книги хакеры / журнал хакер / 103_Optimized

СЕРГЕЙ «GRINDER» ЯРЕМЧУК

/ GRINDER@UA.FM /

Протокол PPTP

Протокол PPTP (Point-to-Point Tunneling Protocol) позволяет создавать защищенные каналы для обмена данными по различным сетевым протоколам: IP, IPX или NetBEUI. Их данные инкапсулируются с помощью протокола PPTP в пакеты протокола IP, с помощью которого переносятся в зашифрованном виде через любую сеть TCP/IP. PPTP работает, устанавливая обычную PPP-сессию с противоположной стороной с помощью протокола туннелирования сетевых пакетов GRE (Generic Routing Encapsulation — общая инкапсуляция маршрутов). Для шифрования тра-

фика применяется протокол MPPE (Microsoft Point-to-Point Encryption),

использующийпотоковыйшифрRSA,RC4-ключикоторогоменяютсяв течениесессии.

CiscoпервойреализовалаPPTPвсвоихпродуктах,онаилицензировала этутехнологиюкорпорацииMicrosoft.Из-заопасенийпоповодупатент- ныхпретензийпротоколаMPPEдонедавнеговременивдистрибутивах LinuxотсутствовалаполноценнаяподдержкаPPTP.Однако,начинаяс версии2.6.13,появиласьполнаяподдержкаPPTP.

Ноневсетакгладко.Несмотрянапопулярность,специалистынедолюбливаютPPTPпопричинеслабыхалгоритмовпарольнойаутентификациии возможностиполучениясессионныхключейнаосновепользовательского

>>

пароля.ОбэтомможнопочитатьнасайтеБрюсаШнаера(BruceSchneier): www.schneier.com.Этотспециалистзанимаетсяанализомреализации

PPTPс1998года.

ЕслибыневстроеннаяподдержкавWindows,оPPTP,вероятно,ужедавно бывсезабыли.Хотя,сдругойстороны,вWindowsXPиболеепозднихверсияхWindowsприсутствуетвозможностьзаменитьпаролипользовательскимисертификатами,дляэтогосPPTPприменяетсяпротоколExtensible AuthenticationProtocol-TransportLayerSecurity(EAP-TLS).

УстановкасервераPoPToPвLinux

ОднойизпопулярныхреализацийPPTPявляетсясерверPoPToP(www. poptop.org).ИзначальнооннаписандляLinux,нобезпроблемработает вSolaris2.6,OpenBSD,FreeBSDидругих.Этопервыйпроект,предоста- вившийвозможностьстроитьPPTP-серверывLinux.Онстартовалпод руководствомMatthewRamsayиконтролировалсяMoretonBayVentures (www.moretonbay.com).Вмарте1999годаPoPToPбылопубликованпод лицензиейGNU.ОнсовместимсовсемиверсиямиWindowsиниксо- вымPPTP-клиентом(pptpclient.sf.net).Поддерживаетаутентификацию

MSCHAPv2ишифрованиеMPPE40с128-битнымRC4.Прииспользовании RADIUSлегкоинтегрируетсявсетиWindows.

ПослевключенияподдержкиPPTPвядро,установкаPoPToPоченьупростилась.Оназаключаетсявраспаковкеполученногоархиваистандартных:

$ ./configure -–prefix=/usr $ make

$ sudo make install

ЕслинужнаподдержкаTCPwrappers,следуетдобавитьключ'--with- libwrap'(mantcpd(5)).Такжестоитпоискатьпакетыврепозитарии.В дистрибутивах,использующихapt,как,например,вUbuntu,вводим:

$ sudo apt-cache search pptp $ sudo apt-get install pptpd

Все,установказакончена,можнопереходитькнастройке.

Конфигурационные файлы PoPToP

ПоумолчаниюсерверPoPToPиспользуетконфигурационныйфайл/etc/ pptpd.conf.Еслиустановкапроизводиласьизисходныхтекстов,готовый шаблонлежитвподкаталогеsamplesархивасисходнымитекстами.Можно,конечно,всепараметрызадаватьвкоманднойстроке,ноэтонеудобно. Редактируем:

$SUDOVI/ETC/PPTPD.CONF

#По умолчанию клиентские соединения будут ожидаться на всех интерфейсах; можно указать конкретный адрес для PPTP-соединений

#listen 217.165.34.2

#Путь к исполняемому файлу pppd

#ppp /usr/sbin/pppd

#Путь к файлу с параметрами PPP option /etc/ppp/pptpd-options

#Включает отладочный вывод в syslog

#debug

#Задержка перед открытием соединения (по умолчанию

10 секунд); параметр предназначен для защиты от DoS-атак

#stimeout 10

#Сняв комментарий, мы запретим передачу клиенту его IP-адреса

#noipparam

#Использование wtmp(5) для записи о подключениях клиентов

logwtmp

#Включение перенаправления broadcast-пакетов, требует конфигурирования с параметром '--enable-bcrelay'

#bcrelay eth0

#Ограничения скорости клиентов (бит/сек)

#speed 115200

#Внутренний IP-адрес

localip 192.168.2.1

# Клиентские IP-адреса. При описании не должно быть пробелов, можно указывать диапазон адресов или отдельный адрес

remoteip 192.168.2.100-150,192.168.2.200-245

Простейшееправилодляiptablesвыглядиттак:

Теперьредактируемфайлpptpd-options:

$SUDOVI/ETC/PPP/PPTPD-OPTIONS

# Имя (должно соответствовать второму полю в /etc/ppp/ chap-secrets)

Настройкивpptpd.conf

name pptpd

#Удаление домена из имени пользователя chapms-strip-domain

#Авторизация

refuse-pap refuse-chap refuse-mschap require-mschap-v2 require-mppe-128

#Если pppd является основным сервером для Windows-клиен- тов, то клиентам можно задать адреса DNS- и WINS-серверов

#ms-dns 10.0.0.1

#ms-wins 10.0.0.2

#Добавляем IP- и MAC-адреса клиента в таблицу ARP. Таким образом, клиент как бы находится в локальной сети и может подключаться к ее ресурсам

proxyarp

#Не изменять маршрут по умолчанию

nodefaultroute

# Выполняем блокировку соединения и отключаем компрессию lock

nobsdcomp novj novjccomp

Притакихустановкахаутентификацияпользователявозможнатолькос помощьюсредствCHAPv2,поэтомуоткрываемфайл/etc/ppp/chap-secretsи добавляемпользователей,которыесмогутподключатьсяпоVPN.Впростейшемслучаевфайлзаноситсялогинипароль:

sergej pptpd password *

Наэтомнастройкизакончены,перезапускаемдемон:

$sudo /etc/init.d/pptpd restart

Ипробуемподключитьсяксерверу.

Прикручиваем RADIUS

Для небольших компаний такой настройки PoPToP, вероятно, будет достаточно. Если VPN-пользователей много, следует применять более удобные методы их авторизации. Поэтому, когда PPTP-конфигурация

ПакетыUbuntu

будет должным образом протестирована, можно приступать к на-

стройке RADIUS (Remote Access Dial-Up User Service). Если говорить коротко, то его задача сводится к аутентификации, а также к хранению логинов и паролей пользователей. Сервер RADIUS определяет, может ли пользователь подключаться к запрашиваемому им сервису. При необходимости производится учет времени, трафика и других параметров сессии пользователя. Кроме всего прочего, так мы сможем использовать TLS-EAP. На сегодняшний день наиболее популярным открытым решением является FreeRADIUS, его и будем ставить.

$sudo apt-get install freeraduis

Вфайл /etc/ppp/pptpd-options добавляем строку, описывающую плагин:

plugin radius.so

О настройках RADIUS можно рассказывать долго, я остановлюсь лишь на самых необходимых. Все конфигурационные файлы находятся в каталоге /etc/freeradius. Так как клиент у нас один и находится на том же узле, что и сервер, файл clients.conf исправляем следующим образом:

client 127.0.0.1 {

secret = super_PassWOrd shortname = localhost nastype = other

}

Файл users содержит конфигурационную информацию о пользователях и другие данные, необходимые для аутентификации. Для проверки работы заведем тестового пользователя:

test Auth-Type:=MS-CHAP, User-Password == "test"

Пользователи, зарегистрированные в /etc/passwd, подключаются тоже просто:

DEFAULT Auth-Type = System

Fall-Through = 1

Теперь редактируем главный файл сервера radiusd.conf (для экономии журнального пространства конфиг дается в сильно сжатом виде, полную версию radiusd.conf ты найдешь на прилагаемом к журналу диске):

#vi radiusd.conf

#Имя пользователя и группа, используемые для запуска

FreeRADIUS

>>

user = freerad group = freerad

#Максимальное количество запросов, хранимых сервером

max_requests = 512

#Слушаем на localhost

bind_address = 127.0.0.1

#Использовать указанный конкретный port, если 0; его значение берется из /etc/services

port = 0

#Не разрешать преобразование адресов

hostname_lookups = no

#Записывать в лог попытки авторизации log_auth = yes

#Записывать в лог некорректные и корректные пароли при авторизации

log_auth_badpass = yes log_auth_goodpass = no

#Включить/выключить коллизию пользователей usercollide = no

#Настройки безопасности для противодействия возможным DoS-атакам

security {

#Максимально допустимое количество атрибутов

в RADIUS-пакете max_attributes = 200

#Задержка (в секундах) перед отправкой пакета

Access-Reject reject_delay = 1

#Не отвечать на запросы Status-Server

status_server = no

}

Сохраняем, пробуем запустить FreeRADIUS в отладочном режиме:

$sudo freeradius -X

Иподключаемся, используя тестовую запись. Если все прошло успешно, схему можно наращивать дальше, подключая LDAP, Active Directory, базу данных. Кроме того, можно интегрировать EAP и прочие приложения, позволяющие сделать работу с учетными записями проще, а соединения безопаснее.

Мы же идем дальше. z

Настройка клиентского соединения в Windows

Настройка PPTP-соединения практически ничем не отличается от подключения к провайдеру. Вызываем «Сетевые подключения», выбираем «Создание нового подключения» и следуем указаниям мастера. Во втором окне отмечаем пункт «Подключить к сети на рабочем месте» и в следующем — «Подключение к виртуальной частной сети», затем вводим название подключения и указываем, необходимо ли набирать номер для предварительного подключения. Если соединение осуществляется напрямую, то выбираем «Не набирать номер для предварительного подключения» и вводим IP-адрес или имя сервера, к которому необходимо подключиться. После нажатия кнопки «Готово» можно пробовать подключиться к серверу, введя логин и пароль. В зависимости от версии и настроек сервера, а также версии клиентской операционной системы, возможно, потребуется уточнить некоторые параметры подключения (протокол, обязательность шифрования, сжатие и другие), для чего необходимо выбрать «Свойства» созданного соединения.

Включение поддержки PPTP в ядре Linux

Если вывод lsmod не показывает наличие строк «ppp*», следует пересобрать ядро. Вводим make menuconfig и включаем для всех ядер:

Networking Support --> Networking options -->

<M> IP: GRE tunnels over IP

И для 2.6.15+:

Device Drivers --->

Network device support --->

<M> PPP (point-to-point protocol) support <M> PPP support for async serial ports <M> PPP support for sync tty ports

<M> PPP Deflate compression

<M> PPP BSD-Compress compression

<M> PPP MPPE compression (encryption) Cryptographic options --->

[*]Cryptographic API

[*]HMAC support

<M> MD5 digest algorithm <M> SHA1 digest algorithm <M> SHA256 digest algorithm

<M> SHA384 and SHA512 digest algorithms

<M> DES and Triple DES EDE cipher algorithms <M> ARC4 cipher algorithm

Для более ранних версий параметры будут отличаться, но не сильно. Также для таких ядер следует сначала наложить патч, взяв нужную версию с сайта mppe-mppc.alphacron.de. Например, для версии ядра 2.6.11 команда будет выглядеть так:

$ cd /usr/src

$ wget -c http://mppe-mppc.alphacron.de/linux-2.6.11- mppe-mppc-1.3.patch.gz

$ gunzip linux-2.6.11-mppe-mppc-1.3.patch.gz $ cd linux

$ patch -p1 < ../linux-2.6.11-mppe-mppc-1.3.patch

После конфигурирования компилируем ядро как обычно.

ХАКЕР.PRO

Возможности и компоненты SAV

SymantecAntiVirus—этомногоплатформенныймасштабируемыйпро- дукт,обеспечивающийзащитурабочихстанцийисерверовотвирусов. SAVv10(размерпорядка800Мб)содержитнесколькокомпонентов:

версия10.1.xдляWindows2000,2003,XPиNetware;клиентскаяверсия 10.2дляVista;версия1.0.xдляLinux.Для32-и64-битныхоперационных системиспользуютсяразныеверсиипрограммы.

Компьютерысклиентскойчастью,обеспечивающейпроверкусистемна наличиевирусов,могутбытьподключеныкобщейсети,либоработать отдельно(например,вудаленномофисе).Дляуправлениякомпьютерами,накоторыхустановленклиентSymantecAntiVirus,применяется

SymantecAntiVirusServer.Егозадача—рассылкаполитикантивирусной защитыиобновлениесодержимогонаклиентскихкомпьютерах.Также онобеспечиваетантивируснуюзащитукомпьютера,накоторомустановлен.Причемвсетитакихсерверовможетбытьнесколько.Этоочень удобнодлясетейсосложнойтопологией,таккакпозволяетвкаждом сегментеиспользоватьсвойсервер,уменьшаянагрузкунасетьиупро- щаяадминистрирование.Единственноеправило:одинизSAV-серверов долженвыступатьвролиосновного(master)сервера.

Дляцентрализованногоуправленияантивируснойзащитойследует применятьSymantecSystemCenter,которыйкакразиявляетсяосновнымрабочимместомадминистратора.Вегосоставвходитнесколько

>>

Консольуправлениясервером

модулей,которыепринеобходимостиможновключать/отключатьво времяустановки:

1.AlertManagementSystem(AMS)—позволяеторганизоватьдовольно гибкуюсистемуоповещенияоразличныхсобытиях(обнаружение вирусов,обновлениепрограмм).Поддерживаютсяпочтивсевозможныепутипередачиинформации(выводнаэкран,электроннаяпочта, пейджеридругие);вкачествереакциинанаступившеесобытиеможно назначитьзапусклюбыхпрограмм.

2.SymantecAntiVirus—предназначендляцентрализованногоуправле- нияработойклиентскихантивирусовсвозможностьюиндивидуального подхода.

3.SymantecClientFirewall—используяэтотмодуль,можноуправлять настройкамимежсетевогоэкранафирмыSymantec(если,конечно,он используется).

Такжевкомплектвходятсредстваудаленногоразвертываниясервера иустановкиклиентскихпрограмм.ОтдельноустанавливаетсяCentral QuarantineServer,представляющийсобойцентрализованноехранилищеинфицированныхобъектов,которыеантивируснесмогвылечить. Необходимостьвтакомсервисевесьмасомнительна,таккактакие файлылучшеудалятьсразу.Хотяеслиэтоважныйдокумент,зараженныймакровирусом,можнопопытатьсяегоспасти,открыв,например,в томжеOpenOffice.orgиливвиртуальноймашине.ДляорганизациилокальнойслужбыLiveUpdateследуетустановитьLiveUpdateAdministrator. Такклиентысмогутподключатьсянапрямуюклокальномузеркалу, экономяинтернет-трафик.И,наконец,системасборастатистикии выдачиотчетоворганизуетсяпосредствомустановкиReportingServerи ReportingAgents.

Устанавливаем компоненты

Symantec AntiVirus

СистемныетребованиядляустановкикомпонентовSymantecAntiVirus, вобщем-то,невелики.Подойдетлюбойкомпьютер,имеющий32Мб (SymantecSystemCenter)или64Мб(остальныекомпоненты)ОЗУсус- тановленнойоперационнойсистемой—отWindowsNT4.0доWindows 2003.Поэтомуочевидно,чтокомпьютерследуетвыбирать,исходяиз требований,предъявляемыхсамойоперационнойсистемой,накоторую будетустановлентотилиинойкомпонент.Необходимоналичиеконсоли управленияMMCотверсии1.2;еслитаковаяотсутствует,онабудет поставленапоходу.

Компьютер,накоторыйбудетустановленсервер,должениметьста- тическийIP-адрес.Также,хотяобэтомнигдеинесказано,раздел,куда будутустанавливатьсякомпоненты,долженбытьотформатирован подNTFS,иначемогутпоявлятьсяничемнеобъяснимыеошибки.Для ReportingServerпотребуетсяналичиеIIS4.0.ПоумолчаниювWindows XP/2003оннеустанавливается,поэтомуследуетзайтив«Установкаи удалениепрограммУстановкакомпонентовWindows»ивыбратьв

Клиентскаячасть

спискеIIS(можетпонадобитьсяустановочныйдискWindows).Естественно,длявыполнениявсехоперацийпотребуютсяправаадминистраторалокальнойсистемыилидомена.

Установитькомпонентыкаксерверной,такиклиентскойчастиможно несколькимиспособами.Самымпростымявляетсяиспользованиеком- пакт-диска.ХотяпослеинсталляцииSymantecSystemCenterвозможна удаленнаяустановкавсехкомпонентовчерезконсольуправления.

Конкретныйсценарийустановкизависитотструктурысетииналичия желаниябегатьпоэтажам/филиаламскомпакт-дискомвруках.Мыже пойдемпопорядку.

Вставляемкомпакт-диск,впоявившемсяменювыбираемInstall SymantecAntivirusивследующемокне—InstallSymantecAntivirus Server.Еслисерверужеустановлен,егоможнообновитьвпервомокне мастераустановки,указавUpdateSymantecAntivirusServer.Иначежмем наInstallиследуемуказанияммастера.Послеподтверждениялицензионногосоглашениябудетпредложенвыборкомпонентов,средикоторых можносразуустановитьReportingAgentдлясбораиотправкистатистикинасерверотчетов.

Далеевыбираемкомпьютер(точнее,компьютеры),накоторыйбудет установленкомпонент.Этаоперациястандартна.Можноуказатьнужныекомпьютеры,выбираяихвдеревеслева,вводяпарольдлядоступа идобавляявсписокспомощьюAdd.Аможнозаранеесоставитьфайлсо спискомIP-адресовиуказатьегоспомощьюImport.Посленажатияна кнопку«Далее»мастерпопробуетсоединитьсясвыбраннымисистемами,ивслучаеуспехаустановкапродолжится.

Дляудобствауправлениясерверыможнообъединятьвгруппы.Наследующемшагемастерабудетпредложеноподключитьсякужеимеющимся группамилисоздатьновую.Таккакникакихгрупппоканет,нажимаем «Далее»исоглашаемсяспредложениемсозданияновойгруппы,введя имяпользователяипарольдляуправленияидоступакнастройкам группы.

Посленажатиянакнопку«Далее»,собственно,иначнетсяпроцесс развертывания,входекоторогобудетпоказансписоккомпьютеров,на которыезапланированаустановка,итекущийстатус.Поокончании выходимизмастеранажатиемнаClose.Обуспехесвидетельствует появлениевпанелизадачновогозначкаклиентскойчастиантивируса. Теперьпереходимкостальнымкомпонентам.

Установкацентрауправленияпроисходитаналогично.Выбираемв менюдискаInstallSymantecAntivirusCenterиследуемуказанияммастераустановки.Послеподтверждениялицензионногосоглашениябудет предложеновыбратьустанавливаемыекомпоненты.Поумолчанию консольAlertManagementSystemдляустановкинепредлагается;если планируетсяееиспользование,следуетубедиться,чтостоитсоответствующийфлажок.Поокончаниипотребуетсяперезагрузкакомпьютера. Дляхранениясобраннойинформациисерверотчетовиспользуетбазу данныхSQL.ВкомплектеидетMicrosoftSQLServerDesktopEngine,

Компонентыклиента

которыйибудетпредложенпоумолчанию.Хотяеслиестьужеработаю-

щийSQLServer,можновыбрать«InstallReportingServerusingadatabase serveronanothermachine»ииспользоватьего,заполнивнеобходимые параметрыдлядоступа.Дляустановкисервераотчетоввыбираем InstallReportingServerиследуемзамастером.Походунеобходимобудет создатьпарольдляучетнойзаписиadminнасервереотчетов,атакжедля пользователяsaнаDesktopEngine.

Установка клиента

КлиентSymantecAntivirusтакжеможноустановитьнесколькимиспо- собами.Одинизних—использованиекомпакт-диска,вменюкоторого

НастройкаобновленийLiveUpdate

нейшемконсольрежезапрашивалапароль,можноустановитьфлажкив пунктах«Rememberthisusernameandpassword»и«Automaticallyunlock thisservergroup».Послеразблокировкинашсерверпоявитсявсписке.

Далееследуетуказать,чтоонявляетсяглавным.Дляэтоготакжевызываемконтекстноеменю,выбираемпункт«MakeServeraPrimaryServer»ив следующемокнеподтверждаемсогласие.

Далее«ToolsClientRemoteInstall».Напервомшагеуказываемместонахождениеустановочныхфайлов.Поумолчаниювсенеобходимое устанавливаетсявместесконсолью(вкаталогC:\ProgramFiles\SAV\ CLT-INST\),поэтомувбольшинствеслучаевдостаточновыбратьDefault Locationиперейтикследующемушагу.Теперьпредстоитуказатьсервер,

выбираемпунктInstallSymantecAntivirusClient.Впроцессеможнобудет изменитьсписокустанавливаемыхкомпонентов.Такжепредстоит выбратьвариантиспользованияклиента:

1.Unmanaged(неуправляемый)—есликомпьютериспользуетсяв отдельнойсети(например,домашнийкомпьютер)ибудетуправляться пользователем;

2.Managed(управляемый)—есликомпьютервходитвкорпоративную сетьиегонастройкамибудетуправлятьсерверSymantecAntivirus. ПривыборевтороговариантавследующемокневстрокеServerName надоввестиимясервераилинайтиего,используякнопкуBrowse.

ПриудаленнойустановкеследуетиспользоватьконсольSymantec AntivirusCenter,ярлыкдлязапускакоторогоможнонайтиводноименномменю«Пуск».Послезапускаконсолибольшинствопунктовбудет заблокировано.Поэтому,чтобыпродолжитьработу,вменюSymantec AntivirusCenterтребуетсявыбратьгруппусерверов,скоторойпредстоит работать(поумолчаниюSymantecAntivirus1),и,вызвавконтекстное меню,перейтикпунктуUnlockServerGroup.Далеевводимимяпользователяипароль,которыйбылуказанприустановкеконсоли.Чтобывдаль-

которыйбудетиспользованприустановке.Поумолчаниюпредлагается текущий,поэтомуотмечаемеговправомокнеинажимаемSelect.Поя- витсяокно,вкоторомнеобходимоуказатьимяилиIP-адресклиентских компьютеров,накоторыебудетустанавливатьсяSymantecAntivirus.

Здесьтакжеможноиспользоватьзаранееподготовленныйфайл.После нажатиянаAddпроверяетсяответкомпьютера,поэтомупередзапуском мастераудаленнойустановкивсеклиентыдолжныбытьвключены.Для продолженияустановкипотребуетсяввестипарольадминистраторадоменаиликомпьютера.Далее,собственно,ипроисходитустановка.Через некотороевремяновыйкомпьютерпоявитсявовкладкесервера.

Настройка антивируса на клиентских машинах

Некоторыесвойстваизадачи,выполняемыекомпонентамиантивируса назакрепленныхклиентскихмашинах,можноредактировать,воспользовавшиськонтекстнымменю.Нодляудобстваадминистрирования компьютерыобъединяютвгруппы.Выставленныенастройкибудут действительныдлявсехклиентов,входящихвопределеннуюгруппу.

>>

КомпонентыSymantecSystemCenter

Приэтомбудетдоступнабольшаячастьнастроек.Итак,выбираемсвою группусерверов,внейнаходимярлыкGroups.Щелкаеммышкой,вконтекстномменюнасинтересуетпунктNewGroup.Впоявившемсяокне вводимназваниеновойгруппы.Используяраскрывающийсясписок

«Copysettingfromthisclientgroup»,можноимпортироватьнастройки,

сделанныедляоднойизимеющихсяранеегрупп.Впоследующемпроще отредактироватьнекоторыеизних,чемвыставлятьвсезаново.Внимание:некоторыенастройкитребуют,чтобыкомпьютерклиентабыл включен.Чтобыдобавитьклиентскиекомпьютерывовновьсозданную группу,следуетихпростозахватитьмышкойиперетащитьнаярлык группы.Есликлиентранеебылчленомоднойизгрупп,сначаланеобходимовыбратьвконтекстномменюпунктUnassignfromgroup,азатем уженазначитьемудругуюгруппу.Поокончанииможноприступатьк настройкам.

Впринципе,некоторыеоперациибудутпроизводитьсяиприустановкахпоумолчанию.Ноэтиустановки,какправило,неоптимальны.Да

иесливсекомпьютерывпикрабочегоднявдругначнутобновлятьсвои базыиливыполнятьполнуюпроверкудисковнавирусы,тоработакомпанииможетнесколькопострадать.Поголовеобычнозаэтонегладят

ипряниковнедают:).Поэтомущелчкоммышкипонужнойгруппе вызываемконтекстноеменюивыбираемпункт«Всезадачи»(AllTasks). Здесьдоступнонесколькоподпунктов:

1.LiveUpdate—указывается,скакогосервераLiveUpdateбудутпроизво- дитьсяобновлениянакомпьютерах,входящихвэтугруппу;

2.SymantecClientFirewall—централизованнаянастройкаклиентского межсетевогоэкранаотSymantec;

3.SymantecEndpointCompliance—централизованнаянастройкаVPN-

соединений;

4.SymantecAntiVirus—настройкаклиентскойчастиантивируса. Каждоеизэтихменюимеетсвоипункты,всевозможностиинастройкикоторыхдовольнопроблематичноописатьврамкаходнойстатьи. Скажутолько,что,какправило,каждоеподменюимеетдваосновных пункта:Logs,гдеможнонайтижурналы,иConfigure,гдепроизводятся основныенастройки.ИсключениесоставляетлишьSymantecAntiVirus, имеющийнесколькопунктовдлядоступакнастройкам.

Настройка обновлений

ИзвсехменюсейчаснасинтересуетлишьLiveUpdateиSymantec AntiVirus.ПоумолчаниювсеклиентыбудутобновлятьсясосновногосервераSymantecLiveUpdate,чтонерациональносточкизрения экономиитрафика.Настроимклиентовтак,чтобыониобновлялисьс

нашегосервераLiveUpdate.ДляэтогопереходимвподпунктLiveUpdate

—Configure,отмечаемInternalLiveUpdateServerизаполняемоткрыв-

шиесяполя.ОсновнымиявляютсяConnection,вкоторомследуетввести имяилиIP-адрессервераобновлений(поумолчаниюмыегоставили

Выборкомпьютераприустановкесервера

натотжекомпьютер,чтоисервер),иType,вкоторомвыбираетсятип сервера.ВполеDescriptionзаписываемкраткоеописаниесервера.Если длядоступаксерверуобновленийтребуетсялогинипароль,указываем ихвполеLogin.ЕсливсетиимеетсянесколькосерверовLiveUpdate,их можнозадатьвкачестверезервных.ДляэтогонажимаемNewизаполняемполя.

Итак,сервервыбран,теперьнеобходимоуказатьпериодичностьобновленияинекоторыедругиепараметры,касающиесяобновления.Выби-

раем«SymantecAntiVirusVirusDefinitionManager».Чтобыописания вирусовзабиралисьсосновногосервера,отмечаемфлажок«Update virusdefinitionfromparentserver»,затемнажимаемSettingиуказываем времявминутах.ДлязапросаобновленийчерезслужбуLiveUpdateот-

мечаемфлажок«ScheduleclientfromautomaticupdatesusingLiveUpdate»

и,нажавкнопкуSchedule,устанавливаемпериодичностьобновления. Хочуотметить,что,выбравAdvanced,можноустановитьслучайное времяиденьобновления.Вбольшихсетяхэтооченьудобно,таккак ненужнозабиватьсебеголову,когдабудутобновлятьсятеилииные группыикомпьютеры.Чтобызапретитьклиентамзапускатьобнов-

лениявручную,устанавливаем«Donotallowclienttomanuallylaunch LiveUpdate».Ачтобыразрешитьобновлятьсамипродукты,отмечаем

«DownloadproductupdatesusingLiveUpdate».

И,наконец,необходимонастроитьсамсерверобновлений.Находимв меню«Пуск»пунктLiveUpdateAdministrationUtilityивменюRetrieve Updatesотмечаемпродукты,длякоторыхследуетскачиватьобновления,иихязык.ВыборDetailsпозволитуточнитьпараметрыобновления дляконкретногопродукта.

Настройка сканирования

Настройкасканированияпроизводитсявтомжеменю.Возможнанастройкасканированиядлявсейгруппы.Выбравотдельныйкомпьютер, можнозадатьпараметрыиндивидуальногосканирования.Итак,выбираемScheduledScans,впоявившемсяокненажимаемNewизаполняем параметры.ВполеNameвводимимязадания,затемвполеFrequency выбираемчастоту(ежедневно,развнеделю,развмесяц)ивполесправавыбираемденьивремявыполнениязадания.Затем,перейдявScan Setting,выбираемтипзадания(QuickScan,FullScanилиCustomScan).

Чтобыуточнитьпараметрывыбранногозадания,нажимаемкнопку Options.Здесьможновыбратьтипыфайлов,сканированиеархивов, памятиипрочее.Временноотключитьзадание,неудаляяего,можно, снявфлажокEnablescan.Запуститьзадачувручнуюможно,выбравStart ManualScanдляодногокомпьютераилиStartScanдлягруппы.

Тонкаянастройкатакогопродукта,какSymantecAntivirusCorporate Edition,—делонеодногодня,требующеевнимательностиитщатель- нойпланировки.Заторезультат—защищеннаяилегкоуправляемая сеть.Успехов.z

ХАКЕР.PRO