Trend micro officescan что это
На сегодняшний день источником одной из основных проблем безопасности компьютерных систем является вредоносное программное обеспечение. Сотни тысяч зараженных вирусами компьютеров объединяются в бот-сети, при помощи которых в дальнейшем проводятся атаки на серверы в Сети, рассылается спам и новые модификации вирусов. Корпоративные локальные сети для злоумышленников представляют особый интерес, поскольку они подключены к глобальной сети через быстрые каналы связи и в одной локальной сети может одновременно работать до нескольких сотен или даже тысяч компьютеров.
Процесс захвата локальной сети достаточно прост: злоумышленник заражает один компьютер, устанавливает на нём специальные инструменты, а затем ставит под контроль все остальные компьютеры. Если сетью управляет нерадивый системный администратор, то на каждом компьютере установлена своя, персональная версия антивируса, базы описаний вирусов которой могут не обновляться по тем или иным причинам очень давно, либо антивирус может быть не установлен вовсе, либо пользователю оставлены права на отключение антивирусного мониторинга. Помимо этого, на компьютере может быть не установлены критические обновления для операционной системы, не ограничены права учетной записи пользователя, неверно настроены права на доступ к файловой системе и так далее. Сумма этих факторов приводит к очень быстрому и достаточно простому заражению всей локальной сети. Учитывая, что у такого администратора, скорее всего, не настроен контроль над внешним трафиком, то о взломе локальной сети он может узнать только в конце месяца, получив от провайдера счет на огромную сумму. И только после этого начинается лечение компьютеров, обновление антивирусных баз, установка обновлений. Таким образом, без использования специализированного программного обеспечения и квалифицированного обслуживающего персонала большие локальные сети могут служить рассадником вирусов и спама с очень высокой активностью достаточно длительное время.
В рамках этой статьи мы рассмотрим один из продуктов для реализации централизованной защиты от вирусов на рабочих станциях пользователей локальной сети. Использование такого продукта позволяет в единой консоли управления в реальном времени отслеживать проявления вирусной активности в сети, актуальность баз и программных модулей антивируса, централизованно, с сервера управлять настройками антивирусной защиты всех компьютеров предприятия любого размера, просматривать отчеты и многое другое.
Компания Trend Micro предлагает множество различных продуктов для обеспечения безопасности локальных сетей, в том числе OfficeScan, особенности установки и возможности которого и будут раскрыты в этом обзоре.
Установка серверной части
Установка продукта выполняется мастером.
В процессе сбора информации для установки мастер предлагает пройти стандартные шаги: принять условия использования программы; выбрать установку или обновление продукта на локальном компьютере или на удалённом (можно обновить или установить продукт сразу на нескольких удалённых компьютерах); выполнить быструю проверку компьютера на наличие вирусов перед установкой продукта; указать каталог, куда будет установлен Trend Micro OfficeScan; задать настройки подключения к интернету для обновления баз описаний вирусов и модулей продукта. На следующем шаге мастер предложит выбрать веб-сервер, под управлением которого будет работать серверная часть.
Если на сервере не установлен веб-сервер, или по каким-то причинам нежелательно использовать IIS, то мастер может автоматически установить и настроить Apache. Если решено использовать IIS, то из списка можно выбрать для установки один из существующих узлов или создать новый. Если к серверной части планируется подключение по ненадёжным каналам связи, то можно включить SSL для шифрования трафика.
На следующем шаге мастер предложит выбрать предпочтительный для клиентских компьютеров вариант поиска серверной части Trend Micro OfficeScan: по имени или по IP-адресу.
Затем мастер предложит зарегистрировать копию продукта на сайте Trend Micro, получить код для активации продукта и ввести его на следующем шаге установки.
Затем мастер предложит установить дополнительные компоненты.
На следующем шаге мастер предложит подключиться к глобальной программе отслеживания вирусов, смысл которой сводится к сбору компанией Trend Micro статистики обнаружения известных вирусов, которая затем используется для аналитики.
На следующем шаге будет предложено ввести пароли для доступа к веб-интерфейсу управления и для выгрузки клиентской части антивируса.
На шаге, который почему-то назван «Удаление клиента OfficeScan», предлагается указать путь для создания общего ресурса, на котором будут доступны файлы клиентской части, и номер порта, через который будут взаимодействовать клиент и сервер.
В следующем окне мастера установки предлагается включить файрвол для ограничения доступа к портам защищаемых компьютеров.
Далее предлагается включить режим оценки для ручной классификации spyware и указать время, которое необходимо для принятия решения. OfficeScan не будет удалять такое ПО указанное количество дней и предоставит возможность администратору квалифицировать его как безвредное.
Затем мастер установки предложит выбрать каталог для установки и выведет окно со всей информацией, которая была собрана в ходе его работы. На следующем этапе работы мастера будет запущена установка антивируса, после завершения которой мастер закончит свою работу и предложит открыть веб-консоль для управления OfficeScan. Перезагружать компьютер для окончания установки не требуется.
Если в процессе установки продукта была выбрана установка клиента OfficeScan, то в трее через какое-то время появится его значок.
В IIS будет создан новый узел с параметрами, заданными при установке OfficeScan.
При сканировании портов сервера будут обнаружены открытые OfficeScan порты 4343 и 52128 (или те, которые были указаны в настройках при установке продукта).
Будет создан общий ресурс, доступный всем пользователям сети только для чтения.
Если Trend Micro OfficeScan был установлен на сервер с включенной конфигурацией усиленной безопасности Internet Explorer, то открыть на сервере веб-консоль будет возможно только после добавления её адреса в список надёжных узлов.
Для работы с консолью требуется установить элемент ActiveX. На мой взгляд, не лучшая идея для сервера, поэтому консоль лучше открывать с рабочего места администратора. Это будет безопасно при использовании SSL, которое было включено на этапе установки серверной части.
Настройка сервера Trend Micro OfficeScan
Внешний вид консоли управления сервером показан на рисунке ниже.
Не смотря на то, что версия продукта русскоязычная, веб-консоль не переведена на русский язык.
В правой части главной страницы консоли управления в графическом виде приведена вся статистика работы OfficeScan: названия активных модулей, количество и названия последних обнаруженных угроз, количество клиентских компьютеров, актуальности их баз описаний вирусов и модулей OfficeScan.
При выборе из поля «Client tree view» различных представлений информации, список может быть отфильтрован для вывода информации о состоянии только определённых модулей (файрвола, антивируса, антишпиона) или для одновременного вывода о состоянии всех модулей клиентов OfficeScan.
Настройки, перечисленные на этом экране, действуют для всех клиентов OfficeScan. Здесь указываются параметры антивирусного сканирования (проверка архивов, их очистка, ограничение уровня вложенности проверяемых архивов, исключение из мониторинга каталогов с базами OfficeScan и Microsoft Exchange Server), параметры поиска spyware и grayware, периодичность отправки клиентами на сервер OfficeScan журналов работы файрвола, настройки всплывающих сообщений на компьютерах пользователей (о необходимости перезагрузки после установки или обновления клиентской части для запуска драйвера OfficeScan, работающего в режиме ядра, и о критическом устаревании баз описаний вирусов). Здесь же настраивается автоматическая проверка работоспособности клиентской части и её перезапуск при необходимости, резервируется место на диске для получения и распаковки обновлений, и так далее. В этом же окне можно выбрать способ группировки клиентов OfficeScan: по домену NetBIOS, по домену Active Directory или по домену DNS.
В зависимости от используемого в разные моменты времени клиентским компьютером шлюза, OfficeScan определяет его местоположение. При нахождении компьютера вне доверенной сети, к нему может быть применена жёсткая политика ограничения посещаемых web-сайтов.
По умолчанию в список разрешённых узлов добавлены сайты, с которых могут быть скачаны обновления Trend Micro OfficeScan и Microsoft Windows. Администратор имеет возможность добавить в этот список любые сайты, причём, добавить сразу полностью весь домен или только определённую страницу. Каждый посещаемый пользователем сайт оценивается по пятибалльной шкале: от низкого уровня угрозы до высокого. Самый высокий уровень защиты блокирует неоценённые сайты, сайты, содержащие веб-угрозы и сайты, которые могут содержать такие угрозы с разной степенью вероятности. Внизу этой вкладки размещён чекбокс «Allow clients to send logs to the OfficeScan server». После его отметки, клиенты начнут периодически присылать на сервер OfficeScan журналы работы фильтра репутации посещаемых сайтов, проанализировав которые, администратор может скорректировать уровень защиты или пополнить список разрешённых сайтов.
Фильтр может быть применён как к компьютерам, находящимся в локальной сети, так и ко внешним компьютерам. Настройки этих двух зон независимы и разнесены на вкладки «External Computers» и «Internal Computers». Находится ли в данный момент клиентский компьютер в локальной сети или за её пределами, OfficeScan определяет по IP и MAC адресам используемого шлюза, которые должны быть предварительно указаны на вкладке «Computer Location».
На этой вкладке настраиваются политики ограничения трафика. По умолчанию создано несколько политик, которые необходимы для работы и управления Trend Micro OfficeScan. Администратор может создать любое количество новых политик. Их настройки достаточно гибки для создания политик практически любой сложности.
Шаблон, на котором предлагается настроить новую политику, блокирует весь трафик, за исключением того, который описан разрешающими правилами внизу окна. Администратор может для решения той или иной задачи полностью изменить политику, например, на разрешение всего трафика, за исключением только определённого. В любом случае, перед включением файрвола следует в обязательном порядке проинспектировать созданные политики и исправить их, уточнив правила фильтрации.
Например, в организации используется свой почтовый сервер и пользоваться другими SMTP серверами для отправки почты запрещено корпоративной политикой безопасности. В таком случае, следует создать политику, которая разрешит клиентам использовать 25-й порт для подключения только к своему почтовому серверу, но не к другим. Такая политика, после её применения, гарантированно исключит возможность рассылки из локальной сети организации спама даже в том случае, если компьютеры, всё же, заразятся новым вирусом ещё до добавления его описания в антивирусные базы Trend Micro.
В каждой политике можно создать любое количество исключений, примеры которых уже представлены в шаблоне. Пример стандартного исключения для обеспечения клиенту возможности разрешать имена при помощи DNS показан на рисунке ниже.
Настроек исключения достаточно для создания практически любых правил.
После создания политик их необходимо назначить клиентам. Сделать это можно при помощи настроек на вкладке «Profiles».
Любую политику можно назначить любому компьютеру, IP-адресу, пользователю и так далее. Пример настроек привязки политики к объектам для применения показан ниже.
Администратор может выбрать определённую политику из созданных ранее или указать на необходимость применения всех политик; указать IP-адрес, их диапазон или подсеть, к которым будет применяться политика; выбрать из списка клиентов OfficeScan домен или определённый компьютер; указать версию операционной системы, установленной на компьютере клиента, имя входа и его статус на сервере OfficeScan.
В разделе «User Privileges» администратор может разрешить пользователю изменять уровень безопасности и редактировать список исключений.
Таким образом, администратор может решить практически любую задачу разграничения доступа к ресурсам сети используя лишь Trend Micro OfficeScan. Он может, например, для большинства пользователей разрешить обмен трафиком только между компьютером пользователя, контроллером домена, локальными почтовым и прокси серверами. Такая настройка запретит доступ к компьютерам других пользователей, всем остальным серверам и так далее. После чего пользователь, даже используя специальное программное обеспечение, не сможет собрать информацию о структуре локальной сети, количестве компьютеров, ролях, выполняемых ими, не сможет предоставить доступ другим пользователям к общим ресурсам на своём компьютере.
Другим группам пользователей может быть разрешён обмен трафиком между компьютерами внутри группы и доступ к ещё нескольким серверам. Привилегированная группа пользователей может иметь доступ ко всем компьютерам и серверам, за исключением некоторых. Подобная гибкая фильтрация трафика позволит администратору построить действительно защищённую локальную сеть. Причём, защищённую не только от внешних угроз, но и от внутренних.
Outbreak Prevention
При возникновении в локальной сети внештатной ситуации, когда какой-либо из клиентских компьютеров заразился новой разновидностью вируса и есть угроза начала эпидемии в локальной сети, администратор может использовать инструмент «Outbreak Prevention» для быстрого ограничения или запрета доступа к общим ресурсам, а также к определённым портам.
После выбора в списке одного или нескольких компьютеров, или всего домена и нажатия кнопки «Start Outbreak Prevention» будет открыто окно мастера, который предложит настроить параметры блокировок.
После настройки всех блокировок нужно указать время, на которое они будут применены. Доступен выбор из диапазона от 1 до 65535 часов. Хорошей идеей будет проинформировать пользователей о включении защиты при помощи сообщения, текст которого можно отредактировать в поле «Notification». После включения Outbreak Prevention клиенты Trend Micro OfficeScan увидят стандартную всплывающую подсказку с этим текстом над значком Trend Micro в трее.
Updates
Настройки обновления компонентов Trend Micro OfficeScan разделены на две части для раздельного управления скачиванием обновлений на сервер OfficeScan с серверов Trend Micro, и обновления клиентов OfficeScan.
Суммарная статистика актуальности версий всех компонентов OfficeScan выводится в отчёте, пример которого показан на рисунке ниже.
Администратор может настроить автоматическое, по расписанию скачивание обновлений с серверов Trend Micro и выполнить внеочередное обновление вручную. На странице «Update Source» можно указать в качестве источника для получения обновлений сервер Trend Micro или любой другой сервер. Используя второй вариант, администратор может настроить централизованное обновление филиалов компании с одного, своего сервера. Помимо этого, в качестве источника для получения обновлений может быть указан адрес общего ресурса в локальной сети, доступ к которому может быть ограничен паролем.
При настройке обновления клиентов OfficeScan можно включить немедленное обновление баз и компонентов после их скачивания сервером OfficeScan. После обновления баз есть возможность включить принудительное сканирование компьютеров пользователей для поиска новейших вирусов.
Помимо обновления клиентских компьютеров по расписанию, возможно запустить их принудительное обновление вручную. При этом можно навязать обновления только клиентам с устаревшими версиями компонентов и баз или выбрать клиентов для обновления вручную.
В качестве источника для получения клиентами обновлений может выступать как сервер OfficeScan, так и любые другие серверы, список которых администратор может составить вручную.
Ещё одной полезной особенностью Trend Micro OfficeScan является наличие модуля, с помощью которого на сервере можно хранить предыдущие версии баз описаний вирусов и клиентской части. При необходимости, администратор может в любой момент восстановить любой из этих компонентов в состояние, которое предшествовало последнему обновлению.
Установка клиентской части Trend Micro OfficeScan
Из поля со списком «Операционная система» можно выбрать разрядность операционной системы, для которой создаётся пакет (32 или 64).
Таким образом, компания Trend Micro предоставляет в распоряжение администратора достаточное количество инструментов для установки клиентской части OfficeScan на любое количество компьютеров в сетях самой различной конфигурации.
Настройка клиентской части Trend Micro OfficeScan
При помощи веб-интерфейса управления OfficeScan администратор может централизованно запретить или разрешить пользователям управлять различными настройками клиентской части на своём компьютере. Настройки могут быть заданы раздельно для домена и каждого клиента. Рекомендуется на уровне домена максимально отключить все возможности, а затем на уровне компьютеров разрешить только необходимое определённым пользователям.
Настройки прав пользователей показаны на рисунке ниже.
Как видно, права могут быть изменены с уровня «запрещено всё» до «разрешено всё». Если администратор не отключил возможность открытия консоли клиентской части на компьютере пользователя, то после двойного щелчка по значку Trend Micro OfficeScan в трее, он увидит окно, пример которого показан ниже.
Опять же, если администратор не запретил открытие консоли, то, выбрав из контекстного меню, открываемого щелчком правой кнопки мыши по значку Trend Micro OfficeScan в трее, пункт «Консоль OfficeScan» пользователь сможет открыть окно, пример которого показан ниже.
В зависимости от того, доступ к каким возможностям разрешён, в этом окне количество вкладок, как и настроек на них, может быть различным. Это справедливо и для настроек постоянной антивирусной защиты, так и для проверки файлов по требованию. Выгрузка клиентской части и её полное удаление с компьютера пользователя может быть защищено паролем.
Вывод
OfficeScan
Безопасность конечной точки от проверенного временем лидера в области безопасности
Обзор
Раньше картина угроз была черно-белой — мы оставляли хорошее и выбрасывали плохое. Сейчас намного сложнее отличить плохое от хорошего, так что традиционный подход к обеспечению безопасности при помощи антивируса является слабой защитой от программ-вымогателей и неизвестных угроз, которые довольно часто просачиваются в вашу систему. Технологии нового поколения помогают избавиться от каких-то угроз, но не от всех, а добавление нескольких инструментов защиты от вредоносных программ на одну конечную точку приводит к наличию множества продуктов, которые не работают между собой. Эта ситуация усложняется ещё и тем, что ваши пользователи все чаще заходят на корпоративные ресурсы из большого числа мест и устройств, включая также облачные службы. Вам необходима предельная защита, которая была бы интеллектуальной, оптимизированной и распределенной, и которая предоставлялась бы заслуживающим доверия поставщиком.
Trend Micro™ OfficeScan™ внедряет высокоточное машинное обучение в гибрид из технологий по защите от угроз, для устранения пробелов в безопасности в отношении любого пользовательского действия и в отношении любой конечной точки. Это ПО постоянно обучается и адаптируется, автоматически обмениваясь аналитикой по угрозам с другими устройствами в вашей среде. Данный гибрид защиты от угроз обеспечивается посредством архитектуры, которая использует предельные ресурсы в наиболее эффективной манере, в конечном счете превосходя конкурентные продукты, связанные с ЦП и использованием сети.
OfficeScan — это важный компонент пакетов «Smart Protection», который обеспечивает такие возможности защиты шлюза и конечной точки, как управление приложениями, предотвращение вторжений (защита уязвимых мест), шифрование конечной точки, предотвращение утечки данных (DLP) и некоторые другие в одном привлекательном пакете. Дополнительные решения от «Trend Micro» способствуют расширению вашей защиты от изощренных атак при помощи анализа и быстрого реагирования, производимого на конечной точке (EDR). В дополнение к этому, сетевая технология Sandbox (песочница) Deep Discovery обеспечивает конечным точкам быстрое реагирование (обновление сигнатур в реальном времени) во время локального обнаружения новой угрозы, таким образом минимизируя время для принятия мер защиты и уменьшая степень распространения вредоносной программы. Вся эта современная технология защиты от угроз легка и доступна для вашей организации при помощи центральной наблюдаемости, управления и отчетности. Ознакомьтесь с нашей установкой безопасности конечных точек.
Загрузить
информационный лист
У вас может быть все это
Высокотехнологичная защита от вредоносных программ и программ-вымогателей:
Защищает конечные точки в корпоративной сети или вне ее от вредоносных программ, троянов, червей, программ-шпионов, программ-вымогателей, также адаптируясь для защиты от новых, ранее не известных вариантов вирусов по мере их возникновения.
Распределенная защита от угроз:
OfficeScan интегрируется локальным образом с другими вашими сетевыми продуктами по безопасности, также соединяясь с глобальной, облачной аналитикой компании «Trend Micro» для обеспечения защиты посредством быстрых ответных обновлений, предоставляемых технологией Sandbox конечным точкам во время обнаружения новой угрозы, что минимизирует время для принятия мер защиты и уменьшает степень распространения вредоносной программы.
Централизованная наблюдаемость и управление:
При развертывании Trend Micro™ Control Manager™ можно управлять несколькими серверами OfficeScan при помощи одной панели управления с целью обеспечения полной пользовательской наблюдаемости.
Интеграция с системой безопасности мобильных устройств:
Интегрируйте Trend Micro™ Mobile Security и OfficeScan при помощи Control Manager для централизации управления безопасностью и развертывания политики по всем конечным точкам; Mobile Security включает в себя защиту мобильных устройств от угроз, управление мобильными приложениями, управление мобильными устройствами (MDM), а также защиту данных.
Может быть предоставлена локально или как услуга:
OfficeScan может быть развернут локально в вашей сети или же быть предоставленным в качестве услуги (SaaS).
Максимальная безопасность на основе XGen™
Внедряет высокоточное машинное обучение наряду с другими технологиями обнаружения для серьезной защиты от программ-вымогателей и продвинутых атак.
Основные проблемы компаний
«Моя первая цель заключалась в избавлении от высоких накладных расходов, которые возникли из-за предыдущей системы защиты конечных точек», сообщил г-н Джеймисон.
«OfficeScan помог мне в этом. Моей второй целью было внедрить систему безопасности, которая бы действительно работала. С того времени, как мы заменили предыдущее решение, мы видим, что решение «Trend Micro» остановило заражение системы вредоносными программами.»
Брюс Джеймисон
Менеджер сетевых систем компании
A&W Food Services of Canada
Снизьте влияние, оказываемое пользователем, вместе с расходами на управление.
Партнер по безопасности, проверенный временем
История «Trend Micro» — это история постоянных инноваций для обеспечения наиболее эффективных и целесообразных технологий в области безопасности. Мы всегда смотрим в будущее, стараясь разработать такую технологию, которая необходима для сражения с постоянно изменяющимися угрозами завтрашнего дня.
Усильте вашу существующую защиту конечных точек от компании «Trend Micro» при помощи опциональных модулей безопасности, расширив защиту при помощи комплиментарных решений по конечным точкам:
Модель предотвращения утечки данных (DLP)
Защищает ваши важные данные посредством максимальной наблюдаемости и контроля.
Безопасность для модуля Мас
Обеспечивает уровень защиты для клиентов Apple Mac в вашей сети посредством предотвращения посещений ими вредоносных сайтов и распространения вредоносных программ, даже если данные вредоносные программы не нацелены на причинение ущерба Mac OS X.
Модуль инфраструктуры виртуального рабочего стола (VDI)
Позволяет консолидировать безопасность конечных точек в одно решение как для физических, так и для виртуальных рабочих столов.
Опция шифрования конечной точки
Гарантирует конфиденциальность данных посредством шифрования данных, хранящихся на ваших конечных точках, включая ПК, компьютеры Мас, DVD и USB накопители, которые можно легко потерять или украсть. Trend Micro™ Endpoint Encryption обеспечивает ту безопасность данных, которая необходима вам в отношении полного шифрования диска, шифрования папок и файлов, а также шифрования съемных носителей информации.
Опция защиты уязвимых мест
Мгновенно останавливает уязвимости нулевого дня на вашем физическом и виртуальном рабочем столе и портативных компьютерах, как в сети, так и вне ее. При помощи системы предотвращения вторжения уровня узла (HIPS), Trend Micro™ Vulnerability Protection предоставляет защиту от известных и неизвестных уязвимостей еще до появления или развертывания корректирующего файла. Предоставляет защиту для критически важных платформ, включая унаследованные ОС, такие как Windows XP.
Опция контроля приложений на конечной точке
Усиливает вашу защиту от вредоносных программ и целевых атак посредством предотвращения использования нежелательных и неизвестных приложений на ваших корпоративных конечных точках.
Опция Endpoint Sensor
Предоставляет контекстно-зависимый анализ и быстрое реагирование, производимое на конечной точке (EDR) наряду с подробной деятельностью системы по записи и отчетности, с той целью, чтобы аналитики рисков могли быстро получить доступ к характеру и масштабу какой-либо атаки. Персонализированное обнаружение, аналитика и контроль позволяют вам:
Модуль Trend Micro™ Control Manager™
Эта централизованная панель управления безопасностью гарантирует единообразное управление безопасностью и полную наблюдаемость и отчетность по множественным уровням взаимосоединенной системы безопасности, предоставляемой компанией «Trend Micro». Она также расширяет возможности наблюдаемости и контроля локально, в облаке, а также в гибридных моделях развертывания. Централизованное управление сочетается с пользовательской наблюдаемостью для усиления защиты, снижения сложности, а также устранения дублирующихся и повторяющихся заданий в системе администрации безопасности. Control Manager также предоставляет доступ к рабочей аналитике угроз от Trend MicroTM Smart Protection NetworkTM, где используется глобальный подход к аналитике угроз для получения облачной безопасности в реальном времени для блокировки угроз еще до того, как они вас достигнут.
«Наличие сети, распространенной, подобно нашей, по всей стране и обладание возможностью защиты мобильных и настольных устройств на одной платформе упрощает работу по обеспечению безопасности нашей сети, в то же время улучшая продуктивность нашей команды.»
Грэг Белл
Директор по ИТ
DCI Donor Services
Минимальные требования, рекомендуемые для серверов
Минимальные требования, рекомендуемые для агентов
Процессор: 300 МГц Intel Pentium или схожий (семейство Windows XP, 2003, 7, 8, 8.1, 10)
Память: Минимум 256 МБ (рекомендуется 512 МБ), где, по крайней мере, 100 МБ должно использоваться исключительно для OfficeScan (семейство Windows XP, 2003, Windows Embedded POSready 2009)