Доброго времени суток!
Вчера мы с уважаемым пользователем говорили о конкурирующем продукте, имя которому - Symantec Endpoint Protection (далее - SEP). У меня есть двухгодичный опыт использования этого продукта, коим я поделился, а потому нами было решено отписать здесь про его фичи, которые было бы неплохо перенять. Итак.
1. Location Awarenness.
SEP умеет определять своё местоположение по множеству признаков. Среди них - от логичных, казалось бы, условий "виден ли управляющий сервер?" или "в какой подсети находится компьютер?" до весьма экзотических вида "резолвится ли в ip такой-то dns name?" или "подключены ли мы по модему?" и даже "называется ли сетевой адаптер так-то?". Из этих условий можно строить правила нескольких уровней вложенности с условиями вида "и" и "или" между ними, т.е. можно построить правило вида "Если [(мы подключены к wifi-сети с SSID, отличным от ХХХХ) и (хост hostname.local резолвится в 192.168.0.1)] или [(мы подключены по модему) и (хост otherhostname.ru успешно резолвится хоть во что-то)], то включить это местоположение". Для каждого местоположения, можно задать полный набор всех политик: источник и частоту обновления, антивирусные и фаерные настройки и т.п..
2. Per-user Policies
SEP поддерживает отдельные наборы политик уровня компьютера и уровня пользователя. Комментарии излишни. На одном и том же компьютере можно определить разное поведение антивируса для разных пользователей.
3. Mass-mailing heuristics.
Определить приложение, занимающееся спам-рассылкой, и отправить его в карантин - для этого большого ума не надо. Ну а возможность автоматической отправки этого детекта в вирлаб прямо напрашивается.
Кстати, у SEP есть аналогичный функционал для кейлоггеров. Можно было бы унаследовать и его, благо движок AVZ уже многое умеет в этой области.
4. Контроль устройств.
В последней версии KAV WS это появилось, но весьма ограниченное. Необходимы как минимум белые списки для возможности создания правила вида "Запретить все флешки, кроме флешки с ID таким-то". Учитывая пункты 1 и 2, это позволит строить правила вида "В домашней сети разрешены все флешки, а в случае выноса ноутбука за пределы - флешками пользоваться неограниченно можно админам, и флешкой конкретно такой-то можно пользоваться главному бухгалтеру".
Также не помешало бы иметь возможность самому добавлять ID устройств в правила. Мало ли что конкретно понадобится запретить.
5. Контроль программ.
Хочется иметь возможности запрещать запуск программ по различным критериям (насколько я помню, не всё это реализовано в SEP, а потому я добавляю немного отсебятины):
- хэш исполняемого файла;
- имя исполняемого файла;
- папка расположения исполняемого файла;
- заголовок окна программы и т.д.
Причём не мешало бы предусмотреть и вывод соответствующего админского сообщения на экран. Во-первых, эта функция оказалась очень удобной в борьбе с нежелательным в компании ПО (скажем, пиратским переносным софтом - лично я так избавлялся от пиратского The Bat Portable). Во-вторых, это позволяет построить правило вида "Запрети запуск всего из %temp%, %recycled%" - польза очевидна.
6. Контроль системных объектов.
Уверен, найдётся изрядное количество системных администраторов, которые продадут душу за функционал уровня "Запретить редактирование такого-то пункта реестра" или "Запретить удаление такого-то файла". Конечно же, многое из этого можно решить групповыми политиками Windows 2008/Vista+... но глобальный переход на 2008/Vista+ ещё нескор, а решать эту задачу скриптами довольно неудобно. А кое-что сделать политиками всё равно будет невозможно. К примеру, SEP уже сейчас позволяет написать правило вида "Пользователю ХХХ запрещено создавать папки и файлы на рабочем столе, за исключением ярлыков". Для чего такое правило может понадобиться? Да для принуждения хранения документов, скажем, в промапленной на файл-сервер папке "Мои документы", в то же время без ограничения удобства - многим ярлычки на рабочий стол нужны и удобны.
7. Возможность не проверять файлы в общих папках компьютеров, на которых работает антивирус с такой же или более старшей версией антивирусных баз. Это, с одной стороны, ускоряет работу с сетью, а с другой, страхует компьютер от заражения в случае краха удалённого антивируса (как это было бы в случае безусловного исключения из проверки всей шары).
8. Возможность ручного создания сигнатур в фаерволле на основе данных сниффера трафика. Это позволит быстро зарезать трафик какого-либо атакующего червяка, не дожидаясь сигнатур из вирлаба.
9. Собственный транспорт отправки файлов в вирлаб, к примеру, через управляющий сервер. Отправка через почтовый клиент неудобна по массе причин: от сканеров трафика до неумения и нежелания пользователей производить дополнительные действия. Ну и пункт 3 без пункта 9 до конца невозможен.
Собственно, вот такие предложения. Спасибо за внимание.
Full Version: Обширный вишлист
Kaspersky Lab Forum > Для русскоязычных пользователей > Пожелания по продуктам Лаборатории Касперского
QUOTE(Das Ich @ 1.10.2009 11:58) 
Доброго времени суток!
Вчера мы с уважаемым пользователем говорили о конкурирующем продукте, имя которому - Symantec Endpoint Protection (далее - SEP). У меня есть двухгодичный опыт использования этого продукта, коим я поделился, а потому нами было решено отписать здесь про его фичи, которые было бы неплохо перенять. Итак.
1. Location Awarenness.
SEP умеет определять своё местоположение по множеству признаков. Среди них - от логичных, казалось бы, условий "виден ли управляющий сервер?" или "в какой подсети находится компьютер?" до весьма экзотических вида "резолвится ли в ip такой-то dns name?" или "подключены ли мы по модему?" и даже "называется ли сетевой адаптер так-то?". Из этих условий можно строить правила нескольких уровней вложенности с условиями вида "и" и "или" между ними, т.е. можно построить правило вида "Если [(мы подключены к wifi-сети с SSID, отличным от ХХХХ) и (хост hostname.local резолвится в 192.168.0.1)] или [(мы подключены по модему) и (хост otherhostname.ru успешно резолвится хоть во что-то)], то включить это местоположение". Для каждого местоположения, можно задать полный набор всех политик: источник и частоту обновления, антивирусные и фаерные настройки и т.п..
2. Per-user Policies
SEP поддерживает отдельные наборы политик уровня компьютера и уровня пользователя. Комментарии излишни. На одном и том же компьютере можно определить разное поведение антивируса для разных пользователей.
3. Mass-mailing heuristics.
Определить приложение, занимающееся спам-рассылкой, и отправить его в карантин - для этого большого ума не надо. Ну а возможность автоматической отправки этого детекта в вирлаб прямо напрашивается.
Кстати, у SEP есть аналогичный функционал для кейлоггеров. Можно было бы унаследовать и его, благо движок AVZ уже многое умеет в этой области.
4. Контроль устройств.
В последней версии KAV WS это появилось, но весьма ограниченное. Необходимы как минимум белые списки для возможности создания правила вида "Запретить все флешки, кроме флешки с ID таким-то". Учитывая пункты 1 и 2, это позволит строить правила вида "В домашней сети разрешены все флешки, а в случае выноса ноутбука за пределы - флешками пользоваться неограниченно можно админам, и флешкой конкретно такой-то можно пользоваться главному бухгалтеру".
Также не помешало бы иметь возможность самому добавлять ID устройств в правила. Мало ли что конкретно понадобится запретить.
5. Контроль программ.
Хочется иметь возможности запрещать запуск программ по различным критериям (насколько я помню, не всё это реализовано в SEP, а потому я добавляю немного отсебятины):
- хэш исполняемого файла;
- имя исполняемого файла;
- папка расположения исполняемого файла;
- заголовок окна программы и т.д.
Причём не мешало бы предусмотреть и вывод соответствующего админского сообщения на экран. Во-первых, эта функция оказалась очень удобной в борьбе с нежелательным в компании ПО (скажем, пиратским переносным софтом - лично я так избавлялся от пиратского The Bat Portable). Во-вторых, это позволяет построить правило вида "Запрети запуск всего из %temp%, %recycled%" - польза очевидна.
6. Контроль системных объектов.
Уверен, найдётся изрядное количество системных администраторов, которые продадут душу за функционал уровня "Запретить редактирование такого-то пункта реестра" или "Запретить удаление такого-то файла". Конечно же, многое из этого можно решить групповыми политиками Windows 2008/Vista+... но глобальный переход на 2008/Vista+ ещё нескор, а решать эту задачу скриптами довольно неудобно. А кое-что сделать политиками всё равно будет невозможно. К примеру, SEP уже сейчас позволяет написать правило вида "Пользователю ХХХ запрещено создавать папки и файлы на рабочем столе, за исключением ярлыков". Для чего такое правило может понадобиться? Да для принуждения хранения документов, скажем, в промапленной на файл-сервер папке "Мои документы", в то же время без ограничения удобства - многим ярлычки на рабочий стол нужны и удобны.
7. Возможность не проверять файлы в общих папках компьютеров, на которых работает антивирус с такой же или более старшей версией антивирусных баз. Это, с одной стороны, ускоряет работу с сетью, а с другой, страхует компьютер от заражения в случае краха удалённого антивируса (как это было бы в случае безусловного исключения из проверки всей шары).
8. Возможность ручного создания сигнатур в фаерволле на основе данных сниффера трафика. Это позволит быстро зарезать трафик какого-либо атакующего червяка, не дожидаясь сигнатур из вирлаба.
9. Собственный транспорт отправки файлов в вирлаб, к примеру, через управляющий сервер. Отправка через почтовый клиент неудобна по массе причин: от сканеров трафика до неумения и нежелания пользователей производить дополнительные действия. Ну и пункт 3 без пункта 9 до конца невозможен.
Собственно, вот такие предложения. Спасибо за внимание.
Вчера мы с уважаемым пользователем говорили о конкурирующем продукте, имя которому - Symantec Endpoint Protection (далее - SEP). У меня есть двухгодичный опыт использования этого продукта, коим я поделился, а потому нами было решено отписать здесь про его фичи, которые было бы неплохо перенять. Итак.
1. Location Awarenness.
SEP умеет определять своё местоположение по множеству признаков. Среди них - от логичных, казалось бы, условий "виден ли управляющий сервер?" или "в какой подсети находится компьютер?" до весьма экзотических вида "резолвится ли в ip такой-то dns name?" или "подключены ли мы по модему?" и даже "называется ли сетевой адаптер так-то?". Из этих условий можно строить правила нескольких уровней вложенности с условиями вида "и" и "или" между ними, т.е. можно построить правило вида "Если [(мы подключены к wifi-сети с SSID, отличным от ХХХХ) и (хост hostname.local резолвится в 192.168.0.1)] или [(мы подключены по модему) и (хост otherhostname.ru успешно резолвится хоть во что-то)], то включить это местоположение". Для каждого местоположения, можно задать полный набор всех политик: источник и частоту обновления, антивирусные и фаерные настройки и т.п..
2. Per-user Policies
SEP поддерживает отдельные наборы политик уровня компьютера и уровня пользователя. Комментарии излишни. На одном и том же компьютере можно определить разное поведение антивируса для разных пользователей.
3. Mass-mailing heuristics.
Определить приложение, занимающееся спам-рассылкой, и отправить его в карантин - для этого большого ума не надо. Ну а возможность автоматической отправки этого детекта в вирлаб прямо напрашивается.
Кстати, у SEP есть аналогичный функционал для кейлоггеров. Можно было бы унаследовать и его, благо движок AVZ уже многое умеет в этой области.
4. Контроль устройств.
В последней версии KAV WS это появилось, но весьма ограниченное. Необходимы как минимум белые списки для возможности создания правила вида "Запретить все флешки, кроме флешки с ID таким-то". Учитывая пункты 1 и 2, это позволит строить правила вида "В домашней сети разрешены все флешки, а в случае выноса ноутбука за пределы - флешками пользоваться неограниченно можно админам, и флешкой конкретно такой-то можно пользоваться главному бухгалтеру".
Также не помешало бы иметь возможность самому добавлять ID устройств в правила. Мало ли что конкретно понадобится запретить.
5. Контроль программ.
Хочется иметь возможности запрещать запуск программ по различным критериям (насколько я помню, не всё это реализовано в SEP, а потому я добавляю немного отсебятины):
- хэш исполняемого файла;
- имя исполняемого файла;
- папка расположения исполняемого файла;
- заголовок окна программы и т.д.
Причём не мешало бы предусмотреть и вывод соответствующего админского сообщения на экран. Во-первых, эта функция оказалась очень удобной в борьбе с нежелательным в компании ПО (скажем, пиратским переносным софтом - лично я так избавлялся от пиратского The Bat Portable). Во-вторых, это позволяет построить правило вида "Запрети запуск всего из %temp%, %recycled%" - польза очевидна.
6. Контроль системных объектов.
Уверен, найдётся изрядное количество системных администраторов, которые продадут душу за функционал уровня "Запретить редактирование такого-то пункта реестра" или "Запретить удаление такого-то файла". Конечно же, многое из этого можно решить групповыми политиками Windows 2008/Vista+... но глобальный переход на 2008/Vista+ ещё нескор, а решать эту задачу скриптами довольно неудобно. А кое-что сделать политиками всё равно будет невозможно. К примеру, SEP уже сейчас позволяет написать правило вида "Пользователю ХХХ запрещено создавать папки и файлы на рабочем столе, за исключением ярлыков". Для чего такое правило может понадобиться? Да для принуждения хранения документов, скажем, в промапленной на файл-сервер папке "Мои документы", в то же время без ограничения удобства - многим ярлычки на рабочий стол нужны и удобны.
7. Возможность не проверять файлы в общих папках компьютеров, на которых работает антивирус с такой же или более старшей версией антивирусных баз. Это, с одной стороны, ускоряет работу с сетью, а с другой, страхует компьютер от заражения в случае краха удалённого антивируса (как это было бы в случае безусловного исключения из проверки всей шары).
8. Возможность ручного создания сигнатур в фаерволле на основе данных сниффера трафика. Это позволит быстро зарезать трафик какого-либо атакующего червяка, не дожидаясь сигнатур из вирлаба.
9. Собственный транспорт отправки файлов в вирлаб, к примеру, через управляющий сервер. Отправка через почтовый клиент неудобна по массе причин: от сканеров трафика до неумения и нежелания пользователей производить дополнительные действия. Ну и пункт 3 без пункта 9 до конца невозможен.
Собственно, вот такие предложения. Спасибо за внимание.
+1
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.