózat kicsinyített mását.
: G Data Administrator, Feladatok, Szoftverszétosztási munkafeladat (Software distribution job) (Teszt) Az ajánlott eljárás a virtualizáció. Ha valóban nem létezik más megoldás, akkor a hálózat egy nem létfontosságú része használható ilyen célokra. Ebben az esetben a G Data Administrator használatával a tesztkörnyezet egy vagy több csoportba rendezhető. A telepítés felügyelésére, illetve a hatások ellenőrzésére a javítások központilag telepíthetőek egy vagy több csoportba tartozó kliensekre.
Ideális esetben a tesztkörnyezetben minden lehetséges klienskonfiguráció megtalálható, ami csak előfordul a hálózaton. A különféle hibák, illetve kivételek csak abban az esetben tárhatóak fel, ha a tesztkörnyezet, amennyire csak lehet, megközelíti a tényleges, valós hálózaton történő központi telepítés módját. Ez azt jelenti, hogy egyszerre több fizikai PC, valamelyik hálózati kliensszerepkörnek megfelelő konfigurációval. Bizonyos problémák adódhatnak, ha olyan számítógéphez próbáljuk megtervezni a javítási tesztet, amelyik valamilyen központi szerepkört lát el a hálózaton, mint például a szerverek. Rendívül nehéz egy megfelelő tesztkörnyezet kialakítása, amely a hálózati konfiguráció minden egyes aspektusát figyelembe veszi. Az egyik lehetőség a virtuális tesztkörnyezet kialakítása, virtuális kliensekkel és egy vagy több szerverrel. Ezek megfelelnek a szoftveres, illetve a beállítási problémák ellenőrzésére, ugyanakkor a javítások telepítését fizikai szemszögből (például: sávszélesség, szabad merevlemez-terület) virtuális környezetben nem lehet megfelelően tesztelni. Alternatív megoldásként a tényleges hálózat valamely nem létfontosságú részét ki lehet nevezni tesztkörnyezetnek, így az adminisztrátorok egy nagyon valós környezetben tesztelhetik a javításokat. Ugyanakkor emellett megnövekszik a problémák kockázata, lévén ez a folyamat vegyíti a tesztelési folyamatot a központi telepítési folyamattal. A teszteléshez használt számítógépek elkülönítése a többi klienstől nagyon hamar bonyolulttá tud válni. Egy vagy több javítás valamelyik tesztcsoportra telepítéséhez válassza ki a csoportot a KLIENSKEZELŐ TERÜLETEN (CLIENT MANAGEMENT AREA). Nyissa meg a „FELADATOK” (TASKS) modult, majd hozzon létre egy új „SZOFTVERSZÉTOSZTÓ MUNKAFELADATOT” (SOFTWARE DISTRIBUTION JOB). Válassza ki a szétosztani kívánt javításokat, majd adja meg a feladat lefuttatásának idejét. A javítás kiválasztása megkönnyíthető a javítások listájának „GYÁRTÓ” (VENDOR) vagy „TERMÉK” (PRODUCT) szerinti csoportosításával. Ismételje meg ezt a folyamatot mindegyik alkalmas javítással, mindegyik alkalmas tesztcsoporton. Ajánlott rendszerenként egyszerre csak egy javítás tesztelése, így észrevehetőek egy adott javítás által okozott esetleges problémák. A tesztelési, illetve a központi telepítést követő ellenőrzési fázis alatt is a „JELENTÉSKEZELŐ” (REPORTMANAGER) modul segítségével követhető a települő javítások állapota, illetve megtudható, hogy potenciálisan mely számítógépek generálnak hibákat (lásd 6.3. fejezet). A „JELENTÉSKEZELŐBEN” (REPORTMANAGER) az adminisztrátor egy jelentésbe egyszerre több modult is kombinálhat. Ennek „JAVÍTÁSKEZELŐ” (PATCHMANAGER) kategóriája számos hasznos lehetőséget biztosít, úgymint: a leggyakrabban nem telepített javítások, vagy nem végrehajtott szoftverszétosztási munkafeladattal rendelkező számítógépek (ami telepítési problémákra utalhat), vagy leggyakrabban javításokat igénylő/visszautasító számítógépek (utólagos elemzésre). A „JELENTÉSKEZELŐ” (REPORTMANAGER) modul kiegészítéseként a javítások tesztelésének állapota magában a „FELADATOK” (TASKS) modulban is megtalálható. A jelentések állapotában megtekintéséhez nyissa meg a vonatkozó feladatot, és nézze meg a részletezését. Ha úgy tűnik, hogy egy javítás nem települt fel sikeresen, nyissa meg a „SZOFTVER” (SOFTWARE) -leltárt ehhez a klienshez az újbóli ellenőrzéshez. Ha a javítás nem telepíthető, akkor ellenőrizze a helyszínen a rendszert, és próbálja meg manuálisan a javítás telepítését. Amennyiben valamilyen javítás problémákat okoz a tesztelési fázisban, azt soha nem ajánlott automatikusan központilag telepíteni nagyobb méretekben.
5. lépés: Ütemezés és értékelés A tesztelési szakasz befejezése után megtervezhető a tényleges központi telepítés. Az összes alkalmas javítás meghatározása és tesztelése után beállítható az ütemezés. A javításkezelő házirend használatával eldönthető, hogy a javítások milyen sorrendben legyenek telepítve, illetve először mely számítógépekre vagy csoportokra. A „KLIENSEK” (CLIENTS) modul „ÜZENETEK” (MESSAGES) funkció használatával a kliensek értesíthetőek a javítások ütemezéséről, és figyelmeztetni lehet őket a számítógép újraindításának esetleges szükségességére.
6. lépés: Javítások központi telepítése A megfelelően tesztelt javításokhoz létrehozható egy „SZOFTVERSZÉTOSZTÁSI MUNKAFELADAT” (SOFTWARE DISTRIBUTION JOB), amely a „FELADATOK” (TASKS) modul használatával ütemezhető, a megfelelő javításokkal, a megfelelő kliensek számára. Annak érdekében, hogy elkerülje az ütközést a felhasználók munkafolyamatával, ajánlott a javítások telepítését egy meghatározott időre, vagy közvetlenül a következő gépújraindítás vagy bejelentkezés utánra ütemezni. Az opcionális késleltetéssel (delay) elkerülhető, hogy a telepítés egyéb, rendszerintenzív folyamatok futásával egy időben történjen.
: G Data Administrator, Feladatok, Szoftverszétosztási munkafeladat (Központi telepítés)
7. lépés: Ellenőrzés és jelentés A javítások központi telepítésének ellenőrzésében és kiértékelésében a leltáreszközök nagy segítséget nyújtanak. Továbbá a Javításkezelő (PatchManager) modullal lehetőség van a közvetlen felhasználói visszajelzésre. Ha az adminisztrátor engedélyezi a kapcsolódó beállítást, a felhasználók kérhetik a javítások visszaállítását kompatibilitási vagy teljesítményt érintő problémák miatt. A felhasználó kérheti az olyan javításokat, amelyek megfelelőek a rendszer számára, de még nem lettek telepítve, vagy egyáltalán nem is volt tervezve a telepítésük, abban
az esetben, ha valamelyik terméknél sürgősen szükség van a javítás telepítésére. A szétosztási és visszavonási kérésrendszer közvetlenül integrálódik a „JAVÍTÁSKEZELŐ” (PATCHMANAGER) modullal, az adminisztrátorok a „JELENTÉSEK” (REPORTS) modulból közvetlenül hozhatnak létre szétosztási vagy visszavonási munkafeladatokat. Vegyük a következő példát: egy felhasználó nem tudja tovább használni az 1-es számú alkalmazást, és vár a javítás központi telepítésére. A tesztelési fázis alatt az adminisztrátor kompatibilitási problémákat tapasztal a 2-es számú alkalmazással kapcsolatban, és úgy dönt, hogy a javítást nem telepíti a hálózatra. A felhasználó nem használja a 2-es számú alkalmazás érintett szolgáltatását, és úgy dönt, hogy az 1-es alkalmazáshoz tartozó javítást mindenképpen telepíteni kell. A kétirányú javításszétosztáson keresztül a felhasználó kérheti a javítás telepítését. A kérés elfogadásakor a javítás szétosztása a normál központi telepítési eljárásnak megfelelően fog megtörténni.
16.
Levelezőszerver-biztonság
Ahhoz, hogy elkerüljük, hogy a felhasználók eszközeit (például asztali számítógép, okostelefon) megfertőzzék a kártevők, nem elegendő pusztán ezen végpontok védelme. Egyéb hálózati komponensek védelme is szükséges annak érdekében, hogy a fenyegetések egy korai stádiumban kiszűrésre kerüljenek. Ennek a rétegezett biztonságnak egyik fontos építőköve a levelezőszervervédelem. Az összes bejövő és kimenő levél kártevő-ellenőrzésével és a kéretlen levelek keresésével biztosítható, hogy azok soha nem érik el a célállomásukat. A levelezőszerver-védelem telepítésének módja a levelezőszerver aktuális beállításától függ. Az olyan vállalatok számára is, amelyek nem használnak helyi levelezőszervert, ajánlott az összes emailt ellenőrizni. A MailSecurityt átjáróként (gateway) telepítve összegyűjti az e-mail üzeneteket egy külső POP3 szerverről, majd ellenőrzi azokat, mielőtt továbbítja a felhasználók felé. A helyi levelezőszerverek lefedhetőek a MailSecurity átjáróként való telepítésével, magára a levelezőszerverre vagy egy különálló, dedikált MailSecurity átjárószerverre (gateway server) telepítve. Microsoft Exchange 2007 SP1, 2010 vagy 2013 használata estén telepítse a MailSecurity Exchange beépülőjét. A 4.2.4. fejezet részletes információkkal szolgál a különféle telepítési típusokkal és magával a telepítési folyamattal kapcsolatban.
16.1
Exchange beépülő
A MailSecurity Exchange beépülője kiegészíti az Exchange munkafolyamatokat. Szorosan integrálódik a szerverrel, láthatatlan kártevővédelmet biztosít bármilyen észrevehető késedelem vagy szükséges felhasználói beavatkozás nélkül. Minden objektumot ellenőriz, és csak azokat engedi tovább, amelyek biztosan kártevőmentesek. A beépülő telepítése a megszokott központi telepítésnek megfelelően történik. Az Exchange beépülő az Exchange szerverre települ, és egy ManagementServer felé tesz jelentést. Ez lehet már meglévő, hálózati ManagementServer vagy az Exchange beépülő mellé telepített. Az Exchange beépülő a G Data Administrator klienskezelő területén (client management area) válik elérhetővé, kiválasztva egy kiegészítő fülkészlet jelenik meg. A „FELADATOK” (TASKS), „JELENTÉSEK” (REPORTS) és a „STATISZTIKÁK” (STATISTICS) fülek funkcionalitása a normál klienskezelő hasonmásuknak megfelelő. Az „EXCHANGE BEÁLLÍTÁSOK” (EXCHANGE SETTINGS) fülön ellenőrizhető az állapotinformáció, illetve megadhatóak a kártevőellenőrzési beállítások. Az állapotinformáció magában foglalja a motor és a beépülő verziószámát, és az utolsó hozzáférés dátumát. A menüsoron lévő „FRISSÍTÉS” (REFRESH) gombbal frissíthető az állapotinformáció, továbbá az itt található gombokkal engedélyezhető a vírusszignatúra és a keresőmotor fájljainak automatikus frissítése. Ezt engedélyezve, az Exchange beépülő, valahányszor csatlakozik a ManagementServerhez, frissíti magát (ez az intervallum A „SZERVERBEÁLLÍTÁSOK” > „SZINKRONIZÁCIÓ” [SERVER SETTINGS > SYNCHRONIZATION] alatt megadható). Manuális frissítés indítása bármikor lehetséges.
16.1.1 On-access ellenőrzés Többféle típusú ellenőrzés állítható be a MailSecurityben az Exchange számára. A legfontosabb ezek közül az on-access ellenőrzés. A G Data Security Client fájlrendszervédelméhez (file system monitor) hasonlóan az on-access ellenőrzés minden aktivitást figyel az Exchange szerveren. Ha egy kliens megpróbál hozzáférni egy e-mailhez, csatolmányhoz vagy egyéb objektumhoz, az
azonnal ellenőrizve lesz, és csak akkor lesz engedélyezve a művelet, ha az teljes mértékben kártevőmentes. A „VIZSGÁLATI BEÁLLÍTÁSOK” (SCAN SETTINGS) alatt lévő „EXCHANGE BEÁLLÍTÁSOK” (EXCHANGE SETTINGS) fülön találhatóak az on-access ellenőrzés beállításai. A keresés egy vagy két víruskereső motor használatával történhet. A két víruskereső motor egyidejű használatával optimális biztonság érhető el, egyben ez az ajánlott beállítás is. Ugyanakkor, ha az ellenőrzés teljesítménye nem az elvártnak megfelelő, akkor az egyik keresőmotor kikapcsolható. Így még mindig nagyon jó felismerési arány érhető el, ugyanakkor növekszik a teljesítmény. Az ellenőrzési teljesítmény tovább befolyásolható az ellenőrizendő fájltípusok megadásával. A legbiztonságosabb beállítás az összes fájl ellenőrzése, de ez több időt vesz igénybe, mint egy korlátozott ellenőrzés. A korlátozott keresés csak azokat a fájltípusokat érinti, amelyek leginkább hajlamosak a kártevőfertőzésre, mint a programfájlok és a dokumentumok.
: G Data Administrator, Exchange beállítások A heurisztikával, amely a kártevők tipikus karakterisztikáját analizálja, tovább növelhető a felismerési arány. Ez minimálisan megnöveli az esélyt a hamis találatokra, ugyanakkor nagyban növeli a kártevő-felismerést. A tömörítvények ellenőrzésével azok a kártevők is megtalálhatóak, amelyek valamilyen tömörítvényben rejtőznek. Ez megnöveli az ellenőrzési időt, továbbá, ha valamilyen kártevő található egy tömörítvényben, akkor az egész tömörítvény a karanténba kerül vagy törölve lesz. Ez a lehetőség kikapcsolható, ha mindegyik kliens használja a fájlrendszervédelmet (file system monitor), mivel az a tömörítvények kicsomagolásakor észleli a kártevőket. Kártevőtalálat esetén számos művelet hajtható végre. Az ajánlott beállítás a kártevő eltávolítása a fájlból, amennyiben ez sikertelen, akkor a fájl karanténba mozgatása. Ez, amennyire csak lehet, megakadályozza az adatvesztést, mialatt biztosítja, hogy a kártevő képtelen legyen futni. Egy kártevő blokkolása esetén a „JELENTÉSEK” (REPOTS) modulban megjelenik egy jelentés, amely lehetőséget biztosít a karanténozott fájl megvizsgálására. Alternatív megoldásként a MailSecurity le tudja törölni a csatolmányt vagy a teljes üzenetet, illetve naplózhatja az eseményeket, a
fenyegetés blokkolása nélkül. A fertőzött objektum azonnali törlése a legbiztonságosabb megoldás, ugyanakkor ez hamis találat esetén adatvesztést okozhat. A fenyegetések csak naplózása nem ajánlott, mivel ez figyelmen kívül hagy bármilyen felismert kártevőt, engedélyezve az Exchange és a kliensei számára a hozzáférést, illetve az esetleges futtatást. Habár egy jelentés bekerül a „JELENTÉSEK” (REPORTS) modulba, amellyel az adminisztrátor manuálisan végrehajthat műveleteket, azon időtartam alatt, amely a jelentés és a műveletek végrehajtása között van, a fertőzés potenciálisan továbbterjedhet.
Víruskeresés (on-demand scan) Az on-access ellenőrzés kiegészítéseként a „FELADATOK” (TASKS) modulban lehetőség van sima (egyszeri), illetve ismétlődő víruskeresés ütemezésére, amely a kliens víruskereső munkafeladatokhoz hasonlóan működik. A beállításai is azonosak a víruskereső munkafeladattal, kivéve azokat, amelyek nem vonatkoznak az Exchange objektumokra. A fájlrendszer-vizsgálati terület (scan scope) megadása helyett az Exchange keresési munkafeladat meghatározott postafiókokon működik. Ahogy a fájlrendszert érintő víruskereséseknél is, ajánlott a szerveren rendszeresen az összes objektum ellenőrzése. Ez egy hetente (weekly), kéthetente (biweekly) vagy havonta (monthly) futó keresési munkafeladattal megoldható. A teljes keresési munkafeladat rendkívül teljesítményigényes lehet, ezért célszerű olyan időszakra ütemezni, amikor alacsony(abb) a terhelés, például hétvégére vagy éjszakára. Alternatív megoldásként az „ŐRJÁRAT” (IDLE SCAN) lehetőség engedélyezhető az „EXCHANGE BEÁLLÍTÁSOK” (EXCHANGE SETTINGS) fülön. A klienseken lévő hasonmásának megfelelően az Exchange őrjárat is csak akkor fut, ha az Exchange szerver nem végez egyéb műveleteket, ezzel elkerülve a teljesítménycsökkenést. Ugyanakkor ez nem érinti az egyéb folyamatokat a szerveren (például ha a szerver webszerverként is üzemel). Annak érdekében, hogy az őrjárat (idle scan) soha ne ütközzön egyéb szerverfolyamatokkal, korlátozható a futása egy adott időkeretbe. Például az „INDULÁSI IDŐ” (START TIME) 23:00-ra, a „BEFEJEZÉSI IDŐ” (END TIME) reggel 5:00-ra állításával az őrjárat csak ebben az időszakban (éjszaka) fog futni. Kivételként megadható az „ŐRJÁRAT FUTTATÁSA HÉTVÉGÉN EGÉSZ NAP” (RUN IDLE SCAN ALL DAY ON WEEKEND) beállítás. Annak érdekében, hogy az őrjárat csak azokat a fájlokat ellenőrizze, amelyek mostanában lettek módosítva (elkerülve a régi, nem használt fájlokat), meghatározható a „MAXIMÁLIS OBJEKTUMÉLETKOR” (MAXIMUM OBJECT AGE). Ezzel csökkenthető az ellenőrzéshez szükséges idő, ugyanakkor körültekintéssel kell használni, mert a régi fájlok, ha nem lesznek ellenőrizve, esetleg fertőzöttek maradhatnak. Az on-access ellenőrzést célszerű bekapcsolni annak érdekében, hogy még a régi fertőzött fájlok is blokkolva legyenek.
16.2
MailGateway
A MailSecurity MailGateway az összes levelezőszervert védi a kártevőktől, és szűri a kéretlen leveleket. Az összes levelezőszerverrel kompatibilis. Microsoft Exchange használatakor a kártevővédelmet legkönnyebben a MailSecurity Exchange beépülőjének telepítésével lehet megvalósítani. A kártevővédelem és a kéretlen levelek szűrésének kombinálásához a beépülő helyett telepítse a MailGatewayt. A MailGateway mindegyik levelezőszervernél integrálható az e-mail munkafolyamatba, és még azelőtt ellenőrzi a leveleket, mielőtt azok elérnék a tényleges levelezőszervert. Különböző megvalósítások lehetségesek, úgymint: telepíthető a meglévő
levelezőszerverre, vagy egy dedikált, különálló levélátjáró szerverre is (a 4.2.4.2 fejezet részletezi a lehetőségeket). Ugyanakkor az átjáró telepítése önmagában nem elég. Annak érdekében, hogy ellenőrizni lehessen, a levélforgalmat keresztül kell irányítani a MailSecurityn. Miután ez a beállítás megtörtént, konfigurálhatóak a levélforgalom-védelmi komponensek (kártevővédelem, illetve kéretlen levelek szűrése).
16.2.1 Bevezetés Miután a MailSecurity Mailgateway telepítővarázslója lefutott, a MailGateway szerver automatikusan elindul. A ManagementServerhez hasonlóan szintén a háttérben végzi a feladatát, bármilyen felhasználói beavatkozás szükségessége nélkül. Mindazonáltal néhány kezdeti beállításra szükség van annak érdekében, hogy a levélforgalom kártevő- és kéretlenlevél-szűrése megkezdődhessen. A MailGateway minden beállítása a MailSecurity Administratoron keresztül szerkeszthető. A MailGateway telepítővarázsló automatikusan telepíti a MailSecurity Administratort is, ugyanarra a számítógépre. Ugyanakkor, a ManagementServer Administrator alkalmazásához hasonlóan, bármelyik számítógépről használható, amely kapcsolatba tud lépni azzal a szerverrel, amelyen a MailGateway fut.
: G Data MailSecurity Administrator, Állapot A MailSecurity Administrator első indításakor kérni fogja a szerverhez tartozó felhasználónevet és jelszót. A szervernév mező automatikusan kitöltésre kerül annak a szervernek a nevével, amelyre a MailGateway telepítve van. A jelszó mező üresen hagyható, az OK gombra kattintva kérni fogja az új jelszó beírását. Ha a későbbiekben szükség van a jelszó megváltoztatására, a MailSecurity „BEÁLLÍTÁSOK” (OPTIONS) ablakának „HALADÓ” (ADVANCED) fülén kattintson a „JELSZÓ MEGVÁLTOZTATÁSA” (CHANGE PASSWORD) gombra. Amennyiben a jelszó elveszett, és nincs lehetőség bejelentkezni a MailSecurity Administratorba, a jelszó alaphelyzetbe állításához törölje a következő kulcsot a MailGateway szerver rendszerleíró adatbázisából: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\G DATA\AVKSmtp\pw (64 bites Windowson) vagy HKEY_LOCAL_MACHINE\SOFTWARE\G DATA\AVKSmtp\pw (32 bites Windowson).
A MailSecurity Administrator megnyitásakor az „ÁLLAPOT” (STATUS) oldal látható, amelyen az átjárószerver fő funkcióival kapcsolatosan található információ. Bármelyik állapotüzenetre duplán kattintva megnyílik a „BEÁLLÍTÁSOK” (OPTIONS) menü hozzákapcsolódó része. Ha először indította a programot, néhány funkció letiltott állapotban található. A telepítést követő feladatok részeként az automatikus szignatúrafrissítéseket és a levelezőszerver portbeállításait konfigurálni kell. Ezt követően beállítható a MailGateway kártevővédelme, kéretlenlevél-szűrője, illetve egyedi szűrői.
16.2.2 Vírusszignatúra-frissítések Fontos első lépés a vírusszignatúra-adatbázis automatikus frissítéseinek beállítása. A fenti menüsorban kattintson a „FRISSÍTÉS” (UPDATE) lehetőségre az „INTERNETES FRISSÍTÉS” (INTERNET UPDATE) ablak megnyitásához, majd válasszon egyet a két frissítési mód közül. Ajánlott még a MailSecurity MailGateway telepítését megelőzően telepíteni a G Data Security Clientet (lásd 4.2.4.2. fejezet). Ez nem csak azt biztosítja, hogy a kártevők nem fertőzhetik meg az átjárószervert, hanem engedélyezi a MailGateway számára, hogy a bejövő és kimenő leveleket a Security Client vírusszignatúráival ellenőrizze, ezzel szükségtelenné téve a saját vírusszignatúraadatbázisának karbantartását. Amennyiben a MailGateway nem egy ManagementServer hálózatban fut, beállítható, hogy letöltse a saját vírusszignatúráit. A frissítések lekéréséhez a MailSecurity bejelentkezik a G Data online Frissítőszervereire (UpdateServers), amelyekhez hozzáférési adatok szükségesek. Kattintson a „BEÁLLÍTÁSOK ÉS ÜTEMEZÉSRE” (SETTINGS AND SCHEDULING) a frissítési beállítások megnyitásához, majd válassza a „HOZZÁFÉRÉSI ADATOK” (ACCESS DATA) fület. Ha a felhasználónevet és a jelszót korábban már megkapta (például, ha a szoftver már aktiválva van), azok közvetlenül megadhatóak. Alternatív megoldásként a regisztrációs szám megadásához kattintson a „REGISZTRÁLÁS A SZERVERREL” (REGISTER WITH SERVER) lehetőségre. A regisztrálást követően a felhasználónév és a jelszó automatikusan generálódik. Jegyezze fel ezeket az adatokat valahová, mert az esetleges újratelepítés esetén szükség lesz rájuk. A hozzáférési adatok megadása után az „INTERNETES FRISSÍTÉS ÜTEMEZÉSE” (INTERNET UPDATE SCHEDULE) fülön meghatározható a frissítés ütemezése. Annak érdekében, hogy a MailGateway mindig a legutolsó vírusszignatúrákkal ellenőrizze az e-maileket, óránkénti frissítést kell megadni. Ha az a számítógép, amelyre a MailGateway telepítve van, proxyszerveren keresztül csatlakozik az internetre, az az „INTERNETBEÁLLÍTÁSOK” (INTERNET SETTINGS) fülön megadható, továbbá itt van lehetőség az internetes bejelentkezési adatok megadására is, amennyiben az szükséges.
16.2.3 E-mail adatfolyamok Fontos különbséget tenni a között a három, lehetséges e-mail adatfolyam között, amelyeket a MailGateway ellenőriz: bejövő SMTP e-mail (az internet felől a hálózat felé), kimenő SMTP email (a hálózatból az internet felé) és POP3 (csak bejövő e-mailekhez). Nem mindegyik hálózat használja az e-mail kommunikáció minden típusát. A használatban lévő protokollok számára a portbeállítások a MailGatewayen és a levelezőszerveren alapvető fontosságúak, annak érdekében, hogy az e-mail adatfolyamok átirányítódjanak a MailGatewayen, mielőtt továbbítva lennének a levelezőszerver felé. Azt, hogy mely portokat szükséges megváltoztatni, a telepítés típusától függ.
Levelezőszervertől függően a hozzáférés a protokoll- és a portbeállításokhoz bonyolult lehet. Meghatározott termékek beállítási támogatásaként a G Data különféle, további technikai dokumentumokat (TechPaper) biztosít. Bővebb információért tekintse meg a következő technikai dokumentumokat (TechPaper): #0149 (Tobit David), #0150 (AVM Ken!), #0151 (Microsoft Exchange Server 2010), és #0152 (Microsoft Exchange Server 2007).
16.2.4 Telepítés: A levelezőszerverre (portváltoztatásokkal) A MailGateway levelezőszerverre való telepítésének előnye, hogy nincs szükség különálló szerver beállítására, hátránya, hogy az SMTP és a POP3 számára a portokat nagyon figyelmesen kell konfigurálni. Annak elkerülése érdekében, hogy a helyi tűzfalban vagy a DNS rekordban bármit módosítani kelljen, a levelezőszerver néhány portját meg kell változtatni. Beállítási példa: A MailSecurity a POP3 számára a visszakeresési kéréseket (retrieval request) a 7110-s porton fogadja (a kliensektől vagy a levelezőszerver POP3 csatlakozójától), kapcsolódik az internetes POP3 levelezőszerverhez, lekéri a leveleket, majd feldolgozza és továbbítja azokat. A bejövő SMTP levelet (az internetről) a MailSecurity a 25-ös porton fogja fogadni, feldolgozza, majd továbbítja a belső levelezőszervernek a 7125-ös porton. A kimenő SMTP levelet a belső levelezőszerver fogja fogadni a 7125-ös porton, majd továbbítja a MailSecuritynek a 7025-ös porton, amely feldolgozza, majd elküldi. A belső levelezőszerver a 7125-ös SMTP porton fog üzemelni. Az Exchange klienseket nem szükséges újrakonfigurálni, de azokat a klienseket, amelyek SMTP használatával küldik a leveleket, be kell állítani, hogy ehhez a porthoz csatlakozzanak. A MailSecurity és a levelezőszerver-port beállításai a következőképpen néznek ki:
SMTP (bejövő)
25
7125
SMTP (kimenő)
7025
7125
POP3
7110
110
Annak érdekében, hogy a MailGateway ellenőrizze a bejövő SMTP e-maileket, nyissa meg a „BEÁLLÍTÁSOK” (OPTIONS) dialógust, majd válassza ki a „BEJÖVŐ (SMTP)” (INCOMING [SMTP]) fület. A „FOGADOTT” (RECEIVED) lehetőség alatt engedélyezze a „BEJÖVŐ LEVÉL FELDOLGOZÁSA” (PROCESS INCOMING MAIL) beállítást. A MailGateway a 25-ös porton működik, a levelezőszerver egy másik portot használ (például a 7125-öst). Miután az SMTP e-mail ellenőrzése megtörtént, a „TOVÁBBÍTÁS” (FORWARDING) alatt található beállítások szerint továbbítva lesz a levelezőszerver felé. Alapértelmezettként a „DNS HASZNÁLATA AZ E-MAIL KÜLDÉSHEZ” (USE DNS TO SEND EMAIL) lehetőség be van jelölve. Ez a beállítás a helyi MX rekord alapján állapítja meg, hogy hová kell továbbküldeni a levelet, amely csak akkor működik, ha az MX rekord tartalmazza a levelezőszervert. Mivel sok esetben a MailGatewayt tartalmazza az MX rekord, ezért ezt a beállítást biztonságosabb kikapcsolni. A levelezőszerver IP címe és portja ezt követően konkrétan meghatározható. Adja meg a 127.0.0.1-et IP címnek, illetve a levelezőszerver portját a port mezőben (ebben a példában ez 7125).
: G Data MailSecurity Administrator, Beállítások, Bejövő (SMTP) A kimenő e-mailek ellenőrzéséhez nyissa meg a „KIMENŐ (SMTP)” (OUTGOING [SMTP]) fület. Engedélyezze a „KIMENŐ E-MAILEK FELDOLGOZÁSA” (PROCESS OUTGOING EMAIL) lehetőséget, majd adjon meg egy portszámot. A legegyszerűbb beállítási mód egy olyan portnak a meghatározása, amely eltér a „BEJÖVŐ (SMTP)” (INCOMING [SMTP]) porttól, ebben a példában ez 7025. Amennyiben úgy dönt, hogy ugyanazt a portot használja a bejövő és a kimenő levelekhez, a MailGatewaynek szüksége van arra, hogy megkülönböztethesse a bejövő és a kimenő SMTP forgalmat. Ez a 127.0.0.1 és a szerver IP címének megadásával (például 192.168.1.2) érhető el, az „IP CÍMEK/SZÁMÍTÓGÉP-ALHÁLÓZATOK, AMELYEK KIMENŐ E-MAILT KÜLDENEK” (IP ADDRESSES/SUBNETS OF COMPUTERS THAT SEND OUTGOING EMAIL) alatt. A kimenő e-mail kétféleképpen kézbesíthető. A MailGateway képes közvetlenül kézbesíteni azt, a cél DNS rekordjának használatával (ez az ajánlott beállítás). Ha a „DNS HASZNÁLATA AZ E-MAIL KÜLDÉSHEZ” (USE DNS TO SEND EMAIL) lehetőség ki van kapcsolva, megadhatja azt az SMTP szervert, amelynek a kimenő e-maileket továbbítani kell. Amennyiben szükséges bármilyen hitelesítés, válassza ki a megfelelő eljárást a „HITELESÍTÉS” (AUTHENTICATION) ablakban.
: G Data MailSecurity Administrator, Beállítások, Kimenő (SMTP) A POP3 ellenőrzést a „BEJÖVŐ (POP3)” (INCOMING [POP3]) fülön lehet beállítani. Engedélyezze a „POP3 KÉRÉSEK FELDOLGOZÁSÁT” (PROCESS POP3 ENQUIRIES), továbbá adja meg azt a portot, amelyen a MailGateway fogadni fogja a POP3 kéréseket (7110). Az „E-MAIL PROGRAM IDŐTÚLLÉPÉSÉNEK ELKERÜLÉSE” (PREVENT EMAIL PROGRAM TIMEOUT) lehetőség bepipálásával a címzett elkerülheti az e-mail program időtúllépési hibaüzenetét, amennyiben a POP3 lekérés túl sokáig tart.
: G Data MailSecurity Administrator, Beállítások, Bejövő (POP3) A „BEGYŰJTÉS” (COLLECTION) alatt adja meg azt a POP3 szervert, amelyről az e-maileket be kell
gyűjteni. Ez általában az internetszolgáltató POP3 szervere. A MailGateway ugyanazt a bejelentkezést fogja használni, amelyet a kliens használ a POP3 lekérésekhez. A „SZŰRÉS” (FILTER) alatt megadhatja azt a helyettesítő szöveget, amit azok az e-mailek fognak tartalmazni, amelyeket a kártevővédelem vagy a kéretlenlevél-szűrő visszautasított. A MailGateway beállítását követően frissíteni kell a levelezőszerver beállításait. Változtassa meg a bejövő POP3 e-mail szerverbeállítást a szerver IP címére (192.168.1.2), majd adja hozzá a MailGateway portot (7110). A bejövő és a kimenő SMTP e-mailek portját meg kell változtatni 7125-re. A kimenő e-mailek megfelelő küldéséhez változtassa meg a levelezőszerver kimenő SMTP e-mailekre vonatkozó beállítását a szerver IP címére, majd adja hozzá a MailGateway portot (7025). Bárminemű SMTP hitelesítést ki kell kapcsolni, mert azt a MailGateway fogja végrehajtani. Mivel a levelezőszerver SMTP portja megváltozott, azok a kliensek, amelyek az SMTP beállítással küldik a leveleiket, a kimenő leveleket az új portra kell, hogy küldjék. A helyi e-mail kliensek beállításait ennek megfelelően kell megváltoztatni (SMTP port: 7125). Azoknál a klienseknél, amelyek Exchange használatával küldik az e-maileket, nem szükséges megváltoztatni a beállításokat.
16.2.5 Telepítés: A levelezőszerverre (portváltoztatás nélkül) Ha a levelezőszerver portjainak megváltoztatása nem megoldható, például, ha túl sok klienst kellene újrakonfigurálni, a levelezőszerver tovább működhet a 25-ös porton, a MailGateway képes küldeni és fogadni az SMTP leveleket a 7025-ös és a 7125-ös portok használatával, különkülön. Azonban ahhoz, hogy a MailSecurity továbbra is az elsődleges biztonsági réteg maradjon, a helyi tűzfalat be kell állítani, hogy továbbítsa a bejövő SMTP forgalmat a MailGateway nem szabványos 7025-ös portjára. Ebben az esetben a portok beállításai a következőképpen alakulnak:
SMTP (bejövő)
7025
25
SMTP (kimenő)
7125
25
POP3
7110
110
Annak érdekében, hogy a MailGateway ellenőrizhesse a bejövő SMTP e-maileket, nyissa meg a „BEÁLLÍTÁSOK” (OPTIONS) dialógust, majd válassza a „BEJÖVŐ (SMTP)” (INCOMING [SMTP]) fület. A „FOGADOTT” (RECEIVED) alatt engedélyezze a „BEJÖVŐ E-MAIL FELDOLGOZÁSA” (PROCESS INCOMING EMAIL) lehetőséget. A MailGateway a nem szabványos 7025-ös porton üzemel. Miután a MailGateway feldolgozta a leveleket, továbbítja azokat a levelezőszerver felé, a „TOVÁBBÍTÁS” (FORWARDING) alatt megadott beállítások szerint. Alapértelmezettként a „DNS HASZNÁLATA AZ EMAIL KÜLDÉSHEZ” (USE DNS TO SEND EMAIL) engedélyezve van. Ez a beállítás a helyi MX rekord alapján állapítja meg, hogy hová kell továbbküldeni a levelet, amely csak akkor működik, ha az MX rekord tartalmazza a levelezőszervert. Mivel sok esetben a MailGatewayt tartalmazza az MX rekord, ezért ezt a beállítást biztonságosabb kikapcsolni. A levelezőszerver IP címe és portja ezt követően konkrétan meghatározható. Adja meg a 127.0.0.1-et IP címnek, illetve a levelezőszerver portját a „PORT” mezőben (ebben a példában ez 25).
: G Data MailSecurity Administrator, Beállítások, Bejövő (SMTP) A kimenő e-mailek ellenőrzéséhez nyissa meg a „KIMENŐ (SMTP)” (OUTGOING [SMTP]) fület. Engedélyezze a „KIMENŐ E-MAIL FELDOLGOZÁSA” (PROCESS OUTGOING EMAIL) lehetőséget, majd adjon meg egy portszámot. A legegyszerűbb beállítási mód egy olyan portnak a meghatározása, amely eltér a „BEJÖVŐ (SMTP)” (INCOMING [SMTP]) porttól, ebben a példában ez 7125. Amennyiben úgy dönt, hogy ugyanazt a portot használja a bejövő és a kimenő levelekhez, a MailGatewaynek szüksége van arra, hogy megkülönböztethesse a bejövő és a kimenő SMTP forgalmat. Ez a 127.0.0.1 és a szerver IP címének megadásával (például 192.168.1.2) érhető el, az „IP CÍMEK/SZÁMÍTÓGÉP-ALHÁLÓZATOK, AMELYEK KIMENŐ E-MAILT KÜLDENEK” (IP ADDRESSES/SUBNETS OF COMPUTERS THAT SEND OUTGOING EMAIL) alatt. A kimenő e-mail kétféleképpen kézbesíthető. A MailGateway képes közvetlenül kézbesíteni azt, a cél DNS rekordjának használatával (ez az ajánlott beállítás). Ha a „DNS HASZNÁLATA AZ E-MAIL KÜLDÉSHEZ” (USE DNS TO SEND EMAIL) lehetőség ki van kapcsolva, megadhatja azt az SMTP szervert, amelynek a kimenő e-maileket továbbítani kell. Amennyiben szükséges bármilyen hitelesítés, válassza ki a megfelelő eljárást a „HITELESÍTÉS” (AUTHENTICATION) ablakban. A POP3 e-mail lekérés megegyezik az 1. telepítésben találhatóval. A levelezőszerver portbeállításait nem szükséges megváltoztatni, azonban képesnek kell lennie a MailGatewayt lokalizálni. Változtassa meg a bejövő POP3 e-mail szerverbeállítást a szerver IP címére (192.168.1.2), majd adja hozzá a MailGateway portot (7110). A kimenő e-mailek megfelelő küldéséhez változtassa meg a levelezőszerver kimenő SMTP e-mailekre vonatkozó beállítását a szerver IP címére, majd adja hozzá a MailGateway portot (7125).
: G Data MailSecurity Administrator, Beállítások, Kimenő (SMTP) Bárminemű SMTP hitelesítést ki kell kapcsolni, mert azt a MailGateway fogja végrehajtani. Mivel a levelezőszerver továbbra is a 25-ös portot használja a bejövő és a kimentő SMTP emailekhez, annak biztosítására, hogy a MailGateway fogadhassa a bejövő SMTP e-maileket, hálózati szintű változtatás szükséges. A router vagy a tűzfal beállításaiban a 25-ös porton bejövő SMTP forgalmat a MailGateway 7025-ös portjára kell továbbítani.
16.2.6 Telepítés: Dedikált átjáró- (gateway) szerver A levelezőszerverre való telepítés alternatívájaként a MailGateway egy saját, különálló szerverre is telepíthető. A levelezőszerver portjait nem szükséges megváltoztatni, azonban a bejövő emaileket először a MailGateway felé kell irányítani, mielőtt azok megérkeznének a levelezőszerverre. Ezt különféle módokon lehet megoldani. A hálózati domain DNS bejegyzésében az MX rekord megváltoztatható a levelezőszerver IP-jéről a MailGateway IP-jére, beállítható egy átirányítás a tűzfalban, vagy a levelezőszerver eredeti IP címe hozzárendelhető a MailGatewayhez. Ebben az esetben a portok a következőképpen konfiguráltak:
SMTP (bejövő)
25
25
SMTP (kimenő)
7025
25
POP3
110
110
Annak érdekében, hogy a MailGateway ellenőrizze a bejövő SMTP e-maileket, nyissa meg a „BEÁLLÍTÁSOK” (OPTIONS) dialógust, majd válassza ki a „BEJÖVŐ (SMTP)” (INCOMING [SMTP]) fület. A „FOGADOTT” (RECEIVED) lehetőség alatt engedélyezze a „BEJÖVŐ LEVÉL FELDOLGOZÁSA” (PROCESS INCOMING MAIL) beállítást. A MailGateway a 25-ös porton működik. Miután az SMTP e-mail ellenőrzése megtörtént, a „TOVÁBBÍTÁS” (FORWARDING) alatt található beállítások szerint továbbítva lesz a levelezőszerver felé. Alapértelmezettként a „DNS HASZNÁLATA AZ E-MAIL KÜLDÉSHEZ” (USE DNS TO SEND EMAIL) lehetőség be van jelölve. Ez a beállítás a helyi MX rekord alapján állapítja meg, hogy hová kell továbbküldeni a levelet, amely csak akkor működik, ha az MX rekord tartalmazza a levelezőszervert. Mivel sok esetben a MailGatewayt tartalmazza az MX
rekord, ezért ezt a beállítást biztonságosabb kikapcsolni. A levelezőszerver IP címe és portja ezt követően konkrétan meghatározható. Adja meg a levelezőszerver IP címét (ebben a példában ez 192.168.1.3), majd a „PORT” mezőben adja meg a levelezőszerver portját (ebben a példában ez 25).
: G Data MailSecurity Administrator, Beállítások, Bejövő (SMTP) A kimenő e-mailek ellenőrzéséhez nyissa meg a „KIMENŐ (SMTP)” (OUTGOING [SMTP]) fület. Engedélyezze a „KIMENŐ E-MAILEK FELDOLGOZÁSA” (PROCESS OUTGOING EMAIL) lehetőséget, majd adjon meg egy portszámot. A legegyszerűbb beállítási mód egy olyan portnak a meghatározása, amely eltér a „BEJÖVŐ (SMTP)” (INCOMING [SMTP]) porttól, ebben a példában ez 7025. Amennyiben úgy dönt, hogy ugyanazt a portot használja a bejövő és a kimenő levelekhez, a MailGatewaynek szüksége van arra, hogy megkülönböztethesse a bejövő és a kimenő SMTP forgalmat. Ez a levelezőszerver IP címének megadásával (például 192.168.1.3) érhető el, az „IP CÍMEK/SZÁMÍTÓGÉP-ALHÁLÓZATOK, AMELYEK KIMENŐ E-MAILT KÜLDENEK”
(IP ADDRESSES/SUBNETS OF
alatt. A kimenő e-mail kétféleképpen kézbesíthető. A MailGateway képes közvetlenül kézbesíteni azt, a cél DNS rekordjának használatával (ez az ajánlott beállítás). Ha a „DNS HASZNÁLATA AZ E-MAIL KÜLDÉSHEZ” (USE DNS TO SEND EMAIL) lehetőség ki van kapcsolva, megadhatja azt az SMTP szervert, amelynek a kimenő e-maileket továbbítani kell. Amennyiben szükséges bármilyen hitelesítés, válassza ki a megfelelő eljárást a „HITELESÍTÉS” (AUTHENTICATION) ablakban. COMPUTERS THAT SEND OUTGOING EMAIL)
: G Data MailSecurity Administrator, Beállítások, Kimenő (SMTP) A POP3 ellenőrzést a „BEJÖVŐ (POP3)” (INCOMING [POP3]) fülön lehet beállítani. Engedélyezze a „POP3 KÉRÉSEK FELDOLGOZÁSÁT” (PROCESS POP3 ENQUIRIES), továbbá adja meg azt a portot, amelyen a MailGateway fogadni fogja a POP3 kéréseket (110). Az „E-MAIL PROGRAM IDŐTÚLLÉPÉSÉNEK ELKERÜLÉSE” (PREVENT EMAIL PROGRAM TIMEOUT) lehetőség bepipálásával a címzett elkerülheti az e-mail program időtúllépési hibaüzenetét, amennyiben a POP3 lekérés túl sokáig tart. A „BEGYŰJTÉS” (COLLECTION) alatt adja meg azt a POP3 szervert, amelyről az emaileket be kell gyűjteni. Ez általában az internetszolgáltató POP3 szervere. A MailGateway ugyanazt a bejelentkezést fogja használni, amelyet a kliens használ a POP3 lekérésekhez. A „SZŰRÉS” (FILTER) alatt megadhatja azt a helyettesítő szöveget, amit azok az e-mailek fognak tartalmazni, amelyeket a kártevővédelem vagy a kéretlenlevél-szűrő visszautasított.
: G Data MailSecurity Administrator, Beállítások, Bejövő (POP3) A MailGateway beállítását követően frissíteni kell a levelezőszerver beállításait. Változtassa meg a bejövő POP3 e-mail szerverbeállítást a szerver IP címére (192.168.1.2), majd adja hozzá a
MailGateway portot (110). A kimenő e-mailek megfelelő küldéséhez változtassa meg a levelezőszerver kimenő SMTP e-mailekre vonatkozó beállítását a MailGateway IP címére, majd adja hozzá a MailGateway portot (25). Bárminemű SMTP hitelesítést ki kell kapcsolni, mert azt a MailGateway fogja végrehajtani. A bejövő SMTP e-mailek fogadásához a MailGateway szervernek fel kell váltania a levelezőszervert. Ennek érdekében, a router vagy a tűzfal beállításaiban a bejövő SMTP forgalmat át kell irányítani a MailGateway szerver felé (192.168.1.2). Alternatívaként a DNS MX rekord megváltoztatható a MailGateway (külső) IP címére. Végezetül a levelezőszerver IP címe hozzárendelhető a MailGatewayhez, egy új IP cím pedig a levelezőszerverhez.
16.2.7 SMTP relay védelem A bejövő SMTP e-mailek feldolgozásakor a MailGatewaynek védve kell lennie a relay visszaélésekkel szemben. A „BEJÖVŐ (SMTP)” (INCOMING [SMTP]) fülön, a „RELAY ELLENI VÉDELEM” (PROTECTION PRIOR RELAY) alatt, megadhatóak azok a domainek, amelyekből a MailGateway elfogadja az e-maileket. Ha nincs domain hozzáadva, akkor a bejövő SMTP levelek nem kerülnek fogadásra. Csak a vállalat domainjének hozzáadásával a más domaineknek szánt e-mailek automatikusan eldobódnak, így biztosítva azt, hogy a kéretlenlevél-küldők (spammers) ne használhassák a MailGateway szervert levélszemét terjesztésére. Ha a bejövő leveleket minden domainből fogadni kívánja, adja hozzá a *.* domaint. Alternatívaként a domainek manuálisan is hozzáadhatóak, a címlista az Active Directory segítségével importálható. Ha olyan címre küldenek e-mailt, amelyet a lista nem tartalmaz, az automatikusan eldobásra kerül. Kattintson az „ACTIVE DIRECTORYRA” az AD szerver és a frissítési intervallum beállításához.
16.2.8 Többszörös POP3 szerver Amennyiben az e-maileket egynél több POP3 szerverről kell összegyűjteni, az általános telepítési forgatókönyvet némileg módosítani kell. Ahelyett, hogy egy POP3 szerver kerülne meghatározásra a MailGateway beállításaiban, a POP3 szerver a levelezőszerver (például, amikor a POP3 az Exchange használatával kerül összegyűjtésre) vagy a kliensek (amikor a POP3 e-mail a kliensen kerül összegyűjtésre) minden egyes fiókjához megadható. Nyissa meg a MailSecurity Administrator „BEÁLLÍTÁSOK” (OPTIONS) ablakában található „BEJÖVŐ (POP3)” (INCOMING [POP3]) fület. Törölje ki a „BEGYŰJTÉS” (COLLECTION) alatt található POP3 szervercímet, minden egyéb beállítást hagyjon változatlanul. A levelezőszerveren vagy a kliens helyi beállításában adjon hozzá egy fiókot minden egyes ellenőrizendő POP3 szerver számára. POP3 szervernek adja meg a MailGateway IP címét és portját. Módosítsa a felhasználónév mezőt minden egyes fióknál, a POP3 szerver nevét a felhasználónév elé másolva, kettősponttal elválasztva a két értéket egymástól. Például, ha a felhasználónév vállalat, a szerver pop3.isp.com, abban az esetben ezt kell megadni: pop3.isp.com:vállalat. A jelszó mezőnek a fiók jelszavát kell tartalmaznia.
16.2.9 Várakozási sor (Queue) A MailGateway rögtön az átvétel után feldolgozza az e-maileket. A kártevők ellenőrzése, illetve a kéretlen levelek szűrése megtörténik, majd az üzenet, a telepítési beállítások szerint,
továbbításra kerül a levelezőszerver felé. A fogadó levelezőszerver ugyanakkor nem minden esetben érhető el. Azok az e-mailek, amelyeket nem lehetett kézbesíteni, a várakozási sorba kerülnek. A MailGateway egy meghatározott ideig újra meg újra megpróbálja továbbítani a várakozási sorban lévő üzeneteket. A MailSecurity Administrator „VÁRAKOZÁSI SOROK” (QUEUES) moduljában megtekinthetőek azok az üzenetek, amelyek a várakozási sorban tartózkodnak. A „BEJÖVŐ/KIMENŐ” (INCOMING/OUTGOING) gomb használatával lehet a várakozási sor nézetét a bejövő és a kimenő üzenetek szerint váltani. Minden egyes üzenetnél megjelenik a célhoszt, a küldő, a következő próbálkozás és az állapot. A MailGateway automatikusan foglalkozik a várakozási sorban lévő üzenetekkel, ezekkel kapcsolatosan semmilyen teendő nincs. Opcionálisan az „ISMÉTLÉS MOST” (REPEAT NOW) gomb megnyomásával azonnal megkísérelhető az újraküldés. A „TÖRLÉS” (DELETE) gomb használatával az üzenet végérvényesen törlődik a várakozási sorból, ezáltal megakadályozva a kézbesítést.
: G Data MailSecurity Administrator, Várakozási sor Az, hogy a MailGateway miként kezelje a várakozási sorban található üzeneteket, a „BEÁLLÍTÁSOK” (OPTIONS) ablak „VÁRAKOZÁSI SOR” (QUEUE) fülén beállítható. A „VÁRAKOZÁSI IDŐ HIBA ESETÉN” (ERROR WAITING TIME) alatt beállított maximális időtartam alatt a MailGateway rendszeresen megpróbálja újra kézbesíteni a várakozási sorban található üzeneteket. Az időtartam alapértelmezett értéke 24, ami azt jelenti, hogy az üzenet elvetésre kerül, ha 24 órán belül nem lehet kézbesíteni. Az „ISMÉTLÉSI INTERVALLUM” (REPEAT INTERVAL) alatt beállítható az újrapróbálkozások gyakorisága. A MailGateway az itt beállított időintervallumban próbálja újraküldeni a várakozási sorban található üzeneteket addig, amíg a maximális időtartamot el nem éri. Az alapértelmezett értékek: 0.25, 0.5, 1, 4. Ez azt jelenti, hogy a MailGateway először 15 perc után próbálkozik újra, másodjára fél óra múlva, harmadjára egy órával később, majd ezt követően minden negyedik órában, a maximális időtartam eléréséig. Az alapértelmezett értékek a szükségletek szerint megváltoztathatóak. Például az újrapróbálkozások rövidebb intervallum szerint is ütemezhetőek (például a 0.25-ös értékkel 15 percenként próbálkozik újra, amíg a maximális időtartamot el nem éri). Ezzel elkerülhetőek a további késések, amennyiben csak átmenetileg nem érhető el a
levelezőszerver, ugyanakkor megnövekedett levélforgalomhoz vezethet. Mindenesetre az e-mail feladóit célszerű értesíteni, ha az üzeneteik (még) nem lettek kézbesítve. Az értesítés, alapértelmezettként, 4 óránként kerül elküldésre. A túl sok értesítésküldés elkerülésének érdekében, ha a maximális várakozási idő megváltozik, ajánlott az értesítési intervallumot is ezzel arányosan megváltoztatni. Végezetül lehetőség van a várakozási sorban tartózkodó üzenetek számának korlátozására. Ez a beállítás alapértelmezettként kikapcsolt állapotban van, mivel ez a korlátozás üzenetvesztéshez vezethet, amennyiben a maximális értéket eléri: ha túl sok üzenet van a várakozási sorban, azok az üzenetek, amelyek nem lettek kézbesítve, törölve lesznek. Csak akkor engedélyezze ezt a beállítást, ha a várakozási sorban található üzenetek száma teljesítménybeli vagy egyéb problémákhoz vezet.
16.2.10 Adminisztráció és migráció A telepített és beállított kártevővédelemmel, kéretlenlevél- és egyéni szűrőkkel a MailGateway minden szükséges beavatkozás nélkül végzi az ellenőrzést és a szűrést. A MailGateway nem igényel semmilyen megerősítést az e-mail üzenetek visszautasításához vagy eltávolításához. Ugyanakkor ajánlott ellenőrizni a MailGateway teljesítményét és aktivitását, így biztosítva azt, hogy nem történnek nem várt műveletek. A MailGateway kéretlenlevél-kezelés ellenőrzésének legközvetlenebb módja a kéretlen levelek továbbításának beállítása (lásd 16.2.4. fejezet). Az adminisztrátorok a MailSecurity Administrator használatával felülvizsgálhatják a MailGateway műveleteit. Az „AKTIVITÁS” (ACTIVITY) modulban megtalálható a MailGateway által végrehajtott műveletek naplózása, mint fogadott, feldolgozott vagy elküldött e-mail üzenetek. Amennyiben a statisztikai kiértékelés adatbázis (lásd 4.2.4.2. fejezet) telepítésre került, az „Állapot” (Status) modulban megjelenik a „STATISZTIKÁK” (STATISTICS) gomb. A statisztikák ablakban egy általános statisztika látható a feldolgozott e-mailekről, a top 10 kéretlen levél email címekről, a kéretlen levél IP címekről, illetve az észlelt vírusokról. A statisztika megtekinthető minden egyes MailGateway által analizált forgalomfolyamról (bejövő SMTP, kimenő SMTP és/vagy bejövő POP3). A statisztikák beállításához nyissa meg a „Beállítások” (Options) ablakban található „Naplózás” (Logging) fület. Válassza ki a „MENTÉS AZ ADATBÁZISBA” (SAVE IN THE DATABASE) lehetőséget az e-mail forgalmi statisztika elmentéséhez az adatbázisba, analizáláshoz. Alternatívaként lehetőség van néhány forgalommal kapcsolatos részlet naplófájlba mentésére (ez alapértelmezettként a MailGateway telepítési könyvtárában található C:\Program Files (x86)\G DATA\G DATA MailSecurity\maillog.txt fájlba lesz elmentve). A naplófájl tartalmazza az időbélyeget, a küldőt és a címzettet, a levél méretét és a kéretlenlevél-értékelést (lásd 16.2.4.1. fejezet). A fájlméret korlátozásának érdekében a naplózás limitálható csak levélszemétre, illetve egy maximális e-mail számra. Abban az esetben, ha a MailGatewayt egy másik szerverre kell költöztetni, a beállításai könnyedén exportálhatóak. A „BEÁLLÍTÁSOK” (OPTIONS) menü „Haladó” (Advanced) fülén megtalálható az „EXPORT” gomb. Ennek segítségével az adminisztrátor egy XML fájlba kimentheti a MailGateway beállításait. Az új szerveren az „IMPORT” gomb használatával importálhatóak a beállítások. A meglévő egyedi szűrők szintén exportálhatóak (lásd 16.2.5. fejezet). A „SZŰRŐ” (FILTER) modulban található „Import” és „EXPORT” gombokkal kezelhetőek a szűrőbeállítások, szintén XML formátumban. Amennyiben a bayesi tartalomszűrő (content filter) engedélyezve van (lásd 16.2.4.5. fejezet), a folyamat megtartásának érdekében annak beállítását külön kell importálni. Ehhez a Windows „SZOLGÁLTATÁSOK” (SERVICES) használatával állítsa le a MailGateway szolgáltatást a régi és az új MailGateway szerveren is. A beállításokat tartalmazó fájl a MailGateway „SZŰRŐ” (FILTER) könyvtárában található (alapértelmezettként: C:\Program Files (x86)\G DATA\G DATA MailSecurity\filter). Másolja át a BayesSpam.txt és a BayesNotSpam.txt
fájlokat a célszerver „SZŰRŐ” (FILTER) könyvtárába, majd indítsa újra a MailGateway szolgáltatást.
16.2.11 Kártevővédelem Az e-mail továbbra is a bűnözők egy igen kedvelt támadófelülete. Különféle formában létező kártevőket terjesztenek e-mailen keresztül, az általános kéretlen levelektől kezdve a célzott támadásokig, amelyeknek az a célja, hogy hozzáférést szerezzenek a vállalati hálózathoz. Annak érdekében, hogy a kártevők ne fertőzhessék meg a hálózati klienseket, a bejövő e-maileket ellenőrizni kell. Ugyanakkor a hálózati kliensek által küldött e-maileket szintén szükséges ellenőrizni. A fertőzött kliensekről fertőzött e-mailek kerülhetnek továbbításra, ezáltal nagy veszélynek kitéve a külső címzetteket. A MailGateway ugyanazzal a technológiával ellenőrzi a bejövő és a kimenő forgalmat, amely a Security Clientben is megtalálható. A két keresőmotor használatával a kártevők még azelőtt fel lesznek ismerve, hogy elérnék a címzettet. Különféle intézkedések hajthatóak végre, úgymint a fertőzött objektum megtisztítása, átnevezése vagy törlése.
16.2.12 Bejövő és kimenő e-mail A kártevő-felismerés beállítására a MailSecurity Administrator „BEÁLLÍTÁSOK” (OPTIONS) ablakában van lehetőség. A „VÍRUSELLENŐRZÉS” (VIRUS CHECK) fülön megadhatóak a bejövő és a kimenő e-mailek ellenőrzésének paraméterei. Ajánlott mind a bejövő, mind a kimenő leveleken kártevő-ellenőrzést végezni. A bejövő e-mailekkel kapcsolatos legfontosabb döntés annak beállítása, hogy a fertőzött üzenetek kézbesítésre kerüljenek-e vagy sem. Az ajánlott beállítási mód szerint először kísérelje meg a fertőzött üzenet vagy csatolmány megtisztítását, majd amennyiben ez nem lehetséges, akkor törölje azt. Ezzel elkerülhető a szükségtelen adatvesztés, egyben biztosítható az, hogy fertőzött tartalom soha ne kerüljön kézbesítésre a felhasználók felé. Alternatív megoldásként a fertőzött üzenetek vagy csatolmányok azonnal törölhetőek. Ez a legbiztonságosabb megoldás, azonban hamis kártevő-felismerés esetén adatvesztéshez vezethet. A harmadik lehetőség a fertőzött csatolmányok átnevezése, azonban ez a megoldás nem ajánlott. Az átnevezéssel megakadályozható a közvetlen hozzáférés a kártevőhöz, ugyanakkor az e-mail továbbra is tartalmazza (átnevezve) a kártevőfertőzött fájlt, így amennyiben a felhasználó visszanevezi azt és megnyitja, tovább fertőzhet. A címzett értesítéséhez arról, hogy az e-mail üzenetben kártevő található, egy vírusriasztás hozzáadható az üzenet tárgyához, illetve szövegtörzséhez. Ez ajánlott annak érdekében, hogy a címzett tudatában legyen annak, hogy az üzenet módosítva lett, és a tartalma már nem az eredetileg küldött üzenet – kiemelve azt a tényt, hogy a vírus el lett távolítva, és a fertőzés továbbra már nem lehetséges. Ha az e-mail jelszóval védett csatolmányt tartalmaz, annak ellenőrzése nem lehetséges. A címzett figyelmeztetésére egy üzenet fűzhető az üzenet szövegtörzséhez, miszerint egy vagy több csatolmány ellenőrzése nem történt meg. A címzett értesítésének kiegészítéseként megadható egy vagy több e-mail cím (pontosvesszővel elválasztva), amelyekre riasztás érkezik kártevőtalálat esetén. A különálló MailGateway telepítéseknél ez egy egyszerűen beállítható lehetőség annak biztosítására, hogy az adminisztrátor értesüljön a kártevőfertőzésekről. Ha a MailGateway ugyanabba a hálózatba van telepítve, ahol található egy már meglévő ManagementServer telepítés, ajánlott a „VÍRUSEREDMÉNYEK JELENTÉSE A G DATA MANAGEMENTSERVERNEK” (REPORT VIRUS RESULTS TO G DATA MANAGEMENTSERVER) beállítás használata.
A kimenő levelek számára a biztonsági beállítások némileg eltérnek. Habár a bejövő és a kimenő
üzeneteket is ugyanazok a keresőmotorok ellenőrzik, a fertőzött kimenő üzenetekre más a reakció: nem kerülnek elküldésre. A csatolmány megtisztítása vagy átnevezése nem lehetséges, mert a valószínűsíthetően kártevőfertőzött üzenetek küldését mindenáron meg kell akadályozni. Kártevőtalálat esetén lehetőség van a küldő értesítésére, amely ajánlott, annak érdekében, hogy a feladó értesüljön arról, hogy a levele nem lett kézbesítve. Amennyiben nincs kártevőfertőzés, a MailGateway csatolhat egy jelentést a kimenő üzenethez, ezzel tájékoztatva a címzettet, hogy az üzenet kártevő-ellenőrzése a küldés előtt megtörtént. A bejövő üzenetekhez hasonlóan itt is lehetőség van e-mail címek megadására, amelyekre kártevőfertőzés esetén riasztás érkezik.
16.2.13 Keresési paraméterek A kártevők keresésének beállításait a „KERESÉSI PARAMÉTEREK” (SCAN PARAMETERS) alatt lehet testre szabni. Az alapbeállítás optimális védelmet biztosít. Csak abban az esetben változtassa meg a keresési paramétereket, ha teljesítménnyel vagy valamelyik egyedi védelmi modullal problémák lépnek fel. Amennyiben mindkét keresőmotor használata túlzottan teljesítményigényesnek bizonyul, az egyik kikapcsolható. Ez jobb teljesítményt biztosít, ugyanakkor minimálisan csökkenti a biztonsági szintet. A keresés korlátozható bizonyos fájltípusokra, mint programfájlok vagy dokumentumok, vagy egyéni fájlkiterjesztési lista alapján. A legbiztonságosabb beállítás az összes fájl ellenőrzése (alapértelmezettként engedélyezett). A heurisztika alapértelmezettként szintén engedélyezve van, a kártevők tipikus karakterisztikáján alapulva felismeri az ismeretlen kártevőket, ezzel tovább növelve a biztonságot. A tömörítvények a „TÖMÖRÍTVÉNYEK ELLENŐRZÉSE” (CHECK ARCHIVES) beállítás kikapcsolásával kizárhatóak a keresésből. Ha egy tömörítvényben található fájl fertőzöttnek bizonyul, az egész tömörítvény átnevezésre vagy törlésre kerül. A véletlen adatvesztés elkerülésére a tömörítvények kártevő-ellenőrzése kikapcsolható, azonban ez csökkentett biztonsághoz vezet. Az OutbreakShield védelmet biztosít a kártevőtartalmú tömeges levelek ellen, még a vírusszignatúrák megjelenése előtt, ezt célszerű minden esetben engedélyezni. Az OutbreakShield nem tisztítja meg a kártevőtartalmú e-mail üzeneteket. A „BEÁLLÍTÁSOK” (Settings) alatt megadható a levél szövegtörzsébe kerülő, helyettesítő üzenet, így a címzett értesül arról, hogy az e-mailt az OutbreakShield blokkolta. Végezetül az adathalászat-védelem (phishing protection) blokkolja azokat az e-maileket, amelyek a jelszavakat, hitelkártyaszámokat vagy egyéb, személyes információkat próbálnak megszerezni, olyan módon, hogy a levél feladóját valamilyen hivatalos szervnek tüntetik fel.
16.2.14 Kéretlenlevél-szűrő (Spam filter) Az e-mail forgalmak jelentős része kéretlen levelekből áll. Kártevőket ugyan nem tartalmaznak, ugyanakkor az ilyen levelek többsége szükségtelen, például a tömegesen küldött gyógyszerészeti hirdetések vagy illegális szoftvereladások. A kliens oldalon már jó ideje használnak különböző kéretlenlevél-szűrőket az ilyen típusú bejövő levelek eltávolítására. Ez hatékony módja a kéretlen levelek eltávolításának, így a felhasználóknak nem kell az idejüket az elolvasásukkal és a letörlésükkel tölteniük, ugyanakkor minden egyes kliensgépnek rendelkeznie kell kéretlenlevélszűrési képességekkel, úgymint hálózat- vagy kliensspecifikus beállítások, kéretlen levél definíciós szabálykészletek, illetve lokális öntanuló képesség. A MailGateway központosítja ezt a folyamatot, még az előtt eltávolítja a kéretlen leveleket, mielőtt azok elérnék a felhasználók postafiókját.
A MailGateway teljesen automatikus kéretlenlevél-szűrőjének beállításai a felső menüsorban található „KÉRETLENLEVÉL-SZŰRŐ” (SPAM FILTER) gombra kattintva érhetőek el. A „SZŰRŐ” (FILTER) fülön lehetőség van a szolgáltatás engedélyezésére vagy letiltására (alapértelmezettként engedélyezett állapotban van). A szűrőnek a „SZŰRŐ” (FILTER) modulban való azonosításához adjon hozzá egy nevet, illetve megjegyzést (lásd 16.2.5 fejezet). A kéretlenlevél-szűrő minden egyes e-mailt ellenőriz, majd egy adott kategóriába sorolja azokat: nem kéretlen levél (not spam), kéretlenlevél-gyanús (suspected spam), nagy valószínűséggel kéretlen levél (high spam probability), illetve kiemelkedően nagy valószínűséggel kéretlen levél (very high spam probability). Azok a levelek, amelyek nem kéretlen levélként kerülnek azonosításra, azonnal kézbesítve lesznek. A többi három kategória számára egyedi reakciók állíthatóak be. A „SZŰRŐ” (FILTER) fülön kattintson a „VÁLTOZTATÁS” (CHANGE) gombra a reakciós beállítások szerkesztéséhez a különböző kategóriák számára. Az e-mail üzenetek elutasíthatóak, a tárgyba vagy szövegtörzsükbe figyelmeztetés szúrható, értesíthető az üzenet küldője, illetve a levél továbbítható valaki másnak, például az adminisztrátornak. A nagy, illetve a kiemelkedően nagy kéretlenlevél-valószínűséggel rendelkező kategóriák számára a levelek elutasítása a biztonságos beállítás. A levelek opcionálisan továbbíthatóak az adminisztrátornak, akinek lehetősége van a szűrők finomhangolására, amennyiben az üzenetek nem megfelelően lettek kategorizálva. A kéretlenlevél-gyanús üzeneteket nem célszerű azonnal elutasítani, a kártevők ellenőrzéséhez hasonlóan ebben az esetben is megvan a hamis találatok veszélye. Mivel csak az üzenetek elenyésző száma esik ebbe a kategóriába, így ezek továbbíthatók a címzettnek. Figyelmeztetésképpen a tárgy előtagjába vagy szövegtörzsbe egy üzenet szúrható.
16.2.15 Értékszám alapú rangsorolás A MailGateway kéretlenlevél-felismerés esetén végrehajtandó intézkedéseinek beállítása után lehetőség van a felismerést vezérlő paraméterek finomhangolására. Az automatikus kéretlenlevél-szűrő magját az értékszám alapú rangsorolás képezi, amely kéretlen levélként kategorizálja az üzeneteket, ha azok értékszáma elér egy bizonyos ponthatárt. A kéretlen levél indexpontok egyedi kritériumok alapján kerülnek meghatározásra (a levél tárgya, szövegtörzse vagy az üzenetazonosító [hiánya]). Az olyan kritériumok, mint a levél mérete vagy a tartalomszűrő értékelése, levonnak a pontokból. Miután a különböző értékszámok összeadódnak, az üzenet kéretlenlevél-besorolása a végső pontszám alapján lesz meghatározva. A „HALADÓ BEÁLLÍTÁSOK” (ADVANCED SETTINGS) fülön lehetőség van a pontozást végző egyedi komponensek beállítására. Ezeknek a módosítására csak nagyon ritkán, olyan esetben van szükség, ha egy kéretlen levél hibásan biztonságosnak, vagy egy biztonságos levél hibásan kéretlen levélként kerül besorolásra. A rangsorolás kiegészítéseként az üzenetek a különböző egyéb szűrőparaméterek valamelyike szerint is megjelölhetőek kéretlen levélként.
16.2.16 Feketelista/Fehérlista (Blacklist/Whitelist) A „FEKETELISTA” (BLACKLIST) fülön lehetőség van bizonyos e-mail címek vagy domainek kéretlen levélként való meghatározására. Bármilyen bejövő e-mail üzenet, amely ezekről a címekről vagy domainekből érkezik, azonnal kéretlen levélként jelölődik meg. A „FEHÉRLISTA” (WHITELIST) fülön ennek pont az ellenkezője található, a fehérlistás e-mail címekről vagy domainekből érkező levelek soha nem lesznek kéretlen levélként megjelölve. Az adminisztrátorok a fekete- és a fehérlista kombinálásával finomhangolhatják a kéretlenlevél-szűrőt. Ha valamilyen meghatározott típusú üzenet, például rendszeresen küldött hírlevelek, folyamatosan kéretlen levélként kerülnek besorolásra, fehérlistára tehetőek. Ennek megfelelően az esetlegesen
rendszeresen visszatérő felesleges, nem kívánatos e-mail üzenetek feketelistára tehetőek.
16.2.17 Kulcsszavak Az e-mailek feladó címe vagy domainek szerinti kategorizálása helyett a MailGateway képes bizonyos kulcsszavakra keresést végezni. Amennyiben ezek közül bármelyik megtalálható az üzenetben, akkor az kéretlen levélként lesz megjelölve. Az üzenetek tárgyához, illetve szövegtörzséhez külön kulcsszólisták adhatóak meg. Alapértelmezettként mindkét lista engedélyezve van, és fel van töltve olyan, előre meghatározott kifejezésekkel, amelyeket a kéretlenlevél-küldők gyakran használnak. Amennyiben valamilyen meghatározott tartalmat mindig szűrni kell, kulcsszavak adhatóak az egyik vagy mindkét listához. Alapértelmezettként a „CSAK TELJES SZAVAS EGYEZÉS” (MATCH WHOLE WORDS ONLY) beállítás engedélyezve van. Ez biztosítja azt, hogy egy üzenet nem kerül kéretlen levélként besorolásra, abban az esetben, ha olyan szó található benne, amely részben megegyezik egy kulcsszóval. Például ha az olyan leveleket kívánja szűrni, amelyekben megtalálható a „pénz” szó, akkor az hozzáadható a tárgy- (subject) vagy a levéltörzs- (body) listához. A „CSAK TELJES SZAVAS EGYEZÉS” (MATCH WHOLE WORDS ONLY) beállítás kikapcsolásával a MailGateway a „pénz” szó mindenfajta előfordulását szűrni fogja, például „pénztáros” vagy „pénznem”. Az ilyen akaratlan szűrés elkerülésére hagyja ezt a beállítást bekapcsolva.
16.2.18 Valós idejű feketelisták (Real-time blacklists) A valós idejű feketelistákat egy teljesen különálló fülön lehet beállítani. Ezeket tipikusan online spamellenes szervezetek kezelik, és az olyan ismert levelezőszerverek listáját tartalmazza, amelyeket a kártékony levelek terjesztői használnak. Ha a MailGateway be van állítva a valós idejű feketelisták használatára, ellenőrzi a feladók domainjét, és amennyiben az megtalálható a listán, növeli az üzenet kéretlen levél indexpontijait. A MailGateway használhatja az alapértelmezett valós idejű feketelistákat, vagy azok szükség esetén felcserélhetőek más URLekkel. Amennyiben valamilyen domaint mindig engedélyezni kell, függetlenül attól, hogy szerepel-e a valós idejű feketelistán vagy sem, fehérlistára kell rakni.
16.2.19 Bayesi tartalomszűrő Az összes kéretlenlevél-paraméter beállítását követően a „TARTALOMSZŰRŐ” (CONTENT FILTER) engedélyezésével egy újabb védelmi réteg adható a már meglévőkhöz. Ez egy öntanuló szűrő, amely a bayesi kéretlenlevél-szűrési törvényeken alapszik. Az engedélyezése után minden kéretlen levélként megjelölt e-mail karakterisztikája elmentésre kerül egy adatbázisba. Ezt követően az érkező e-mailek már ezen karakterisztika alapján lesznek vizsgálva. Ez abban az esetben is segít felismerni a kéretlen leveleket, ha azok némileg eltérnek a fehérlistán, feketelistán vagy a kulcsszavakkal meghatározott paraméterektől. A „TARTALOMSZŰRŐ” (CONTENT FILTER) fülön statisztikai adatok láthatóak az adatbázishoz adott emailek számáról. Minél több e-mail lett ellenőrizve, annál jobban működnek a bayesi szűrőfunkciók.
16.2.20 Egyedi szűrők (Filter) A kártevők és a kéretlen levelek fenyegetést jelentenek a címzettek számára, de ezek nem az egyetlen olyan tartalmak, amelyek indokolják a szűrések használatát. Számos vállalati környezetben az e-mailt csak üzleti célokra használják, a nem megfelelő, illegális vagy zavaró tartalmakat szűrni kell. A kártevők elleni védelem és a kéretlen levelek szűrése mellett a MailGateway számos egyedi szűrőt is biztosít, amelyekkel azok az e-mail üzenetek szűrhetőek, amelyek nem egyeznek a vállalat házirendjével, vagy valamilyen egyéb módon szükségtelenek. Az egyedi szűrők kezeléséhez nyissa meg a MailSecurity Administrator „SZŰRŐ” (FILTER) modulját, amelyben áttekintés látható az összes jelenlegi szűrőről. A lista alatt található gombcsoport az összes szűrőre érvényes funkcionalitásokat kínál. A beállítások importálhatóak, illetve exportálhatóak, az összes szűrőnél, egyszerre (lásd 16.2.2. fejezet). A „STATISZTIKÁK” (STATISTICS) gombbal mindegyik szűrőnél néhány alapvető statisztikai adat tekinthető meg: a feldolgozott e-mail üzenetek száma, és azok száma, amelyek az adott szűrő feltételeinek megfeleltek. A szűrők kezeléséhez az „ÚJ” (NEW), „SZERKESZTÉS” (EDIT) és a „TÖRLÉS” (DELETE) gombok használhatóak. A szűrő engedélyezéséhez, illetve letiltásához a szűrő jelölőnégyzete használandó. Mindegyik szűrőnek meghatározott beállításai vannak, amelyek a szűrő hozzáadásakor vagy a „SZERKESZTÉS” (EDIT) gomb megnyomásával szerkeszthetőek. Mindegyik szűrő rendelkezik „NÉV” (NAME) és „MEGJEGYZÉS” (NOTE) mezővel. A könnyebb megkülönböztetés végett a szűrő neve szerkeszthető a szűrőlistában. Ez különösen akkor hasznos, ha egy szűrőből több példány is lehet, például „FELADÓ” (SENDER) és „CÍMZETT” (RECIPIENT) szűrők. A „MEGJEGYZÉS” (NOTE) rész szintén megjelenik a listában, ami jól használható a szűrővel kapcsolatos feljegyzésekre. A kártevőtalálat esetén végrehajtott intézkedésekhez hasonlóan a MailGateway is számos műveletet képes végrehajtani, amennyiben egy e-mail üzenet megfelel valamelyik szűrőnek. A legtöbb szűrő beállítható, hogy megfelelés esetén elutasítsa az üzeneteket. Továbbá lehetőség van az üzenet küldőjének értesítésére (egyedileg beállítható szöveggel), amely tájékoztatja arról, hogy a címzett nem kapta meg az üzenetet. Egy vagy több személy számára figyelmeztetés küldhető, melynek segítségével az adminisztrátorok nyomon követhetik a hálózati e-mail forgalmat. Ez a figyelmeztetés tartalmazhatja azt az e-mail üzenetet, amely a szűrési feltételeknek megfelelt. Ezek hasznosak lehetnek elemzés céljából, ugyanakkor az üzenetek kártevőfertőzöttek lehetnek vagy nem megfelelő tartalommal rendelkezhetnek, ezért ezeket az üzeneteket óvatosan kell kezelni. A legtöbb szűrő a bejövő és a kimenő e-mailekre is alkalmazható (kivéve olyan esetekben, ahol a szűrő logikailag csak az egyik forgalomtípusra alkalmazható, például a szürkelistaszűrő). A felhasználók biztonságának érdekében ajánlott a bejövő forgalomra szűrők engedélyezése. Egy vagy több szűrő engedélyezésével a kimenő forgalomra biztosítható, hogy a kimenő vállalati levelek megfelelnek a biztonsági szükségleteknek.
16.2.21 Csatolmányok (Attachments) A csatolmányok régóta az elsődleges módjai a kártevők terjesztésének. A korai kártevők úgy terjesztették magukat, hogy az áldozat számítógépen található címlistán található összes címre elküldtek egy e-mailt, amelyhez egy kártevővel fertőzött futtatható fájl volt csatolva. A modern
kártevők gyártói gyakran célzott támadásokat hajtanak végre, csak egy kiválasztott csoport számára küldik a leveleket, annak reményében, hogy hozzáféréshez jutnak a címzettek számítógépén található értékes, fontos dokumentumokhoz. Míg a kártevőket általában a célszámítógép fájlrendszervédelme elkapja, a kockázat tovább csökkenthető, ha a MailGateway kiszűri a veszélyes csatolmányokat. A csatolmányszűrő (attachment filter) fehér- vagy feketelista módban működhet. Feketelista módban a csatolmányok, amelyek a listán vannak, nem engedélyezettek. Fehérlistás módban csak a listán szereplő csatolmánytípusok engedélyezettek, minden egyéb csatolmány tiltott. Mint a legtöbb szűrőmodulnál, a fehérlista mód biztosítja a legnagyobb biztonságot. Ha a jóváhagyott kiterjesztések kivételével minden elutasításra kerül, még az ismeretlen támadási vektorok is megakadályozhatóak. Ugyanakkor a szabályos tartalom is blokkolásra kerülhet, ha az a fájltípus nem lett korábban pontosan, biztonságosként meghatározva. A feketelista móddal minden ismert, veszélyes fájlkiterjesztés tiltható. Ez a leggyakrabban használt kártevőket tartalmazó csatolmánytípusok ellen védelmet nyújt, azonban ha olyan támadási vektorral érkezik egy fenyegetés, amely nincs pontosan, kártékonyként meghatározva, átengedheti a kártevőt. Azok a csatolmánytípusok, amelyeket szűrni kell, a „FÁJLKITERJESZTÉSEK” (FILE EXTENSIONS) listában adhatóak meg. A különböző kiterjesztések egymástól pontosvesszővel választhatóak el. A feketelista mód használatakor a blokkolandó kiterjesztések általában magukba foglalják a futtatható fájlokat, úgymint: .exe, .scr és .com. A különböző szkriptek olyan kiterjesztésekkel rendelkezhetnek, mint: .bat, .vbs, .js, és .cmd, ezeket célszerű szintén blokkolni. A rendszerleíró adatbázis (registry) beállító fájljai (.reg) szinén blokkolhatóak. A tömörítvények, mint a .zip, .rar és .7z, akár kártevőket is tartalmazhatnak. Bármilyen egyéb kiterjesztés blokkolására is lehetőség van, például, ha nem egyeztethetőek össze a vállalat házirendjével. A fehérlista mód használatakor a leggyakrabban használt és küldött fájlformátumokra célszerű alapozni a listát (.txt, .doc vagy .jpg). A csatolmányok fehérlistázása nem feltétlenül jelenti azt, hogy azok biztonságosak. A dokumentumok továbbra is kártevőket tartalmazhatnak. A MailGateway kártevővédelmének ellenőriznie kell a csatolmányt, és a kliensen engedélyezni kell az e-mail ellenőrzést vagy a fájlrendszervédelmet. A „CSATOLMÁNYOK SZŰRÉSE BEÁGYAZOTT EMAILEKBEN” (ALSO FILTER ATTACHMENTS IN EMBEDDED EMAIL) lehetőség engedélyezésével a MailGateway akkor is szűri a csatolmányokat, ha azok egy beágyazott e-mail fájlban találhatóak. Ezt a beállítást célszerű bekapcsolva hagyni, mert így azok az üzenetek is biztonságosak, amelyek egy beágyazott e-mail formájában kerültek továbbításra. Ha a MailGateway egy e-mail üzenetben egy vagy több ártó szándékú csatolmányt észlel, különféle műveleteket hajthat végre. Amennyiben a „CSATOLMÁNYOK ÁTNEVEZÉSE” (ONLY RENAME ATTACHMENTS) engedélyezve van, a csatolmány átnevezésre kerül, a „VÉGZŐDÉS” (SUFFIX) mezőben meghatározott értékkel kiegészítve a nevét. Ezzel megakadályozható a futtatható fájlok (beleértve az Office dokumentumok) futtatása, mivel ha a felhasználó futtatni akarja, akkor le kell mentenie, majd ismét átneveznie a fájlt. A további biztonsági érdekében a „CSATOLMÁNYOK ÁTNEVEZÉSE” (ONLY RENAME ATTACHMENTS) lehetőség kikapcsolásával a MailGateway (feketelista mód esetén) törölni fog minden olyan csatolmányt, amelyik megegyezik a listán található kiterjesztéssel, illetve (fehérlista mód esetén) minden olyan csatolmányt, amelyik nem egyezik meg a listával. Ajánlott a csatolmányok eltávolítása, azonban ez adatvesztéshez vezethet. Ha az összes kliensgép a fájlrendszervédelemmel védve van, a csatolmányok átnevezése használható az eltávolítás helyett, bár ez nem ajánlott. A csatolmány átnevezésének és eltávolításának kiegészítéseként lehetőség van egy üzenet beszúrására az e-mail szövegtörzsébe. Az üzenet hozzáadásával a címzett tájékoztatható a vírustalálatról, tisztázva mindenféle félreértést, ha esetleg az e-mail szövege hivatkozik (az átnevezett vagy eltávolított) csatolmányra.
16.2.22 Tartalom (Content) A tartalomszűrő (content filter) a MailGateway beépített kéretlenlevél-szűrőjének kiegészítéseként (is) használható. Míg a MailGateway beépített szűrője a kéretlen levelek felismerésére van optimalizálva, beleértve a dedikált szólistát és kéretlenlevél-központú modulokat, a tartalomszűrő bármilyen típusú tartalom kiszűrésére beállítható. Például szűrhető az olyan tartalom, amelyik nem kapcsolatos a munkával (a közismert „nem témába vágó” kifejezések szűrésével). Másik példa az olyan érzékeny tartalmak szűrése, amelyekkel a versenytársak valamilyen előnyhöz juthatnak. A tartalom típusa reguláris kifejezés (regular expression) formában adható meg. A reguláris kifejezések nagyon hatékony eszközei a komplex karaktersorozatoknak való megfelelésnek. Az „ÚJ” (NEW) gomb használatával, különböző keresési feltételek megadásával, felépíthető egy
reguláris kifejezés, amelyhez majd illeszkedni kell. Ez segítséget biztosít azon adminisztrátorok számára, akik nem ismerik a reguláris kifejezéseket. Alternatívaként a reguláris kifejezések valamilyen online forrása útmutatást adhat.17 Lehetőség van a „Keresési terület” (Search scope) meghatározására, beleértve az e-mail „FEJLÉCÉT” (HEADER), „TÁRGYÁT” (SUBJECT), „LEVÉLSZÖVEGÉT” (MAIL TEXT), „HTML SZÖVEGÉT” (HTML TEXT) és/vagy a „BEÁGYAZOTT E-MAILT” (EMBEDDED EMAIL).
16.2.23 Külső hivatkozások (External references) Az e-mailek gyakran tartalmaznak HTML hivatkozásokat külső tartalmakra, úgymint képek, linkek vagy szkriptek. A külső tartalmak hasznosak lehetnek például e-mail formátumsablonokhoz, ugyanakkor gyakran használják a kéretlen levelek és a kártevők terjesztői is. A külső képek használatával a kéretlenlevél-küldők felmérhetik az e-mail fiók aktivitását, a személyre szabott képek beágyazásával pedig megfigyelhetik a képet letöltő e-mail klienst, ezáltal tudva, hogy a levelet elolvasták, emellett naplózhatják a kliens IP címét. A külső tartalmak letöltésének megakadályozására a külső hivatkozások a bejövő e-mailekből teljes mértékben kiszűrhetőek. Ennek a szűrőnek nincsenek további beállításai.
16.2.24 Szürkelista (Greylist) A szürkelistaszűrő azt a tényt használja ki, hogy a kéretlenlevél-küldők általában nem használnak várakozási sor rendszert (queuing system): a kéretlen levelek általában csak egyszer kerülnek elküldésre, a terjesztő levelezőszerver nem próbálja meg újraküldeni az üzenetet. A legális levelezőszerverek, ha az első alkalommal nem sikerült kézbesíteni azt, megpróbálják újraküldeni az e-mail üzeneteket. Amennyiben a szürkelista- (greylist) szűrő engedélyezve van, a MailGateway nem azonnal fogadja a bejövő leveleket, ehelyett kérést küld a küldő szerver felé az üzenet újraküldésére. A legális levelezőszerverek tiszteletben tartják a kérést, és újraküldik az
17
Egy lehetséges kiindulópont, a Wikipedia „Reguláris kifejezésekkel” (Regular expressions) foglalkozó bejegyzése, ahol példák is találhatóak: http://en.wikipedia.org/wiki/Regular_expression#Examples.
üzenetet – a kéretlen leveket küldő szerverek nem. Amennyiben az üzenet újra elküldésre kerül, átment a szürkelistaszűrőn. Továbbá ezt követően a feladó címe, a címzett címe és a küldő levelezőszerver azonosítója szürkelistára rakható, így a jövőben ezek az e-mail üzenetek azonnal kézbesítve lesznek. Ahhoz, hogy a szürkelistaszűrőt engedélyezni lehessen, a kéretlenlevél-szűrőnek aktívnak kell lennie (lásd 16.2.4. fejezet). Továbbá a Microsoft SQL Server 2008 SP3 Expresst telepíteni kellett a MailGateway telepítése során (lásd 4.2.4.2. fejezet). A szürkelistaszűrő engedélyezése után számos beállítási lehetőség megadható. A „VÁRAKOZÁSI IDŐ” (WAITING TIME) alatt megadható az az időtartam, amíg egy e-mail vissza van tartva. Ez alapértelmezettként 0 perc a normál e-mailek számára (a szürkelista ténylegesen ki van kapcsolva), illetve 30 perc a gyanúsként besorolt e-maileknél. Egy üzenet abban az esetben lesz gyanús, ha úgy tűnik, hogy a fejlécét módosították, például ha a visszakeresés eltérést mutat a levelezőszerver neve és IP címe között. Egy gyanús üzenet csak akkor kerül kézbesítésre, ha minimum 30 perces várakozás után a küldő szerver újraküldi az üzenetet. Ha a küldő szerver a 30 perc letelte előtt küldi újra az üzenetet, akkor „kérelmet kap”, hogy próbálja meg később. A szürkelista naprakészen tartásához a feladó és a címzett címe, illetve a levelezőszerver azonosítója csak egy meghatározott ideig tartható a szürkelistán. Két különálló szürkelista „ÉLETTARTAM” (LIFETIME) állítható be: e-mail cserével vagy a nélkül. Az „E-MAIL CSERE NÉLKÜL” (WITHOUT EXCHANGING EMAIL) azokra az e-mailekre vonatkozik, amelyeket egy meghatározott időn belül (alapértelmezettként 2 nap) nem küld újra a küldő levelezőszerver. Ezek eltávolításra kerülnek a szürkelistáról. Ezzel az intézkedéssel biztosítható, hogy a szürkelista nem lesz olyan kéretlen leveleket küldő szerverek bejegyzéseivel feltöltve, amelyek csak egyszer küldik el az email üzenetet, újrapróbálkozás nélkül. Az „E-MAIL CSERÉVEL” (WITH EMAIL EXCHANGE) kezeli azokat a szürkelista-bejegyzéseket, amelyeknél a küldő levelezőszerver újraküldte az e-mailt. Minden alkalommal, amikor egy e-mail fogadása történik, és az megegyezik a szürkelistabejegyzéssel, azonnal kézbesítésre kerül, és a szürkelista időmérője alaphelyzetbe áll. Ez biztosítja az olyan, visszatérő e-mailek gyors kézbesítését, mint például a hírlevelek.
16.2.25 HTML szkriptek (HTML scripts) Habár a HTML az e-mailekben teljesen legálisan használható, például formátumsablonokra, ugyanakkor biztonsági kockázatot is jelent. Valamilyen rosszindulatú szkript lefuthat az e-mail üzenet megnyitásakor, megfertőzve ezzel a számítógépet kártevőkkel vagy valamilyen egyéb, nem kívánt viselkedést okozva. A HTML szkriptszűrő eltávolítja az összes szkriptet a bejövő és/vagy a kimenő levelekből. Minden egyes HTML szkriptcímkepár (<script> és ) kiszűrésre kerül, ezzel megszüntetve a lehetséges fenyegetéseket. Ennek a szűrőnek nincsenek további beállításai.
16.2.26 IP címek (IP addresses) Az IP szűrővel (IP filter) levelezőszerverek tehetőek fehér- vagy feketelistára. Ha bizonyos szervereknek nem engedélyezett, hogy e-mailt küldjenek a vállalati hálózatba, azok feketelistára tehetőek az IP címük hozzáadásával az IP szűrőhöz. Ellenben, ha csak egy néhány levelezőszerver számára engedélyezett az e-mail küldés, azok IP címei fehérlistára tehetőek. Az
IP címek megadhatóak egyszerű címként vagy a CIDR jelölés használatával. Az IP címek listája egyszerű szöveges fájlként exportálható, illetve másik szerverre vagy szervermigráció esetén importálható.
16.2.27 Nyelv (Language) Ha a hálózati kliensek, általánosságban, nem kommunikálnak valamilyen meghatározott nyelven, akkor feltételezhető, hogy az ilyen nyelven érkező bejövő üzenetek nem kívánatosak. A nyelvszűrő (language filter) használatával egy adott nyelven írt üzenetek kiszűrhetőek. Például egy angolul beszélő vállalatnál, amely nem rendelkezik japán üzleti partnerekkel vagy vásárlókkal, a kéretlen levelek visszaszorításának érdekében a japán nyelvű e-mailek blokkolhatóak. A MailGateway nyelvfelismerő rendszere minden egyes e-mailhez hozzárendel egy nyelvfelismerési fokot. A „NEMKÍVÁNATOS NYELVEK” (UNDESIRED LANGUAGES) alatt kiválaszthatóak a szűrni kívánt nyelvek. Az alapvető intézkedések kiegészítéseként a MailGateway hozzáadhat egy kéretlenlevél-figyelmeztetést az e-mail tárgyához és szövegtörzséhez. Az alapértelmezett tárgy előtag az [%L %P], amely hozzáadja a nyelv és a nyelvi egyezés százalékát a tárgyhoz. A tárgyhoz és a szövegtörzshöz bármilyen üzenet hozzáadható.
16.2.28 Levélnyugtázási kérés (Read receipt request) Bevett gyakorlat, hogy számos felhasználó a küldött levél elolvasásáról visszaigazolást kér. A címzettek oldalán azonban ez gyakran bosszantó lehet, különösen akkor, ha az e-mail mindenképpen választ igényel. Ezen felül a kártékonylevél-küldők szintén kérhetik a visszaigazolást, ezáltal felmérve az e-mail fiók aktivitását, növelve a kéretlen levelek számát, ha az e-mail fiók aktív használatban van. Ennek a szűrőnek nincsenek további beállításai.
16.2.29 Feladó/Címzett (Sender/Recipient) Lehetőség van az e-mail üzenetek szűrésére, feladó (sender) vagy címzett (recipient) alapján. Ha egy bizonyos domainből olyan nem kívánatos e-mailek érkeznek, amelyekről egyik egyéb szűrő sem gondoskodik, a domain hozzáadható a feladószűrőhöz (sender filter), így biztosítva a szűrésüket. Ugyanez érvényes azokra az e-mailekre, amelyeket valamilyen meghatározott címzettnek vagy domainbe küldenek. A címzettszűrő (recipient filter) nem feltétlenül a nem kívánatos levelek megakadályozására szolgál, azonban beállítható, hogy figyelmeztetést küldjön, ha egy e-mail valamilyen meghatározott címzettnek kézbesítésre kerül. A feladószűrő beállítható, hogy szűrje a feladó nélküli leveleket. A kéretlen levelek küldőinek bevett szokása, hogy az e-mail fejlécének manipulálásával kihagyják a feladói információkat. A címzettszűrő, opcionálisan, szűrheti azokat a leveleket, amelyeknek üres a címzettmezőjük (csak másolat [CC] vagy a titkos másolat [BCC] címzetteket tartalmaz).
16.2.30 Kéretlen levél (Spam) A „SZŰRŐK” (FILTERS) modulban található kéretlenlevél-szűrő (spam filter) hivatkozást biztosít a kéretlen levél szűrőmodul átfogó beállítási ablakához (lásd 16.2.4. fejezet).
17.
Haladó beállítások
A G Data üzleti megoldásokat úgy tervezték, hogy azok egyből telepítésre, bevezetésre készek legyenek. A szerver- és a klienskomponensek felállításához és működéséhez nincs szükség haladó beállításokra. A G Data Administrator kezelőfelületén keresztül minden általános beállítás elérhető. Számos haladó beállítás teszi lehetővé, hogy a G Data megoldás optimálisan fusson a vállalati hálózaton, ugyanakkor ezeket általában csak abban az esetben szükséges beállítani, ha a G Data terméktámogatása kéri.
17.1
Konfigurációs fájlok
A G Data ManagementServer számára számos haladó beállítás szerkeszthető, XML alapú konfigurációs fájlokban. A két központi fájl a Gdmms.exe.config és az IUpdateCfg.xml. Mindkettő a G Data ManagementServer telepítési könyvtárában található (általánosságban: C:\Program Files (x86)\G DATA\G DATA AntiVirus ManagementServer). A fájlok Jegyzettömbbel vagy valamilyen szöveges szerkesztőprogrammal módosíthatóak. A konfigurációs fájlok szerkesztésekor győződjön meg arról, hogy a szerkesztőprogram nem .txt kiterjesztéssel menti el azokat. Válassza ki az „ÖSSZES FÁJLT” (ALL FILES, [*.*]), majd ellenőrizze, hogy a fájlnév pontosan megegyezik a korábbival. A váratlan működés elkerülése érdekében a konfigurációs fájlok szerkesztése előtt a G Data ManagementServer háttérben futó szolgáltatását le kell állítani, majd a konfigurációs fájlok szerkesztése és mentése után újra kell azt indítani (ez a Szolgáltatások [Services] ablakban megtehető [Start, Futtatás, services.msc ‒ Start, Run, services.msc]). Mint minden egyéb haladó konfigurációs fájlnál, a szerkesztés előtt itt is készítsen a fájlról biztonsági mentést. Ha a módosításokat követően a G Data megoldás nem várt működést mutat, állítsa vissza a konfigurációs fájl biztonsági mentését.
<sectionGroup name="applicationSettings" type="System.Configuration ... <section name="Gdata.AntiVirus.Business.Server.Gdmms.Properties ... <setting name="UseIntegratedDatabase" serializeAs="String"> False <setting name="DbDatabase" serializeAs="String"> GDATA_AntiVirus_ManagementServer
: Gdmms.exe.config Csak azokat a beállításokat módosítsa, amelyek az adott probléma megoldását szolgálják. A Gdmms.exe.config fájl felépítése az olyan adminisztrátorok számára ismerős lehet, akik korábban
szerkesztettek már XML típusú konfigurációs fájlt. A fájl meghatározza az alkalmazásbeállítások egy szakaszát, majd listázza a szakaszban található beállításokat a <setting> címkepárral. Minden beállítás rendelkezik névvel (name), attribútumként meghatározva, a <setting> címkén belül, illetve egy értékkel (value), a címkepár közé zárva. Ha nem található érték, akkor a címkepár rövidítve van: . Az érték tipikusan lehet: egész szám, boolean (True/False) (igaz/hamis), karakterlánc vagy időtartam (TimeSpan) érték. Az ebben a fejezetben található táblázat felsorolja a beállítások nevét és a hozzájuk tartozó lehetséges értékeket. A beállítás nevét soha nem kell szerkeszteni, csak a hozzá tartozó értéket. Az IUpdateCfg.xml fájlban a szerver- és kliensprogramfájlokkal, illetve a vírusszignatúra adatbázis-frissítésekkel kapcsolatos beállítások találhatóak. A felépítése némileg eltérő, mindegyik érték a saját címkepárjába van mentve. Az IUpdateCfg.xml-ben található beállítások módosításához szerkessze a címkepárok között található értéket. C:\ProgramData\G DATA\AntiVirus ManagementServer\Updates 1 5 GER <StandAlone>False
: IUpdateCfg.xml
17.1.1 Adatbázis (Database) A telepítés folyamán a G Data ManagementServer vagy a helyi Microsoft SQL Express adatbázis, vagy valamilyen külső SQL szerver példány használatára van beállítva. Az adatbázis-beállítások megváltoztatásához használja a GdmmsConfig.exe grafikus felületét (lásd 17.1.8 fejezet). A GdmmsConfig.exe automatikusan elmenti a változtatásokat a Gdmms.exe.config fájlba, ahol azok, szükség szerint, közvetlenül is szerkeszthetőek.
DbServer
.\GDATASQLSRV2K8
Az adatbázisszerver neve és példánya, Szerver\Példány formátumban. Megfelel a GdmmsConfig.exe-ben található SQL Server beállításoknak.
DbDatabase
GDATA_AntiVirus_ ManagementServer
Az adatbázis neve. Megfelel a GdmmsConfig.exe-ben található adatbázis-beállításoknak (database settings).
DbIntegratedSecurity
True (Igaz)
Windows (True/Igaz) vagy SQL (False/Hamis) használata az adatbázisba való bejelentkezéshez. Megfelel a GdmmsConfig.exe-ben található bejelentkezési hitelesítés (logon authentication) beállításnak.
DbDatabaseUser
<empty> (üres)
SQL Server hitelesítési felhasználónév. Windows hitelesítés használata esetén üres. Megfelel a GdmmsConfig.exe-ben található bejelentkezési felhasználónév (logon username) beállításnak.
DbDatabasePassword
<empty> (üres)
SQL Server hitelesítési jelszó (ellenőrző összeg). Windows hitelesítés esetén: üres. Megfelel a GdmmsConfig.exe-ben található bejelentkezési jelszó (logon password) beállításnak.
DbImpersonateUser
<empty> (üres)
Az adatbázis-bejelentkezéshez használandó Windows felhasználó. Alapértelmezettként üres, a RENDSZER (SYSTEM) fiók van használva. Megfelel a GdmmsConfig.exe-ben található bejelentkezési felhasználónév (logon username) beállításnak.
DbImpersonatePassword
<empty> (üres)
Az adatbázis-bejelentkezéshez használt felhasználó jelszava (ellenörző összeg). Alapértelmezettként: üres. Megfelel a GdmmsConfig.exe-ben található bejelentkezési jelszó (logon password) beállításnak.
PerformStartupDbCheck AndRepair
True (Igaz)
Eltávolítja a felesleges adatbázis-bejegyzéseket a ManagementServer szolgáltatás elindulását követően.
17.1.2 Portok (Ports) A G Data ManagementServer telepítése alatt elfoglalja azokat az alapértelmezett TCP portértékeket, amellyel később a G Data Administratorhoz és a mobilkliensekhez csatlakozik (lásd 2.2. fejezet). A portok száma úgy kerül kiválasztásra, hogy minimalizálja a behatást a meglévő programokra, ugyanakkor előfordulhat portütközés. A portok hozzárendelése a Gdmms.exe.config fájlban megváltoztatható. A ClientHttpPort vagy a ClientHttpsPort megváltoztatásakor a port HTTPS biztonsági beállítását újra kell inicializálni, még a ManagementServer szolgáltatás újraindítása előtt. Ehhez nyissa meg a parancssort (rendszergazdai jogosultságokkal), majd adja ki a következő parancsot: C:\Program Files\G DATA\G DATA AntiVirus ManagementServer\gdmmsconfig.exe /installcert. Az AdminPort értékének megváltoztatása után a G Data Administratorba való bejelentkezéskor a szerverportot pontosan meg kell határozni, szervernév:port formában.
AdminPort
0
TCP port a G Data Administratorral való kommunikációra. Adjon meg bármilyen portszámot. A 0-s érték a sztenderd 7182-es portot jelenti.
ClientHttpsPort
0
TCP port a mobilkliensekkel való kommunikációra. A ClientHttpsPortot nem célszerű megváltoztatni, mert a mobilkliensek nem fogadják el az alternatív portokat. Adjon meg bármilyen portszámot. A 0-s érték a sztenderd 7183-as portot jelenti.
ClientHttpPort
0
TCP port a mobilkliensekkel való kommunikációra (a mobilkliens telepítőfájlok szétosztására). Adjon meg bármilyen portszámot. A 0-s érték a sztenderd 7184-es portot jelenti.
17.1.3 Szerver Az adatbázis- és a szerverport-beállítások kiegészítéseként a ManagementServer egyéb funkciói is finomhangolhatóak a Gdmms.exe.config használatával. A szerverbeállítások megváltoztatásakor vegye figyelembe, hogy azok a megfelelő működés érdekében gyakran egyéb helyeken is (például: G Data Security Client, rendszerleíró adatbázis) változtatásokat igényelnek.
DisplayLicenseLimit
True (Igaz)
Megjeleníti az engedélyezett terméklicencek számát és lejárati dátumát, a Licencáttekintő (License overview) ablak bővített nézetében.
IsSecondaryMMS
False (Hamis)
A szerver meghatározása elsődleges vagy másodlagos ManagementServerként.
MainMms
(név)
A szerver neve, ahogy az a ManagementServer telepítése közben meghatározásra került. A telepítőcsomagok, illetve a távoli klienstelepítések feltöltésére használatos. Meg kell egyeznie a HKEY_LOCAL_MACHINE\Software\G DATA\AVK ManagementServer\SzámítógépNév értékkel.
MaxParallelClientInstallation
5
A maximálisan egyszerre telepíthető kliensek száma. A túl nagy számok hálózati torlódáshoz vezethetnek. Értéke: Minimum: 5, Maximum: 1000
MaxSubnetUpdateThreads
300
Az alhálózati szerverek maximális száma, amelyek a ManagementServerhez csatlakozhatnak frissítések vagy szinkronizáció végett.
MaxUpdateThreads
300
DisableActiveDirectorySearc h
False (Hamis)
A kliensek maximális száma, amelyek a ManagementServerhez csatlakozhatnak frissítések vagy szinkronizáció végett. Amennyiben a G Data Administratorban a terhelési limit engedélyezve van, és a Párhuzamos frissítés letöltések (Simultaneous update download) érték meg van határozva, akkor ez az érték figyelmen kívül hagyódik. Az Active Directory szinkronizáció letiltása.
EmailCodePage
<empty> (üres)
A kimenő e-mailek kódlapja. Amennyiben itt nincs kódlap meghatározva, az UTF-8 lesz használatban.
17.1.4 Könyvtárak Azok a könyvtárak, amelyekben a ManagementServer tárolja az adatokat, szintén beállíthatóak, habár az alapértelmezett értékek a legtöbb esetben megfelelőek. A könyvtárak újra meghatározásakor az eredeti könyvtárban lévő fájlokat még a ManagementServer szolgáltatás újraindítása előtt az új könyvtárba kell másolni. Az UpdateDistributionFolder értékének megváltoztatásakor az IUpdateCfg.xml fájlban található BasePath értéket is ugyanarra a könyvtárra kell változtatni (lásd 17.1.8. fejezet).
BackupFolders
(könyvtár)
A biztonsági mentések alapértelmezettként a C:\ProgramData\G DATA\AntiVirus ManagementServer\Backup könyvtárban tárolódnak. Ha a G Data Administratorban a Szerver biztonsági mentési útvonalak (Server backup paths) meg vannak határozva, akkor ez az érték figyelmen kívül hagyódik (lásd 12.1 fejezet).
DBBackupFolder
<empty> (üres)
A GdmmsConfig.exe-ben legutoljára használt adatbázis biztonsági mentés könyvtár. Csak a GdmmsConfig.exe felületén keresztül célszerű megváltoztatni.
InternetUpdatePgmFolde r
(könyvtár)
Az a könyvtár, ahova az Internetes frissítés (Internet Update) komponens (IUpdate.exe) el van tárolva. Alapértelmezettként: C:\Program Files (x86)\G DATA\G DATA AntiVirus ManagementServer. Ezt az értéket nem célszerű megváltoztatni.
PatchFilesFolder
(könyvtár)
A Javításkezelő (Patch management) fájljai, alapértelmezettként a C:\ProgramData\G DATA\AntiVirus ManagementServer\Patches könyvtárban vannak tárolva.
QuarantineFolder
(könyvtár)
UpdateDistributionFolder
(könyvtár)
A karanténozott fájlok, alapértelmezettként a C:\ProgramData\G DATA\AntiVirus ManagementServer\Quarantine könyvtárban vannak tárolva. A vírusszignatúra-frissítések és a programfájlfrissítések, alapértelmezettként a C:\ProgramData\G DATA\AntiVirus ManagementServer\Updates könyvtárban vannak tárolva.
17.1.5 Peer-to-peer frissítésszétosztás A G Data Administratorban található „INTERNETES FRISSÍTÉS” (INTERNET UPDATE) ablak segítségével engedélyezhető a peer-to-peer frissítésszétosztás, a frissítésszétosztás által okozott szerverterhelés csökkentésére (lásd 7.3. fejezet). A peer-to-peer frissítésszétosztás minden további beállítás nélkül használható, azonban a beállításai a hálózati körülményekhez alakíthatóak a Gdmms.exe.config használatával. Például a „szomszédság” (vicinity) számos paraméterrel meghatározható.
P2PClientAbandoned ConnectionThresholdMin
1
Az a maximális inaktivitási időtartam, ami után a kapcsolat elhagyottnak (abandoned) tekintendő (kliensoldalon).
P2PClientMaxServedPeers
5
Az egy peer által egyszerre kiszolgálandó maximális kliensszám.
P2PConnectRetries
3
A kapcsolódás újrapróbálásának maximális száma, mielőtt a kliens egy másik peer felé küld kapcsolódási kérelmet.
P2PConsiderClientsDHCP
False (Hamis)
Vegye figyelembe, hogy a kliensek ugyanattól a DHCP szervertől kérjenek dinamikus IP címet, hogy egymás szomszédságában (vicinity) legyenek.
P2PConsiderClientsDomain
True (igaz)
Vegye figyelembe a klienseket ugyanabból a domainből, hogy egymás szomszédságában legyenek.
P2PConsiderClientsGateway
False (Hamis) True (Igaz)
Vegye figyelembe, hogy a kliensek ugyanazt az átjárót használják, hogy egymás szomszédságában legyenek. Vegye figyelembe a kliens legutolsó hozzáférését, amikor a klienst frissítési forrásként határozza meg.
P2PConsiderClientsLastAcces s P2PConsiderClientsOnBattery
False (Hamis)
Zárja ki, mint frissítési forrás, azokat a klienseket, amelyek akkumulátorról kapják a tápellátást.
P2PConsiderClientsSubnet
False (Hamis)
Vegye figyelembe a klienseket ugyanabból az alhálózatból, hogy egymás szomszédságában legyenek.
P2PDisablePGMUpdate Distribution
False (Hamis)
A programfájlfrissítések peer-to-peer szétosztásának engedélyezése vagy tiltása (tiltott állapotban csak a vírusszignatúra-frissítések lesznek peer-to-peer szétosztva).
P2PMaxNumberOfHops
1
A kliensek közötti maximális ugrások száma, annak érdekében, hogy azokat egymás szomszédságába tartozónak lehessen tekinteni.
P2PMmsAbandoned ConnectionThresholdMin
1
Az a maximális inaktivitási időtartam, ami után a kapcsolat elhagyottnak (abandoned) tekinthető (ManagementServer oldal).
P2PMmsMaxServedPeers
50
Az MMS által egyszerre kiszolgált klienskapcsolatok maximális száma (szignatúra/programfrissítés letöltési kapcsolaton keresztül).
Bármelyik peer-to-peer frissítésszétosztási beállítás módosításakor a változtatásokat a rendszerleíró adatbázis/beállításjegyzék (registry) kulcs módosításával meg kell erősíteni, még a ManagementServer szolgáltatás újraindítása előtt. A beállításszerkesztő (registry editor) használatával távolítsa el a DoNotConsiderP2PConfigToDB értéket a HKEY_LOCAL_MACHINE\Software\G DATA\AVK ManagementServer kulcsból. (64 bites rendszer esetén a kulcs a Software\Wow6432Node\G DATA alatt található). Ez kényszeríti a ManagementServert, hogy importálja a konfigurációs értékeket a Gdmms.exe.config fájlból a peerto-peer frissítésszétosztás számára.
17.1.6 Szakaszos szoftverszétosztás (Staged software distribution) A szakaszos szoftverszétosztás egy nagyon hatékony eszköz, amely arra lett kifejlesztve, hogy az adminisztrátorok anélkül oszthassák szét az egész hálózaton a különböző frissítéseket, hogy a kompatibilitási problémák miatt aggódniuk kellene. Matematikai alapelvek használatával az összes hálózati kliens csoportokra van osztva, amely minden alkalommal növekszik, amikor egy szakasz sikeresen lezárul. A rendszer úgy van felépítve, hogy mindenféle beállítás nélkül működjön, egyszerűen csak engedélyezni kell (lásd 7.3.2. fejezet). Ugyanakkor a számítások jó része módosítható, hogy tökéletesen megfeleljen minden egyes vállalati hálózathoz. Számos beállítás számára az alapértelmezett érték (az első hat szakaszra) meghatározásra került. Ennél több szakasz használatakor a konfigurációs fájl kiegészíthető további értékekkel. Ha egy meghatározott beállításnál több szakasz van, mint ahány érték, a következő érték a teljes sor figyelembevételével kerül kikövetkeztetésre.
SPUEnable
3
Bitmask, a G Data Administratorban található két beállítás számára: (1) Automatikus szoftverfrissítések szétosztása, szakaszokban. (2) Kliensek automatikus lefoglalása az első szakasz számára.
SPUStopAbsolute
5,15,20,30, 40,50
A rontott kliensek száma egy szakaszban, ahol a szakaszos szoftverszétosztást meg kell állítani (abszolút szám). Akkor van használatban, ha értéke kisebb, mint az SPUStopPromille értéke.
SPUStopPromille
25,75,100,150, 200,250
SPUStepsTimespan
3.00:00:00 (3 nap)
A rontott kliensek száma egy szakaszban, ahol a szakaszos szoftverszétosztást meg kell állítani (ezres értékre mérve). Akkor van használatban, ha értéke kisebb, mint az SPUStopAbsolute értéke. nn.óó:pp:mm (nap, óra, perc, másodperc). A következő szakasz elindításáig fennmaradó idő. Megfelel a G Data Administratorban található „Következő csoport elindítása … után” (Release next group after) beállításnak.
SPUStepsZombie Timespan
14.00:00:00 (14 nap)
nn.óó:pp:mm (nap, óra, perc, másodperc). Azok a kliensek, amelyek egy meghatározott ideig nem csatlakoznak az MMS-hez, a matematikai számításoknál, amelyek a szakaszos szoftver szétosztást irányítják, nem lesznek figyelembe véve.
SPUFirstStepLimit
5,20
Az első szakaszba belevett kliensek minimális és maximális száma.
SPUTotalSteps
3
Szakaszok száma. Megfelel a G Data Administratorban található „Csoportok száma” (Number of groups) beállításnak.
SPUSyncTimespan
00:30:00 (30perc)
nn.óó:pp:mm (nap, óra, perc, másodperc) A szakaszos szoftverszétosztás állapotának szinkronizálása a kliensek, alhálózati szerverek és az MMS között.
SPUMinClients
10
A szakaszos szoftver szétosztás életbe lépéséhez szükséges hálózati kliensek minimális száma.
17.1.7 Elavult beállítások A Gdmms.exe.configban található beállítások némelyike a G Data ManagementServer újabb verzióiban már nem elérhető. A frissítéses telepítés kompatibilitásának megőrzése érdekében ezek kerültek eltávolításra a fájlból, de a hatékony működéshez alternatív konfiguráció szükséges.
LogFileFolder
LogLevel, DebugLogDestination, DebugLogFilename UseIntegratedDatabase
A 9-es verziótól elavultnak számít, mivel a keresési munkafeladatok (scan job) naplója a ManagementServer adatbázisban van tárolva (lásd 9.1 fejezet). A 12-es verziótól elavultnak számít, mivel a hibakeresés (debugging) beállítása egy különálló konfigurációs fájlban történik (lásd 17.3.3 fejezet) A 12-es verziótól elavultnak számít, mivel a belső adatbázist felváltotta egy SQL adatbázis (lásd 17.1.1 fejezet).
17.1.8 Szerverfrissítések A G Data ManagementServer programfájljai az „INTERNETES FRISSÍTÉS” (INTERNET UPDATE) eszközön keresztül frissíthetőek (lásd 4.5. fejezet). Emellett használható a kliensprogramfájlok és vírusszignatúrák manuális frissítésére. Néhány frissítési paraméter beállítható az IUpdateCfg.xml fájlban.
BasePath
(könyvtár)
A vírusszignatúra- és a programfájlfrissítések alapértelmezettként a C:\ProgramData\G DATA\AntiVirus ManagementServer\Updates könyvtárban vannak tárolva.
UpdateCnt
5
A tárolt frissítés-visszavonások száma (lásd 7.3.3 fejezet). Megfelel a G Data Administrator Szerverbeállítások (Server settings) ablak Beállítások (Settings) fülén megadott értéknek.
A BasePath érték módosításakor a Gdmms.exe.config fájlban található UpdateDistributionFolder értéket ugyanarra a könyvtárra kell beállítani (lásd 17.1.4. fejezet).
17.2
Konfigurációs eszközök
Az XML-alapú konfigurációs fájlok kiegészítéseként számos egyéb eszköz áll rendelkezésre a G Data termékek finomhangolására. Ezek közül néhány a ManagementServerrel együtt települ, másokat, szükség esetén, a G Data weboldaláról lehet letölteni. A haladó konfigurációs fájlokhoz hasonlóan a szoftvereszközöket is nagy figyelemmel kell kezelni. Mielőtt bármilyen konfigurációs változtatást végrehajtana, ajánlott az érintett fájlokról és könyvtárakról biztonsági mentést készíteni. Továbbá nem ajánlott az éles hálózaton vagy klienseken kísérletezni. Mielőtt bármilyen változtatásokat bevezetne a konfigurációs eszközzel, tesztelje azokat egy (virtuális) teszthálózaton vagy -kliensen.
17.2.1 Adatbázis-karbantartás A szerveradatbázis biztonsági mentésére, illetve a visszaállítási műveletekre a GdmmsConfig.exe egy rendkívül hasznos eszköz (lásd 4.6. fejezet). A biztonsági mentés azonban nem az egyetlen funkciója, a GdmmsConfig.exe adatbázis-karbantartásra is használható. A kezelőfelületén megtekinthetőek azok az adatok, amelyekkel a ManagementServer kapcsolódik az adatbázisához. A legegyszerűbb felépítés szerint ez egy helyi SQL Server Express adatbázis, helyi bejelentkezési fiókkal és alapértelmezett adatbázisnévvel (GDATA_AntiVirus_ManagementServer). Azonban a telepítés típusától függően az adatbázis-hozzáférés nagyon hamar még összetettebbé válhat. Az adatbázis-hozzáférés részletei általában ‒ a ManagementServer telepítési folyamata alatt ‒ automatikusan beállításra kerülnek. Amennyiben a telepítés után szükséges az adatbázis paramétereinek megváltoztatása, használható a GdmmsConfig.exe eszköz. Előfordulhat, hogy szükséges annak a fióknak a megváltoztatása, amellyel a ManagementServer bejelentkezik az adatbázisba. Miután a GdmmsConfig.exe-ben megadta a frissített adatokat, kattintson a „BEÁLLÍTÁSOK ELLENŐRZÉSE” (TEST SETTINGS) gombra annak ellenőrzésére, hogy a ManagementServer valóban az új adatokkal jelentkezik-e be az adatbázisba. A másik felhasználási terület az adatbázis-migráció. Ezer klienses telepítésig a helyi SQL Server Express kifogástalanul működik (a hardverkonfigurációtól függően), azonban ha a ManagementServer által kezelt kliensek száma eléri az ezret, a megfelelő teljesítmény további biztosításához szükség lehet az adatbázis saját szerverre költöztetésére. A GdmmsConfig.exe használatával ez a folyamat viszonylag egyszerű. A jelenlegi adatbázis-hozzáférési adatokkal hozzon létre egy biztonsági mentést az adatbázisról, majd adja meg az új szerver adatait, és állítsa vissza az adatbázist az új szerverre (lásd 4.6. fejezet). A verziószám-követés szintén lehetséges a GdmmsConfig.exe használatával. Ahelyett, hogy csak egyszerűen biztonsági mentést készítene az adatbázisról, majd azt visszaállítaná, lehetőség van egy új adatbázisba a régi adatok visszaállítására. Így megteremtve a lehetőséget a különböző adatbázisokkal való kísérletezésre, ugyanazon a szerveren.
17.2.2 Fájlrendszervédelem-aktivitás A fájlrendszervédelem a G Data biztonsági megoldás egyik legösszetettebb komponense. Nagyszámú kártevőt képes felismerni, ugyanakkor mindehhez jelentős rendszererőforrásokra van szüksége. Ha a kliensteljesítményt túlzottan befolyásolja valami, az aktivitásmonitor eszköz (Monitor activity tool [MonActivityCS]) segíthet felderíteni azt, ha a fájlrendszervédelemnek egy
konkrét fájllal valamilyen problémája akadt. Az eszköz a www.gdata.de/kundenservice/downloads/tools.html címről tölthető le, és közvetlenül futtatható, kicsomagolás vagy telepítővarázsló használata nélkül. Az eszköz kétféleképpen futtatható: valós időben (real-time) vagy találati lista (hit list) alapján. A valós idejű futtatás azonnal listázza a fájlokat, amint azokat a fájlrendszervédelem ellenőrzi. Ez akkor hasznos, ha a fájlrendszervédelemmel kapcsolatos probléma könnyen reprodukálható. A találati lista azt mutatja, hogy bizonyos fájlok milyen gyakran kerülnek ellenőrzésre, így segít kiválasztani a problémás fájlokat. A megfelelő mód kiválasztása után megjelenik az aktivitásmonitor fő párbeszédablaka. A helyi számítógép ellenőrzésének megkezdéséhez kattintson a „KAPCSOLÓDÁS” (CONNECT) gombra (a Számítógép [Computer] szövegmező üresen maradhat); illetve a Stop gombra az ellenőrzés megállításához. Az eszköz futása alatt a lista folyamatosan bővül. Kattintson a „FRISSÍTÉSRE” (REFRESH) a lista manuális frissítéséhez (találati lista módban), vagy a lista visszaállításához a „LISTA ALAPHELYZETBE ÁLLÍTÁSÁRA” (RESET LIST) (valós idejű módban), illetve a „MENTÉS” (SAVE TO) lehetőségre a fájllista szöveges fájlként való elmentéséhez. A fájlrendszervédelem-kivétel azonnali meghatározásához kattintson a „MEGHATÁROZÁS KIVÉTELKÉNT” (DEFINE AS EXCEPTION) lehetőségre.
: Aktivitásmonitor (Monitor activity)
17.2.3. Karantén (Quarantine) Amikor valamelyik G Data biztonsági réteg fenyegetést észlel, arról automatikusan gondoskodik. Ha az adminisztrátor beállításai szerint a fájlt karanténozni kell, azok átnevezésre, majd egy biztonságos könyvtárba mozgatásra kerülnek. A G Data Administrator „JELENTÉSEK” (REPORTS) moduljának használatával a fájlok elemezhetőek, megtisztíthatóak és visszamozgathatóak az eredeti helyükre. A klienskarantén helyi kezeléséhez a Karantén eszköz (Quarantine tool) használható, amely a www.gdata.de/kundenservice/downloads/tools.html címről letölthető (2011-es vagy újabb karanténgenerációhoz), majd ezt követően az érintett kliensen kell futtatni. Az eszköz a szerveren található karanténkönyvtárban lévő fájlok ellenőrzéséhez szintén használható, amennyiben a G Data Administratoron keresztüli elemzés nem lehetséges.
: Karantén (Quarantine) A KARANTÉN ESZKÖZ (QUARANTINE TOOL) az elindítását követően azonnal megjeleníti a helyi karantén tartalmát. Az alapértelmezett karanténkönyvtárat figyelembe véve listázza az összes fájlt, illetve néhány metaadatot is. Amennyiben nem a megfelelő karanténkönyvtárat választja ki automatikusan, lehetőség van a manuális meghatározásra. Alapértelmezettként a klienskaranténfájlok a C:\ProgramData\G Data\AntiVirusKit Client\Quarantine útvonal alá vannak elmentve. A szerverkarantén vizsgálatakor az alapértelmezett könyvtár: C:\ProgramData\G Data\AntiVirus ManagementServer\Quarantine, hacsak nincs valamilyen egyéb útvonal meghatározva a Gdmms.exe.config fájlban (lásd 17.1.4. fejezet). Egy karanténozott fájl kiválasztását követően számos elérhető lehetőség van. A „MEGTISZTÍTÁS ÉS VISSZAÁLLÍTÁS” (CLEAN AND RESTORE) az ajánlott művelet. Ez megkísérli eltávolítani a kártevőt az érintett fájlból, majd visszaállítani azt az eredeti helyére. Egyéb lehetőségek a fájl megtisztítás nélküli visszaállítása az eredeti helyére, illetve a fájl megtisztítás nélküli visszaállítása egy új helyre. E módszerek azonban nem ajánlottak, mert a fájl a kártevőt továbbra is tartalmazni fogja, és ez veszélyt jelent. Amennyiben egy fájl megtisztítása nem lehetséges, célszerű törölni azt. Ehhez nyissa meg a Karantén (Quarantine) könyvtárat a Windows Intézőben, majd törölje a kapcsolódó .q fájlt.
17.2.4 Eltávolítás A G Data ManagementServer és a G Data MailSecurity egyszerűen eltávolítható az eltávolítási varázsló használatával (Vezérlőpult > Programok hozzáadása/Eltávolítása [Contol Panel > Add/Remove programs]). Az egyéb komponenseknél az eltávolítás távolról kezdeményezhető. Például a G Data Security Client a G Data Administrator „KLIENSEK” (CLIENTS) modulján keresztül távolítható el. A G Data Tűzfal (Firewall) a „TŰZFAL” (FIREWALL) modul segítségével távolítható el a kliensekről. Egy vagy több alhálózati szerver használatakor a „SZERVER(EK) KEZELÉSE” (MANAGE SERVER[S]) funkcióval kezdeményezhető a távoli eltávolítás. A G Data ManagementServer a parancssor segítségével lokálisan eltávolítható. Ez különösen hasznos az olyan alhálózati szervereknél, amelyek távolról már nem elérhetőek. Nyisson meg egy parancssort az érintett szerveren, rendszergazdai jogosultságokkal, majd navigáljon a G Data ManagementServer telepítési könyvtárába (általában: C:\Program Files (x86)\G DATA\G DATA AntiVirus ManagementServer). Futtassa a cuninstmms /uninst parancsot. Ez leállítja a
ManagementServer háttérben futó szolgáltatását, majd elindítja a G Data ManagementServer eltávolítási varázslóját. Az adatbázis megtartásának vagy eltávolításának megerősítését követően a varázsló a háttérben eltávolítja a G Data ManagementServert. A G Data Security Client a G Data Administrator segítségével távolról eltávolítható, az érintett kliens kiválasztását követően a „G DATA SECURITY CLIENT ELTÁVOLÍTÁSA” (UNINSTALL G DATA SECURITY CLIENT) lehetőséget választva. A G Data Security Client, a ManagementServerhez hasonlóan, lokálisan is eltávolítható. Nyisson meg egy parancssort, rendszergazdai jogosultságokkal, majd navigáljon a C:\Program Files (x86)\G DATA\AVKClient könyvtárba. Az unclient /AVKUninst parancs kiadását követően megkezdődik az eltávolítási folyamat. A folyamat befejezését követően a kliensszámítógépet újra kell indítani. Egy alhálózati szerver vagy kliens lokális eltávolításakor a ManagementServer adatbázisában a kapcsolódó adatok nem kerülnek automatikusan eltávolításra. Bármilyen, inaktív alhálózati szerver a „SZERVER(EK) KEZELÉSE” (MANAGE SERVER[S]) funkció használatával eltávolítható. Az inaktív kliensek a klienskezelő területen (client management area) eltávolíthatóak.
17.2.5 Eltávolítás utáni megtisztítás Mindegyik G Data programkomponens, egyszerű eszközök használatával, eltávolítható (lásd 17.2.4 fejezet). Ugyanakkor, ha az eltávolítási folyamat nincs teljes mértékben végrehajtva, a későbbi újratelepítések meghiúsulhatnak a megmaradt ideiglenes rendszerleíró adatbázis kulcsok vagy fájlok miatt. Annak biztosítására, hogy ne maradjon semmilyen maradvány, futtatható az AV-Cleaner eszköz, amely a www.gdatasoftware.co.uk/support/downloads/tools.html webcímről letölthető. Ezt közvetlenül az érintett kliensen vagy szerveren kell futtatni, miután a szabályos eltávolítási folyamat befejeződött. A futtatás közben az AV-Cleaner összegyűjt minden információt a fájlokról, szolgáltatásokról, rendszerleíró adatbázis kulcsokról és egyéb, a G Data-hoz köthető objektumokról, majd egy listában megjeleníti azokat. A fájlok vagy a kulcsok törölhetőek egyenként vagy az összeset kijelölve, egyszerre, így megtisztítva mindent. Az eltávolítást/megtisztítást követően a számítógépet újra kell indítani, majd az AV-Cleaner eszközt ismételten futtatni kell, ellenőrzésképpen, hogy semmilyen nyom nem maradt hátra. A számítógép újraindítását és az AV-Cleaner eszközzel való megtisztítást addig kell ismételni, amíg semmilyen nyom nem marad.
: AV-Cleaner Az AV-Cleaner teljes mértékben eltávolítja az összes G Data szoftvert. Ez annyit jelent, hogy azokon a számítógépeken, amelyeken valamilyen G Data termék eltávolítása történik, ugyanakkor egy másik G Data termék is telepítve van ugyanarra a számítógépre, rendkívüli óvatossággal kell eljárni. Például, a G Data Security Client eltávolításakor egy olyan számítógépen, amelyikre a G Data ManagementServer is telepítve van, kiemelten ajánlott a szokásos eltávolítási módszer használata, annak megakadályozására, hogy az AV-Cleaner valamilyen ManagementServer komponenst (is) eltávolítson.
17.3
Hibakeresési naplók (Debug logs)
A haladó konfiguráció és a hibaelhárítás támogatásaként hasznos lehet a hibakeresési naplók megvizsgálása. Számos kliensoldali biztonsági modul létrehozza a saját naplóit, amelyek a G Data Administratorban elolvashatóak, úgymint a víruskeresés, biztonsági mentés/visszaállítás munkafeladatok. Számos konfigurálható napló használatával további hibakeresés hajtható végre. Ezeknek a fájloknak a segítségével elemezhető a legtöbb biztonsági modul belső működése. Ha a szoftver bármelyik része nem várt működést produkál, a hibakeresési napló értékes bepillantást biztosít a folyamatokba. Abban az esetben is, ha a közvetlen elemzés nem lehetséges, a naplófájlok segíthetik a támogatási osztályunkat a probléma vizsgálatában. A hibakeresési naplók generálása magának a ManagementServernek is számos esetben hasznos lehet. Például, ha a kliens nem veszi át a módosított beállításokat, az alhálózati szerver valamilyen problémákat okoz vagy a ManagementServer szokatlanul nagy memóriát vagy processzoridőt emészt fel, a hibakeresési napló egy utalást adhat az előforduló probléma típusára. A naplófájlok begyűjtésének, a megfigyelni kívánt modultól függően, több módja lehet. A legtöbb biztonsági modulnál a DebugView módszerrel az adminisztrátorok egyszerűen összegyűjthetik a naplókat. Amennyiben a ManagementServer telepítését kell elemezni, a Debug.config módszer biztosítja a szükséges naplókat. A ManagementServer telepítővarázsló hibakeresési naplózásához telepítési paramétereket kell megadni.
17.3.1 A telepítési varázsló hibakeresési naplózása A G Data ManagementServer telepítővarázsló útmutatásainak segítségével az adminisztrátorok mindenféle probléma nélkül feltelepíthetik a programot. Előfordulhat, hogy miután a telepítővarázsló befejeződött, a ManagementServer néhány komponense problémákat okoz vagy egyáltalán nem fut. Ilyenkor hasznos lehet ellenőrizni a telepítővarázslót, hogy vajon az összes komponenst megfelelően feltelepítette-e. A telepítővarázsló beállítható a hibajavítási napló (debug log) generálására, amelyben megtalálható az összes végrehajtott művelet, illetve hibaüzenet. Nyissa meg a beállításszerkesztőt (registry editor), majd navigáljon a HKEY_LOCAL_MACHINE\Software\G DATA kulcshoz (64 bites rendszeren: HKEY_LOCAL_MACHINE\Software\Wow6432Node\G DATA\), majd adja hozzá a GSSetup kulcsot (amennyiben még nem létezik). Az új kulcson belül adjon hozzá egy DebugLevel nevű DWORD-öt (Duplaszó), 5-ös értékkel. Nyissa meg a parancssort, majd navigáljon a könyvtárba, amelyik a ManagementServer telepítőfájlját tartalmazza (ha telepítő médiumról telepíti, akkor ez általában: D:\Setup\ManagementServer). Adja ki a következő parancsot, melynek hatására a telepítővarázsló egy átfogó hibakeresési naplót fog generálni: setup.exe /params=[/v”/l*v c:\debug.log”] Ez az összes műveletet részletesen naplózni fogja a c:\debug.log fájlba, ami azt követően elemezhető. A G Data MailSecurity Exchange beépülőjének hibakeresési naplózásához nyissa meg a HKEY_LOCAL_MACHINE\Software\G DATA\Exchange kulcsot, majd adja hozzá a DebugLevel DWORD-öt (Duplaszó) 5-ös értékkel. A DebugView eszköz használatával a telepítés hibakeresési napló kimenete rögzíthető (lásd 17.3.2. fejezet)
17.3.2 Kliensoldali hibakeresési naplózás A kliensoldali hibakeresési naplózás a Sysinternals által fejlesztett DebugView eszközzel hajtható végre. Ez a program elfogja hibakeresési hívásokat minden egyes Win32 szoftvernél, segítségével az adminisztrátorok összegyűjthetik a hibakeresési naplókat.
: DebugView
A (naplózni kívánt modulhoz tartozó) regisztrációs adatbázis kulccsal kombinálva a DebugView átfogó hibakeresési naplókat generál. Ugyanez az eljárás használható a MailSecurity MailGateway hibakeresési naplózására is. A beállításszerkesztő használatával adjon hozzá egy DebugLevel nevű DWORD-öt (Duplaszó), 5-ös értékkel a következő kulcsokhoz, a megfelelő modulok hibakeresési naplózásához:
MailSecurity MailGateway DATA\AVKSmtp
HKEY_LOCAL_MACHINE\Software\G Security
HKEY_LOCAL_MACHINE\Software\G HKEY_LOCAL_MACHINE\Software\G HKEY_LOCAL_MACHINE\Software\G
Client DATA\AVKClient
(general) Traffic
DATA\AVKProxy DATA\INetUpdate
scans Updates
Virus
scans
HKEY_LOCAL_MACHINE\Software\G DATA\AVKScanP
A beállításszerkesztő használata után indítsa újra a számítógépet. Töltse le a DebugView programot a http://technet.microsoft.com/en-us/sysinternals/bb896647 címről. A letöltést követően csomagolja ki, majd futtassa a DebugView.exe fájlt, rendszergazdai jogosultságokkal. A „RÖGZÍTÉS” (CAPTURE) alatt engedélyezze a „GLOBÁLIS WIN32 RÖGZÍTÉS” (CAPTURE GLOBAL WIN32) lehetőséget. A DebugView futtatása közben összegyűjti a hibakeresési naplót az összes olyan modulból, amelyhez a DebugLevel regisztrációs kulcs be van állítva. A DebugView ablakban az összes kimenet látható, amely szöveges fájlba is elmenthető. A hibafelderítéshez addig kell futtatni a DebugView-t, amíg a hiba reprodukálása megtörténik, majd el kell menteni a naplót. A napló a későbbi manuális elemzéshez használható, vagy elküldhető a terméktámogatás számára. Az „ESZKÖZVEZÉRLŐ” (DEVICE CONTROL) (az egyik Házirendkezelő [PolicyManager] modul) kivételt képez az általános hibakeresési naplózásból, mert mély szintű hozzáférés szükséges a Windows eszközkezelőjéhez, így a hibakeresési naplózás engedélyezéséhez további módosítások szükségesek a rendszerleíró adatbázisban. A beállításszerkesztőben navigáljon a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\GDDevCtrl kulcshoz, amennyiben még nem létezik, akkor létre kell hozni. Adjon hozzá egy DebugLevel nevű DWORD-öt (Duplaszó), 5-ös értékkel. Navigáljon a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Debug Print Filter kulcshoz, amennyiben nem létezik, akkor létre kell hozni. Itt adjon hozzá két új DWORD-öt: „Default” „ffffffff” (hexadecimális) értékkel, és „IHVDRIVER” szintén „ffffffff” (hexadecimális) értékkel. Indítsa el a DebugView-t, rendszergazdai jogosultságokkal, a „BEÁLLÍTÁSOK” (OPTIONS) alatt engedélyezze a „SZÁLLÍTÁS-VISSZATÉRÉSEK KÉNYSZERÍTÉSE” (FORCE CARRIAGE RETURNS) beállítást, illetve a „RÖGZÍTÉS” (CAPTURE) alatt a „KERNELRÖGZÍTÉS” (CAPTURE KERNEL) és A „RÉSZLETES KERNELKIMENET” (VERBOSE KERNEL OUTPUT) lehetőségeket. Indítsa újra a klienst, illetve a DebugView-t. Ezzel engedélyezi az „ESZKÖZVEZÉRLÉS” (DEVICE CONTROL) hibakeresési naplózását, amely a hiba reprodukálásakor biztosítani fogja a szükséges naplókat.
18
64 bites rendszeren, a G Data kulcs a következő helyen található: HKEY_LOCAL_MACHINE\Software\Wow6432Node\G DATA.
17.3.3 Szerveroldali hibakeresési naplózás A ManagementServer hibakeresési naplózásának beállításához a különálló Debug.config konfigurációs fájl használandó. A ManagementServer alapértelmezett telepítése ezt nem tartalmazza, de könnyen létrehozható valamilyen szövegszerkesztő segítségével, mint például a Jegyzettömbbel (Notepad). A fájlt a G Data ManagementServer telepítési könyvtárába kell elmenteni (általánosságban: C:\Program Files(x86)\G DATA\G DATA AntiVirus ManagementServer). A ManagementServer háttérben futó szolgáltatását újra kell indítani, hogy a Debug.config fájlban lévő változásokat figyelembe vegye. Ezt a Debug.config fájl minden egyes elmentésénél meg kell tenni.
<debug>
: Debug.config A Debug.config fájl egy XML struktúrát követ, számos testre szabható paraméterrel. A hibakeresési napló kimenetét a DebugView (lásd 17.3.2. fejezet) használatával lehet megtekinteni, vagy opcionálisan engedélyezhető a fájlkimenet. A hibakeresési napló fájlba irányításával a hibakeresési naplót csak a hibaelhárítás idejére használja. Miután a szükséges naplófájlok létrejöttek, kapcsolja ki a hibakeresési naplót, mert a naplófájl, a rohamosan növő mérete miatt, hamar feltöltheti a merevlemezt.
File
Igaz vagy hamis. (True or False). A hibakeresési napló kimenetét egy fájlba irányítja.
FileName
Kimeneti fájl neve, útvonallal együtt, például: C:\MMSDebug.log.
Console
Igaz vagy hamis. (True or False). Belső hibakeresési funkció.
A „KATEGÓRIÁK” (CATEGORIES) részben számos művelettípus naplózható. Minden egyes kategória rendelkezik egy név (name) attribútummal, amely meghatározza, hogy milyen típusú művelet lesz naplózva, továbbá egy szint (level) attribútummal, amely meghatározza, hogy mennyire részletesek lesznek a naplók. A szint mértéke 0 és 6 között állítható, minden egyes szintbe beletartoznak az azt megelőző szintek által biztosított információk is. A 0-s szint nem naplóz semmit, az 1-es szint csak a hibákat, a 2-es szint a figyelmeztetéseket, a 3-as szint az információkat, a 4-es szint a részletes információkat, az 5-ös szint mindent naplóz, hibakeresési módban, a 6-os szint mindent naplóz, nyomkövetési módban. Hibakeresési célokból a 4-es szint használata ajánlott.
Root (gyökér)
Database (adatbázis) PatchManagement
A Root (gyökér) kategória meghatározza az általános hibakeresési szintet. Semmilyen más kategória nem haladhatja meg a Root kategória szintjét. Ha a Root kategória 0-ra van állítva, semmilyen hibakeresési kimenet nem keletkezik. SQL tranzakciók a ManagementServer és az adatbázis között. PatchManager (Javításkezelő) események. (Javításkezelés)
Sync (szinkronizálás) WCF
Adatbázis-szinkronizáció. Az Administrator és a ManagemntServer közötti kommunikáció.
A MailSecurity MailGateway hibakeresési naplózásának engedélyezésével kapcsolatosan olvassa el a 17.3.2 fejezetet.
Mozaikszavak AD API APK BCC BIOS CC CPU CVE DMZ ERP EULA FTP GPS HIPS HTTP IIS IM IMAP IT JS MD5 MMS MX PC POP3 R&D RAM RBL SD SIM SMB SMS SMTP SP SQL TCP/IP UAC UDP UNC URL UTF-8 VBS WAN WCF WLAN XML
Active Directory Application programming interface Application package file (Android) AV Antivirus Blind carbon copy Basic input/output system Carbon copy Central processing unit Common Vulnerabilities and Exposures Demilitarized zone (network) DNS Domain name system Enterprise resource planning End user license agreement File transfer protocol Global positioning system Host-based intrusion prevention system Hypertext transfer protocol Microsoft Internet Information Services Instant messaging Internet message access protocol Information technology JavaScript Message-Digest Algorithm 5 G Data ManagementServer Mail exchanger (record) OU Organizational unit Personal computer Post office protocol version 3 Research & development Random access memory Real-time blacklist Secure Digital Subscriber identity module Small and medium-sized businesses Short message service Simple mail transfer protocol Service pack Structured query language SSID Service set identification SSL Transmission control protocol/Internet protocol User account control User datagram protocol Uniform naming convention Uniform resource locator Universal Character Set transformation format – 8-bit Visual Basic script Wide area network Windows Communication Foundation Wireless local area network Extensible markup language
Secure socket layer
