PROGRAMMES DE SURVEILLANCE (MONITEURS ANTIVIRUS)

virus infection complexe informatique

Programmes résidents. L'essence de cette méthode est que la RAM contient un virus persistant à un stade précoce. Inconvénients : il existe des solutions de contournement et la plupart des faux positifs, comme l'écriture directe sur les ports de fonctionnement du disque.

INTÉGRATION D'ANTI-VIRUS DANS LE BIOS DE VOTRE ORDINATEUR

Les outils de protection antivirus les plus simples sont également intégrés aux cartes mères des ordinateurs. Ces outils vous permettent de surveiller tous les accès au master boot record des disques durs, ainsi qu'aux secteurs de démarrage des disques et disquettes. Si un programme tente de modifier le contenu des secteurs de démarrage, la protection est déclenchée et l'utilisateur reçoit un module antivirus qui surveille les actions suspectes dans le système effectuées par d'autres programmes. Ces programmes interceptent les situations virales dangereuses et signalent leur apparition. Des situations telles qu'un appel à l'ouverture, une écriture sur le secteur de démarrage d'un disque, une tentative d'un programme de rester résident en mémoire.

Les avantages incluent la possibilité de bloquer et de détecter l'avertissement correspondant.

Systèmes logiciels antivirus. En règle générale, un complexe moderne comprend un moniteur, un scanner, un auditeur et un planificateur. Le planificateur est utilisé pour coordonner le travail.

4.3 Moniteurs

Les moniteurs antivirus sont des programmes résidents qui interceptent les situations à risque de virus et en informent l'utilisateur. Les virus dangereux incluent les appels à l'ouverture pour l'écriture sur des fichiers exécutables, l'écriture sur les secteurs de démarrage des disques ou le MBR d'un disque dur, les tentatives des programmes pour rester résidents, c'est-à-dire défis typiques des virus lors de leur reproduction.

Les avantages des moniteurs incluent leur capacité à détecter et à bloquer le virus dès le stade le plus précoce de sa reproduction. Les inconvénients incluent l'existence de moyens de contourner la protection du moniteur et un grand nombre de faux positifs, ce qui, apparemment, a été la raison de l'abandon presque complet de ce type de programmes antivirus par les utilisateurs.

Il convient également de noter une telle direction des outils antivirus tels que les moniteurs antivirus, réalisés sous la forme de composants matériels informatiques. Cependant, comme pour les moniteurs de programmes, cette protection est facile à contourner. Aux inconvénients ci-dessus s'ajoutent également des problèmes de compatibilité avec les configurations informatiques standards et des difficultés d'installation et de configuration. Tout cela rend les moniteurs matériels extrêmement impopulaires par rapport aux autres types de protection antivirus.

4.4 Immunisateurs

Les vaccinateurs sont divisés en deux types : les vaccinateurs qui signalent l'infection et les vaccinateurs qui bloquent l'infection.

Les premiers sont généralement écrits à la fin des fichiers et chaque fois que le fichier est lancé, ils vérifient les modifications. De tels vaccinateurs n’ont qu’un seul inconvénient, mais il est mortel : l’impossibilité absolue de signaler une infection par un virus « furtif ». Par conséquent, de tels immunisants, comme les moniteurs, ne sont pratiquement pas utilisés à l'heure actuelle.

Le deuxième type de vaccination protège le système contre l’infection par un type spécifique de virus. Les fichiers présents sur les disques sont modifiés de telle manière que le virus les perçoit comme déjà infectés.

Pour se protéger contre un virus résident, un programme qui simule une copie du virus est inséré dans la mémoire de l'ordinateur ; une fois lancé, le virus le rencontre et croit que le système est déjà infecté.

Ce type d'immunisation ne peut pas être universel, puisqu'il est impossible d'immuniser les fichiers contre tous les virus connus. Cependant, malgré cela, ces immunisants, à titre de demi-mesure, peuvent protéger de manière assez fiable un ordinateur contre un nouveau virus inconnu jusqu'au moment où il est détecté par les scanners antivirus.

Analyse du système d'information de l'entreprise OJSC "Uraltransnefteprodukt"

Les moniteurs de vidéosurveillance sont conçus pour afficher des informations directement issues de caméras vidéo ou d'appareils de traitement vidéo, tels que des enregistreurs vidéo, des quadrateurs, des multiplexeurs, des grilles de commutation...

Architecture et principales caractéristiques d'un ordinateur personnel

Un moniteur est un appareil permettant d'afficher visuellement des données. La plupart des ordinateurs modernes utilisent des moniteurs à tube cathodique (CRT). Le principe de leur fonctionnement est que le faisceau d'électrons formé par le canon à électrons...

Virus et antivirus

Les moniteurs antivirus sont des programmes résidents qui interceptent les situations à risque de virus et en informent l'utilisateur. Les appels dangereux pour les virus incluent les appels à ouvrir pour écrire dans des fichiers exécutables...

Configuration d'un ordinateur personnel

Les ordinateurs personnels sont équipés d'écrans raster et certaines stations graphiques disposent d'écrans vectoriels plus coûteux. Dans un affichage raster, l'image est formée par un faisceau d'électrons...

Moniteurs : objectif, classification

Il semblerait, que peut-on ajouter d'autre aux services de gestion de moniteur répertoriés dans la « classe affaires » ? Mais il s’avère qu’il n’y a pas de limite à la perfection. Le niveau professionnel nécessite un affichage de la plus haute qualité. Donc...

Assurer la sécurité informatique

Lors de l'exploitation d'un logiciel, un programme qui prend des décisions doit être responsable de l'initialisation des objets, des sujets et des processus de transfert d'informations...

Système d'exploitation Windows

Il existe également toute une classe de programmes antivirus qui résident en permanence dans la mémoire de l'ordinateur et surveillent toutes les actions suspectes effectuées par d'autres programmes...

Paramètres et caractéristiques du moniteur

Les écrans des moniteurs LCD sont constitués d'une substance (cyanophényle) qui est à l'état liquide, mais qui possède en même temps certaines propriétés inhérentes aux solides cristallins. En fait, ce sont des liquides...

Périphériques PC

Synchronisation de l'accès aux ressources partagées dans les systèmes et réseaux de mémoire partagée multiprocesseurs

Un moniteur est un mécanisme de concurrence de haut niveau qui contient de nombreuses variables d'état, des files d'attente et de nombreuses procédures nécessaires pour mettre en œuvre une allocation dynamique et un accès aux ressources partagées...

Les paramètres du moniteur sont déterminés par les caractéristiques du tube cathodique (CRT) et la qualité des éléments qui contrôlent le chemin vidéo. D’ailleurs, la principale part de responsabilité incombe ici au CRT…

Équipement informatique multimédia moderne

La technologie des cristaux liquides est aujourd’hui l’une des plus prometteuses. Et depuis de nombreuses années maintenant, les fabricants de moniteurs tentent de lancer des appareils basés sur celui-ci sur le marché des moniteurs de bureau. En 1997, l'affaire...

Technologies de réplication de données

Une transaction s'entend comme une séquence indivisible d'opérations de manipulation de données (lecture, suppression, insertion, modification) du point de vue de l'impact sur la base de données, telle que soit les résultats de toutes les opérations incluses dans la transaction...

Appareil informatique personnel

Le moniteur est un périphérique de sortie d'informations nécessaire. Un moniteur (ou écran) vous permet d'afficher des informations alphanumériques ou graphiques sur l'écran sous une forme facile à lire et à contrôler pour l'utilisateur. Selon ce...

Moniteurs antivirus

Il existe également toute une classe de programmes antivirus qui résident en permanence dans la mémoire de l’ordinateur et surveillent toutes les actions suspectes effectuées par d’autres programmes. De tels programmes sont appelés moniteurs antivirus ou gardiens.

Le moniteur vérifie automatiquement tous les programmes lancés, les documents créés, ouverts et enregistrés, les fichiers de programmes et de documents reçus via Internet ou copiés sur le disque dur à partir d'une disquette ou d'un CD. Le moniteur antivirus avertira l'utilisateur si un programme tente d'effectuer une action potentiellement dangereuse.

Le kit de l'un des scanners Doctor Web les plus avancés développés par Igor Danilov (http: // www. drweb. ru) comprend un garde Spider Guard, qui remplit les fonctions d'un moniteur antivirus.

Détection des changements

Lorsqu'un virus infecte un ordinateur, il modifie le contenu du disque dur, par exemple, il ajoute son code à un programme ou à un fichier de document, ou ajoute un appel au programme antivirus au fichier AUTOEXEC. BAT, modifie le secteur de démarrage, crée un fichier satellite. De tels changements, cependant, ne sont pas effectués par des virus « incorporels » qui ne vivent pas sur le disque, mais dans la mémoire des processus du système d'exploitation.

Les programmes antivirus, appelés auditeurs de disque, ne recherchent pas les virus par signature. Ils mémorisent d'abord les caractéristiques de toutes les zones du disque attaquées par le virus, puis les vérifient périodiquement (d'où le nom du programme d'audit). L'examinateur peut trouver des modifications apportées par un virus connu ou inconnu.

Des exemples d'inspecteurs de disque incluent le programme Advanced Diskinfoscope (ADinf) développé chez DialogNauka CJSC (http: // www. dials. ru, http: // www. adinf. ru) et l'auditeur AVP Inspector produit par Kaspersky Lab CJSC "(http ://www.kaspersky.ru).

Avec ADinf, le module de guérison ADinf Cure Module (ADinfExt) est utilisé, qui utilise les informations précédemment collectées sur les fichiers pour les restaurer après une infection par des virus inconnus. AVP Inspector comprend également un module de guérison qui peut supprimer les virus.

Protection intégrée au BIOS de l'ordinateur

Les outils de protection antivirus les plus simples sont également intégrés aux cartes mères des ordinateurs. Ces outils vous permettent de surveiller tous les accès au master boot record des disques durs, ainsi qu'aux secteurs de démarrage des disques et disquettes. Si un programme tente de modifier le contenu des secteurs de démarrage, la protection est déclenchée et l'utilisateur reçoit un avertissement correspondant.

Toutefois, cette protection n’est pas très fiable. Il existe des virus (par exemple, Tchechen. 1912 et 1914) qui tentent de désactiver le contrôle antivirus du BIOS en modifiant certaines cellules de la mémoire non volatile (mémoire CMOS) de l'ordinateur.

La protection antivirus est la mesure la plus courante pour assurer la sécurité des informations de l'infrastructure informatique dans le secteur des entreprises. Cependant, selon une étude menée par Kaspersky Lab en collaboration avec la société d'analyse B2B International (automne 2013), seules 74 % des entreprises russes utilisent des solutions antivirus pour se protéger.

Le rapport indique également que dans le contexte de la croissance explosive des cybermenaces, contre lesquelles les entreprises sont protégées par de simples antivirus, les entreprises russes commencent à utiliser de plus en plus d'outils de protection complexes. C'est en grande partie pour cette raison que l'utilisation d'outils de chiffrement de données sur supports amovibles a augmenté de 7 % (24 %). En outre, les entreprises sont de plus en plus disposées à différencier leurs politiques de sécurité pour les périphériques amovibles. La différenciation du niveau d'accès aux différentes sections de l'infrastructure informatique a également augmenté (49 %). Dans le même temps, les petites et moyennes entreprises accordent davantage d'attention au contrôle des périphériques amovibles (35 %) et au contrôle des applications (31 %).

Les chercheurs ont également constaté que malgré la découverte constante de nouvelles vulnérabilités logicielles, les entreprises russes ne prêtent toujours pas suffisamment attention aux mises à jour régulières de leurs logiciels. De plus, le nombre d'organisations impliquées dans l'application de correctifs a diminué par rapport à l'année dernière, à seulement 59 %.

Les programmes antivirus modernes peuvent détecter efficacement les objets malveillants dans les fichiers de programme et les documents. Dans certains cas, un antivirus peut supprimer le corps d'un objet malveillant d'un fichier infecté, restaurant ainsi le fichier lui-même. Dans la plupart des cas, un antivirus est capable de supprimer un objet logiciel malveillant non seulement d'un fichier programme, mais également d'un fichier de document bureautique, sans violer son intégrité. L'utilisation de programmes antivirus ne nécessite pas de qualifications élevées et est accessible à presque tous les utilisateurs d'ordinateurs.

La plupart des programmes antivirus combinent une protection en temps réel (moniteur antivirus) et une protection à la demande (analyseur antivirus).

Évaluation antivirus

2019 : deux tiers des antivirus pour Android se sont révélés inutiles

En mars 2019, le laboratoire autrichien AV-Comparatives, spécialisé dans les tests de logiciels antivirus, a publié les résultats d'une étude démontrant l'inutilité de la plupart de ces programmes pour Android.

Seuls 23 antivirus présents dans le catalogue officiel du Google Play Store identifient avec précision les malwares dans 100 % des cas. Le reste du logiciel soit ne répond pas aux menaces mobiles, soit prend pour elles des applications absolument sûres.

Les experts ont étudié 250 antivirus et ont rapporté que seuls 80 % d’entre eux sont capables de détecter plus de 30 % des logiciels malveillants. Ainsi, 170 candidatures ont échoué au test. Les produits qui ont réussi le test comprenaient principalement des solutions de grands fabricants, notamment Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro et Trustwave.

Dans le cadre de l'expérience, les chercheurs ont installé chaque application antivirus sur un appareil distinct (sans émulateur) et automatisé les appareils pour lancer le navigateur, télécharger puis installer les logiciels malveillants. Chaque appareil a été testé contre 2 000 virus Android les plus courants en 2018.

Selon les calculs d'AV-Comparatives, la plupart des solutions antivirus Android sont fausses. Des dizaines d'applications ont une interface presque identique et leurs créateurs sont clairement plus intéressés par l'affichage de publicités que par l'écriture d'un scanner antivirus fonctionnel.

Certains antivirus « voient » une menace dans toute application qui ne figure pas dans leur « liste blanche ». C'est pour cette raison qu'ils ont, dans un certain nombre de cas très anecdotiques, tiré la sonnette d'alarme sur leurs propres fichiers, puisque les développeurs ont oublié de les mentionner dans la « liste blanche ».

2017 : Microsoft Security Essentials est reconnu comme l'un des pires antivirus

En octobre 2017, le laboratoire antivirus allemand AV-Test a publié les résultats de tests antivirus complets. Selon l'étude, les logiciels propriétaires de Microsoft, conçus pour protéger contre les activités malveillantes, sont presque les pires pour faire leur travail.

Sur la base des résultats des tests effectués en juillet-août 2017, les experts d'AV-Test ont désigné Kaspersky Internet Security comme le meilleur antivirus pour Windows 7, qui a reçu 18 points lors de l'évaluation du niveau de protection, des performances et de la facilité d'utilisation.

Les trois premiers incluent Trend Micro Internet Security et Bitdefender Internet Security, qui ont obtenu 17,5 points chacun. Vous pouvez en savoir plus sur l'état des produits d'autres sociétés antivirus incluses dans l'étude à partir des illustrations ci-dessous :

De nombreux scanners utilisent également des algorithmes d'analyse heuristiques, c'est-à-dire analyser la séquence de commandes dans l'objet vérifié, collecter des statistiques et prendre une décision pour chaque objet vérifié.

Les scanners peuvent également être divisés en deux catégories : universels et spécialisés. Les scanners universels sont conçus pour détecter et neutraliser tous les types de virus, quel que soit le système d'exploitation dans lequel le scanner est conçu pour fonctionner. Les scanners spécialisés sont conçus pour neutraliser un nombre limité de virus ou une seule classe de virus, par exemple les virus de macro.

Les scanners sont également divisés en résidents (moniteurs), qui analysent à la volée, et en non-résidents, qui analysent le système uniquement sur demande. En règle générale, les scanners résidents offrent une protection du système plus fiable car ils réagissent immédiatement à l'apparition d'un virus, tandis qu'un scanner non résident n'est capable d'identifier un virus que lors de son prochain lancement.

Scanners CRC

Le principe de fonctionnement des scanners CRC est basé sur le calcul des sommes CRC (sommes de contrôle) pour les fichiers/secteurs système présents sur le disque. Ces sommes de CRC sont ensuite stockées dans la base de données antivirus, ainsi que quelques autres informations : longueurs des fichiers, dates de leur dernière modification, etc. Lorsqu'ils sont ensuite lancés, les scanners CRC comparent les données contenues dans la base de données avec les valeurs réellement calculées. Si les informations du fichier enregistrées dans la base de données ne correspondent pas aux valeurs réelles, les scanners CRC signalent que le fichier a été modifié ou infecté par un virus.

Les scanners CRC ne sont pas capables de détecter un virus au moment où il apparaît dans le système, mais ne le font que quelque temps plus tard, une fois que le virus s'est propagé dans tout l'ordinateur. Les scanners CRC ne peuvent pas détecter un virus dans les nouveaux fichiers (dans les courriers électroniques, sur les disquettes, dans les fichiers restaurés à partir d'une sauvegarde ou lors de la décompression de fichiers d'une archive), car leurs bases de données ne contiennent pas d'informations sur ces fichiers. De plus, des virus apparaissent périodiquement qui exploitent cette faiblesse des scanners CRC, infectant uniquement les fichiers nouvellement créés et leur restant ainsi invisibles.

Bloqueurs

Les bloqueurs antivirus sont des programmes résidents qui interceptent les situations virales dangereuses et en informent l'utilisateur. Les virus dangereux incluent les appels à l'ouverture pour écrire sur des fichiers exécutables, l'écriture sur les secteurs de démarrage des disques ou le MBR d'un disque dur, les tentatives des programmes pour rester résidents, etc., c'est-à-dire les appels typiques des virus lors de la reproduction.

Les avantages des bloqueurs incluent leur capacité à détecter et à arrêter un virus dès le stade le plus précoce de sa reproduction. Les inconvénients incluent l'existence de moyens de contourner la protection du bloqueur et un grand nombre de faux positifs.

Immunisants

Les vaccinateurs sont divisés en deux types : les vaccinateurs qui signalent l'infection et les vaccinateurs qui bloquent l'infection. Les premiers sont généralement écrits à la fin des fichiers (sur la base du principe d'un virus de fichier) et à chaque lancement du fichier, ils vérifient les modifications. De tels vaccinateurs n’ont qu’un seul inconvénient, mais il est mortel : l’impossibilité absolue de signaler une infection par un virus furtif. Par conséquent, de tels immunisants, comme les bloqueurs, ne sont pratiquement pas utilisés à l'heure actuelle.

Le deuxième type de vaccination protège le système contre l’infection par un type spécifique de virus. Les fichiers présents sur les disques sont modifiés de telle manière que le virus les perçoit comme déjà infectés. Pour se protéger contre un virus résident, un programme qui simule une copie du virus est entré dans la mémoire de l'ordinateur. Une fois lancé, le virus le rencontre et pense que le système est déjà infecté.

Ce type d'immunisation ne peut pas être universel, puisqu'il est impossible d'immuniser les fichiers contre tous les virus connus.

Classification des antivirus basée sur la variabilité dans le temps

Selon Valery Konyavsky, les outils antivirus peuvent être divisés en deux grands groupes : ceux qui analysent les données et ceux qui analysent les processus.

L'analyse des données

L'analyse des données inclut les auditeurs et les polyphages. Les auditeurs analysent les conséquences des virus informatiques et autres programmes malveillants. Les conséquences entraînent des modifications des données qui ne devraient pas être modifiées. Du point de vue de l’auditeur, c’est le fait que les données aient changé qui est un signe d’activité malveillante. En d'autres termes, les auditeurs surveillent l'intégrité des données et, sur la base du fait d'une violation de l'intégrité, prennent une décision concernant la présence de programmes malveillants dans l'environnement informatique.

Les polyphages agissent différemment. Sur la base de l'analyse des données, ils identifient des fragments de code malveillant (par exemple, par sa signature) et sur cette base tirent une conclusion sur la présence de programmes malveillants. La suppression ou le traitement des données infectées par un virus vous permet d'éviter les conséquences négatives de l'exécution de programmes malveillants. Ainsi, sur la base de l'analyse statique, les conséquences qui surviennent en dynamique sont évitées.

Le schéma de travail des auditeurs et des polyphages est presque le même : comparer les données (ou leur somme de contrôle) avec un ou plusieurs échantillons de référence. Les données sont comparées aux données. Ainsi, pour détecter un virus dans votre ordinateur, il faut qu'il ait déjà fonctionné pour que les conséquences de son activité apparaissent. Cette méthode ne permet de détecter que les virus connus pour lesquels des fragments de code ou des signatures ont été décrits au préalable. Une telle protection peut difficilement être qualifiée de fiable.

L'analyse des processus

Les outils antivirus basés sur l'analyse des processus fonctionnent quelque peu différemment. Les analyseurs heuristiques, comme ceux décrits ci-dessus, analysent des données (sur disque, dans un canal, en mémoire, etc.). La différence fondamentale est que l'analyse est effectuée en supposant que le code analysé n'est pas des données, mais des commandes (dans les ordinateurs avec une architecture von Neumann, les données et les commandes sont indiscernables, et donc lors de l'analyse, il est nécessaire de faire l'un ou l'autre hypothèse.)

L'analyseur heuristique identifie une séquence d'opérations, attribue à chacune d'elles un certain indice de danger et, sur la base de l'ensemble du danger, décide si cette séquence d'opérations fait partie d'un code malveillant. Le code lui-même n'est pas exécuté.

Un autre type d’outils antivirus basés sur l’analyse des processus sont les bloqueurs comportementaux. Dans ce cas, le code suspect est exécuté étape par étape jusqu'à ce que l'ensemble des actions initiées par le code soit évalué comme un comportement dangereux (ou sûr). Dans ce cas, le code est partiellement exécuté, puisque la complétion du code malveillant peut être détectée par des méthodes d'analyse de données plus simples.

Technologies de détection de virus

Les technologies utilisées dans les antivirus peuvent être divisées en deux groupes :

• Technologies d'analyse de signatures
• Technologies d'analyse probabiliste

Technologies d'analyse de signatures

L'analyse des signatures est une méthode de détection des virus qui consiste à vérifier la présence de signatures de virus dans les fichiers. L'analyse des signatures est la méthode de détection de virus la plus connue et est utilisée dans presque tous les antivirus modernes. Pour effectuer une analyse, l'antivirus nécessite un ensemble de signatures de virus, qui sont stockées dans la base de données antivirus.

Étant donné que l'analyse des signatures implique la vérification des fichiers pour détecter la présence de signatures de virus, la base de données antivirus doit être périodiquement mise à jour pour maintenir l'antivirus à jour. Le principe même de fonctionnement de l'analyse de signature détermine également les limites de sa fonctionnalité - la capacité de détecter uniquement les virus déjà connus - un scanner de signature est impuissant face aux nouveaux virus.

En revanche, la présence de signatures de virus suggère la possibilité de traiter les fichiers infectés détectés grâce à l'analyse des signatures. Cependant, le traitement n'est pas possible pour tous les virus : les chevaux de Troie et la plupart des vers ne peuvent pas être traités en raison de leurs caractéristiques de conception, car ce sont des modules solides créés pour causer des dommages.

La mise en œuvre correcte d'une signature virale vous permet de détecter les virus connus avec une probabilité de cent pour cent.

Technologies d'analyse probabiliste

Les technologies d’analyse probabiliste, quant à elles, sont divisées en trois catégories :

• Analyse heuristique
• Analyse comportementale
• Analyse de la somme de contrôle

Analyse heuristique

L'analyse heuristique est une technologie basée sur des algorithmes probabilistes dont le résultat est l'identification d'objets suspects. Au cours du processus d'analyse heuristique, la structure du fichier et sa conformité avec les modèles de virus sont vérifiées. La technologie heuristique la plus populaire consiste à vérifier le contenu d'un fichier pour détecter les modifications des signatures de virus déjà connues et leurs combinaisons. Cela permet de détecter les hybrides et les nouvelles versions de virus précédemment connus sans mise à jour supplémentaire de la base de données antivirus.

L’analyse heuristique est utilisée pour détecter des virus inconnus et, par conséquent, n’implique aucun traitement. Cette technologie n’est pas capable à 100 % de déterminer si un virus se trouve devant elle ou non, et comme tout algorithme probabiliste elle souffre de faux positifs.

Analyse comportementale

L'analyse comportementale est une technologie dans laquelle une décision concernant la nature de l'objet testé est prise sur la base d'une analyse des opérations qu'il effectue. L'analyse comportementale est très étroitement applicable dans la pratique, puisque la plupart des actions caractéristiques des virus peuvent être réalisées par des applications ordinaires. Les plus connus sont les analyseurs comportementaux de scripts et de macros, car les virus correspondants effectuent presque toujours un certain nombre d'actions similaires.

Les mesures de sécurité intégrées au BIOS peuvent également être classées comme analyseurs comportementaux. Lorsque vous essayez d'apporter des modifications au MBR de l'ordinateur, l'analyseur bloque l'action et affiche une notification correspondante à l'utilisateur.

De plus, les analyseurs comportementaux peuvent surveiller les tentatives d'accès direct aux fichiers, les modifications apportées à l'enregistrement de démarrage des disquettes, le formatage des disques durs, etc.

Les analyseurs comportementaux n'utilisent pas d'objets supplémentaires similaires aux bases de données virales pour leur travail et, par conséquent, sont incapables de faire la distinction entre les virus connus et inconnus - tous les programmes suspects sont a priori considérés comme des virus inconnus. De même, les fonctionnalités de fonctionnement des outils mettant en œuvre des technologies d’analyse comportementale n’impliquent pas de traitement.

Analyse de la somme de contrôle

L'analyse de la somme de contrôle est un moyen de suivre les modifications apportées aux objets du système informatique. Sur la base de l'analyse de la nature des changements - simultanéité, occurrence massive, changements identiques dans la longueur des fichiers - nous pouvons conclure que le système est infecté. Les analyseurs de somme de contrôle (également appelés auditeurs de changement), comme les analyseurs de comportement, n'utilisent pas d'objets supplémentaires dans leur travail et rendent un verdict sur la présence d'un virus dans le système exclusivement par la méthode d'expertise. Des technologies similaires sont utilisées dans les analyseurs à l'accès : lors de la première analyse, une somme de contrôle est supprimée d'un fichier et placée dans le cache ; avant l'analyse suivante du même fichier, la somme de contrôle est à nouveau supprimée, comparée et s'il n'y a pas d'analyse. modifications, le fichier est considéré comme non infecté.

Complexes antivirus

Complexe antivirus - un ensemble d'antivirus utilisant le ou les mêmes noyaux antivirus, conçus pour résoudre des problèmes pratiques visant à assurer la sécurité antivirus des systèmes informatiques. Le complexe antivirus comprend également nécessairement des outils de mise à jour des bases de données antivirus.

De plus, le complexe antivirus peut également inclure des analyseurs comportementaux et des auditeurs de changement qui n'utilisent pas le noyau antivirus.

On distingue les types de complexes antivirus suivants :

• Complexe antivirus pour la protection des postes de travail
• Complexe antivirus pour protéger les serveurs de fichiers
• Complexe antivirus pour la protection des systèmes de messagerie
• Complexe antivirus pour la protection des passerelles.

Antivirus cloud et antivirus de bureau traditionnel : que choisir ?

(Basé sur des documents de Webroot.com)

Le marché moderne des produits antivirus se compose principalement de solutions traditionnelles pour les systèmes de bureau, dont les mécanismes de protection sont construits sur la base de méthodes de signature. Une méthode alternative de protection antivirus consiste à utiliser l’analyse heuristique.

Problèmes avec les logiciels antivirus traditionnels

Récemment, les technologies antivirus traditionnelles sont devenues de moins en moins efficaces et deviennent rapidement obsolètes, en raison de plusieurs facteurs. Le nombre de menaces virales reconnues par les signatures est déjà si important qu'assurer en temps opportun une mise à jour à 100 % des bases de données de signatures sur les ordinateurs des utilisateurs est souvent une tâche irréaliste. Les pirates informatiques et les cybercriminels utilisent de plus en plus les botnets et autres technologies qui accélèrent la propagation des menaces virales Zero Day. De plus, lors d’attaques ciblées, les signatures des virus correspondants ne sont pas créées. Enfin, de nouvelles technologies pour contrer la détection antivirus sont utilisées : chiffrement des malwares, création de virus polymorphes côté serveur, tests préalables de la qualité d'une attaque virale.

La protection antivirus traditionnelle est le plus souvent construite dans une architecture « client lourd ». Cela signifie qu'une grande quantité de code logiciel est installée sur l'ordinateur du client. Avec son aide, les données entrantes sont analysées et la présence de menaces virales est détectée.

Cette approche présente un certain nombre d'inconvénients. Premièrement, la recherche de logiciels malveillants et la comparaison des signatures nécessitent une charge de calcul importante, qui enlève de l'importance à l'utilisateur. En conséquence, la productivité de l'ordinateur diminue et le fonctionnement de l'antivirus interfère parfois avec les tâches applicatives parallèles. Parfois, la charge sur le système de l'utilisateur est si perceptible que les utilisateurs désactivent les programmes antivirus, supprimant ainsi l'obstacle à une éventuelle attaque de virus.

Deuxièmement, chaque mise à jour sur la machine de l'utilisateur nécessite l'envoi de milliers de nouvelles signatures. La quantité de données transférées est généralement d'environ 5 Mo par jour et par machine. Le transfert de données ralentit le réseau, consomme des ressources système supplémentaires et nécessite l'implication des administrateurs système pour contrôler le trafic.

Troisièmement, les utilisateurs itinérants ou situés à distance d’un lieu de travail fixe sont sans défense contre les attaques zero-day. Pour recevoir une partie mise à jour des signatures, ils doivent se connecter à un réseau VPN qui leur est inaccessible à distance.

Protection antivirus depuis le cloud

Lors du passage à la protection antivirus depuis le cloud, l'architecture de la solution change considérablement. Un client « léger » est installé sur l'ordinateur de l'utilisateur, dont la fonction principale est de rechercher de nouveaux fichiers, de calculer les valeurs de hachage et d'envoyer des données au serveur cloud. Dans le cloud, une comparaison à grande échelle est réalisée, réalisée sur une large base de données de signatures collectées. Cette base de données est mise à jour en permanence et en temps opportun à l'aide des données transmises par les sociétés antivirus. Le client reçoit un rapport avec les résultats de l'inspection.

Ainsi, l'architecture cloud de la protection antivirus présente de nombreux avantages :

• la quantité de calculs sur l'ordinateur de l'utilisateur s'avère négligeable par rapport à un client lourd, donc la productivité de l'utilisateur ne diminue pas ;
• il n'y a pas d'impact catastrophique du trafic antivirus sur le débit du réseau : une donnée compacte ne contenant que quelques dizaines de valeurs de hachage doit être transférée, le volume moyen de trafic quotidien ne dépasse pas 120 Ko ;
• le stockage dans le cloud contient d'énormes tableaux de signatures, bien plus volumineux que ceux stockés sur les ordinateurs des utilisateurs ;
• les algorithmes de comparaison de signatures utilisés dans le cloud sont nettement plus intelligents que les modèles simplifiés utilisés au niveau des stations locales, et en raison de performances plus élevées, la comparaison des données nécessite moins de temps ;
• les services antivirus cloud fonctionnent avec des données réelles reçues des laboratoires antivirus, des développeurs de sécurité, des utilisateurs professionnels et privés ; Les menaces Zero Day sont bloquées simultanément à leur reconnaissance, sans le délai causé par la nécessité d'accéder aux ordinateurs des utilisateurs ;
• les utilisateurs itinérants ou sans accès à leur poste de travail principal bénéficient d'une protection contre les attaques zero-day simultanément avec l'accès à Internet ;
• La charge de travail des administrateurs système est réduite : ils n'ont pas besoin de passer du temps à installer un logiciel antivirus sur les ordinateurs des utilisateurs, ni à mettre à jour les bases de données de signatures.

Pourquoi les antivirus traditionnels échouent

Les codes malveillants modernes peuvent :

• Contournez les pièges antivirus en créant un virus cible spécial pour l'entreprise
• Avant que l'antivirus ne crée une signature, il l'éludera en utilisant le polymorphisme, le transcodage, l'utilisation de DNS et d'URL dynamiques.

• Création ciblée pour une entreprise
• Polymorphisme
• Code encore inconnu de tous - pas de signature

Difficile de défendre

Antivirus rapides de 2011

Le centre d'information et d'analyse indépendant russe Anti-Malware.ru a publié en mai 2011 les résultats d'un autre test comparatif des 20 antivirus les plus populaires sur les performances et la consommation des ressources système.

Le but de ce test est de montrer quels antivirus personnels ont le moins d’impact sur les opérations typiques de l’utilisateur sur un ordinateur, ralentissent moins son fonctionnement et consomment le minimum de ressources système.

Parmi les moniteurs antivirus (scanners en temps réel), tout un groupe de produits ont démontré une vitesse de fonctionnement très élevée, notamment : Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro et Dr.Web. Avec ces antivirus intégrés, le ralentissement de la copie de la collection de tests était inférieur à 20 % par rapport au standard. Les moniteurs antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton et Emsisoft ont également montré des résultats élevés, compris entre 30 et 50 %. Les moniteurs antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton et Emsisoft ont également montré des résultats élevés, compris entre 30 et 50 %.

Dans le même temps, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost et PC Tools en conditions réelles peuvent être beaucoup plus rapides grâce à l'optimisation des contrôles ultérieurs.

L'antivirus Avira a montré la meilleure vitesse d'analyse à la demande. Il était légèrement inférieur à Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus et Outpost. En termes de vitesse de première analyse, ces antivirus ne sont que légèrement inférieurs au leader, en même temps, ils ont tous dans leur arsenal des technologies puissantes pour optimiser les analyses répétées.

Une autre caractéristique importante de la vitesse d'un antivirus est son impact sur le fonctionnement des programmes d'application avec lesquels l'utilisateur travaille souvent. Cinq ont été sélectionnés pour le test : Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader et Adobe Photoshop. Les antivirus Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost et G Data ont montré le moins de ralentissement dans le lancement de ces programmes bureautiques.

Alexandre Frolov, Grigori Frolov

alexandre @frolov.pp.ru ; http://www.frolov.pp.ru, http://www.datarecovery.ru

Dans l’article précédent sur la protection antivirus, nous avons examiné les principaux types de virus et leur mode de propagation. Maintenant, sur la base de ces connaissances, nous aborderons la protection contre les virus, chevaux de Troie et autres programmes malveillants. Nous parlerons des solutions et mesures logicielles, matérielles, administratives et technologiques nécessaires pour réduire le risque d'infection virale et réduire les dommages si une telle infection s'est déjà produite.

Méthodes logicielles et matérielles pour détecter les virus

Les programmes antivirus ont été et restent le principal moyen de lutter contre les virus. Vous pouvez utiliser des programmes antivirus (antivirus) sans avoir la moindre idée de leur fonctionnement. Cependant, sans comprendre les principes des logiciels antivirus, sans connaître les types de virus ainsi que leur mode de propagation, il est impossible d'organiser une protection informatique fiable. En conséquence, l'ordinateur peut être infecté même si un logiciel antivirus y est installé.

Aujourd’hui, plusieurs techniques fondamentales de détection et de protection contre les virus sont utilisées :

· numérisation ;

· analyse heuristique ;

· utilisation de moniteurs antivirus ;

· détection des changements ;

· utilisation d'antivirus intégrés au BIOS de l'ordinateur.

De plus, presque tous les programmes antivirus proposent une récupération automatique des programmes et des secteurs de démarrage infectés. Bien sûr, si possible.

Balayage

La méthode la plus simple de recherche de virus consiste pour le programme antivirus à analyser séquentiellement les fichiers analysés à la recherche de signatures de virus connus. Une signature est une séquence unique d'octets appartenant à un virus et introuvable dans d'autres programmes.

Les programmes d'analyse antivirus sont capables de trouver uniquement les virus déjà connus et étudiés pour lesquels une signature a été définie. L'utilisation de simples programmes d'analyse ne protège pas votre ordinateur de la pénétration de nouveaux virus.

Pour les virus chiffrants et polymorphes qui peuvent changer complètement leur code lorsqu'ils infectent un nouveau programme ou un nouveau secteur de démarrage, il est impossible d'identifier une signature. Par conséquent, les simples programmes d’analyse antivirus ne peuvent pas détecter les virus polymorphes.

Analyse heuristique

L'analyse heuristique vous permet de détecter des virus jusqu'alors inconnus, et pour cela, vous n'avez pas besoin de collecter au préalable des données sur le système de fichiers, comme l'exige, par exemple, la méthode de détection des modifications décrite ci-dessous.

Les programmes antivirus qui mettent en œuvre la méthode d'analyse heuristique analysent les programmes et les secteurs de démarrage des disques et des disquettes, en essayant d'y détecter le code caractéristique des virus. Un analyseur heuristique peut détecter, par exemple, que le programme testé installe un module résident en mémoire ou écrit des données dans le fichier exécutable du programme.

Presque tous les programmes antivirus modernes implémentent leurs propres méthodes d’analyse heuristique. En figue. 1, nous avons montré l'un de ces programmes - le scanner McAffee VirusScan, lancé manuellement pour analyser le disque à la recherche d'un antivirus.

Riz. 1. McAffee VirusScan vérifie le disque

Lorsqu'un antivirus détecte un fichier infecté, il affiche généralement un message sur l'écran du moniteur et crée une entrée dans son propre journal ou dans le journal système. Selon les paramètres, l'antivirus peut également envoyer un message concernant le virus détecté à l'administrateur réseau.

Si possible, l'antivirus désinfecte le fichier et restaure son contenu. Sinon, la seule option proposée est de supprimer le fichier infecté puis de le restaurer à partir d'une copie de sauvegarde (si, bien sûr, vous en avez une).

Moniteurs antivirus

Il existe également toute une classe de programmes antivirus qui résident en permanence dans la mémoire de l’ordinateur et surveillent toutes les actions suspectes effectuées par d’autres programmes. De tels programmes sont appelés moniteurs antivirus ou gardiens.

Le moniteur vérifie automatiquement tous les programmes lancés, les documents créés, ouverts et enregistrés, les fichiers de programmes et de documents reçus via Internet ou copiés sur le disque dur à partir d'une disquette ou d'un CD. Le moniteur antivirus avertira l'utilisateur si un programme tente d'effectuer une action potentiellement dangereuse.

Le kit de l'un des scanners Doctor Web les plus avancés (Fig. 2), développé par Igor Danilov (http://www.drweb.ru), comprend un garde Spider Guard, qui remplit les fonctions d'un moniteur antivirus.

Riz. 2. Scanner Docteur Web

Détection des changements

Lorsqu'un virus infecte un ordinateur, il modifie le contenu du disque dur, par exemple, il ajoute son code à un programme ou à un fichier de document, ajoute un appel au programme antivirus au fichier AUTOEXEC.BAT, modifie le secteur de démarrage et crée un fichier satellite. De tels changements, cependant, ne sont pas effectués par des virus « incorporels » qui ne vivent pas sur le disque, mais dans la mémoire des processus du système d'exploitation.

Les programmes antivirus, appelés auditeurs de disque, ne recherchent pas les virus par signature. Ils mémorisent d'abord les caractéristiques de toutes les zones du disque attaquées par le virus, puis les vérifient périodiquement (d'où le nom du programme d'audit). L'examinateur peut trouver des modifications apportées par un virus connu ou inconnu.

Des exemples d'inspecteurs de disque incluent le programme Advanced Diskinfoscope (ADinf) développé chez DialogNauka CJSC (http://www.dials.ru, http://www.adinf.ru) et l'auditeur AVP Inspector produit par Kaspersky Lab CJSC "(http ://www.kaspersky.ru).

Avec ADinf, le module de guérison ADinf Cure Module (ADinfExt) est utilisé, qui utilise les informations précédemment collectées sur les fichiers pour les restaurer après une infection par des virus inconnus. AVP Inspector comprend également un module de guérison qui peut supprimer les virus.

Protection intégrée au BIOS de l'ordinateur

Les outils de protection antivirus les plus simples sont également intégrés aux cartes mères des ordinateurs. Ces outils vous permettent de surveiller tous les accès au master boot record des disques durs, ainsi qu'aux secteurs de démarrage des disques et disquettes. Si un programme tente de modifier le contenu des secteurs de démarrage, la protection est déclenchée et l'utilisateur reçoit un avertissement correspondant.

Toutefois, cette protection n’est pas très fiable. Il existe des virus (par exemple, Tchechen.1912 et 1914) qui tentent de désactiver le contrôle antivirus du BIOS en modifiant certaines cellules de la mémoire non volatile (mémoire CMOS) de l'ordinateur.

Caractéristiques de la protection intranet d'entreprise

Un intranet d’entreprise peut être composé de centaines et de milliers d’ordinateurs faisant office de postes de travail et de serveurs. Ce réseau est généralement connecté à Internet et contient des serveurs de messagerie, des serveurs de systèmes d'automatisation de documents tels que Microsoft Exchange et Lotus Notes, ainsi que des systèmes d'information non standards.

Pour protéger de manière fiable un intranet d'entreprise, il est nécessaire d'installer un logiciel antivirus sur tous les postes de travail et serveurs. Dans ce cas, un logiciel antivirus spécial basé sur serveur doit être utilisé sur les serveurs de fichiers, les serveurs de messagerie et les serveurs du système de gestion de documents. Quant aux postes de travail, ils peuvent être protégés avec des scanners et moniteurs antivirus classiques.

Des serveurs proxy antivirus et des pare-feu spéciaux ont été développés pour analyser le trafic qui les traverse et en supprimer les composants logiciels malveillants. Ces antivirus sont souvent utilisés pour protéger les serveurs de messagerie et les serveurs du système de gestion de documents.

Protection du serveur de fichiers

Les serveurs de fichiers doivent être protégés à l'aide d'écrans antivirus capables d'analyser automatiquement tous les fichiers du serveur accessibles sur le réseau. Les antivirus conçus pour protéger les serveurs de fichiers sont produits par toutes les sociétés antivirus, vous avez donc un large choix.

Protection du serveur de messagerie

Les moniteurs antivirus sont inefficaces pour détecter les virus dans les messages électroniques. Cela nécessite des antivirus spéciaux capables de filtrer le trafic SMTP, POP3 et IMAP, empêchant ainsi les messages infectés d'atteindre les postes de travail des utilisateurs.

Pour protéger les serveurs de messagerie, vous pouvez acheter des antivirus spécialement conçus pour analyser le trafic de messagerie ou connecter des antivirus classiques pouvant fonctionner en mode ligne de commande à votre serveur de messagerie.

Le démon antivirus de Doctor Web peut être intégré à tous les serveurs et systèmes de messagerie les plus connus, tels que Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail et Zmailer. Des outils similaires sont fournis par Kaspersky Lab dans le cadre de Kaspersky Corporate Suite.

Le serveur de messagerie MERAK Mail Server permet la connexion d'antivirus externes de différents types dotés d'une interface de ligne de commande. Certains serveurs de messagerie (tels qu'EServ) sont dotés d'un antivirus intégré.

Vous pouvez également analyser en plus le trafic POP 3 sur les postes de travail des utilisateurs. Cela peut être fait, par exemple, par le serveur proxy antivirus SpIDer Mail pour le protocole POP 3, qui peut être acheté avec l'antivirus Doctor Web.

Protection des serveurs du système de gestion documentaire

Les serveurs du système de gestion de documents, tels que Microsoft Exchange et Lotus Notes, stockent les documents dans des bases de données de leur propre format. Par conséquent, l’utilisation de scanners de fichiers conventionnels pour l’analyse antivirus des documents ne donnera aucun résultat.

Il existe un certain nombre de programmes antivirus spécialement conçus pour la protection antivirus de ces systèmes. Il s'agit de Trend Micro ScanMail pour Lotus Notes, McAfee GroupScan et McAfee GroupShield, Norton Antivirus pour Lotus Notes, Kaspersky Business Optimal antivirus pour MS Exchange Server et quelques autres.

Ces programmes analysent les courriers électroniques et les pièces jointes, suppriment tous les logiciels malveillants en temps réel, détectent les virus de macro et les chevaux de Troie dans les formulaires et les macros, les fichiers de script et les objets OLE. La vérification est effectuée en temps réel et également à la demande.

Protection des systèmes d'information non standards

Pour la protection antivirus des systèmes d'information non standard qui stockent les données dans leurs propres formats, il est nécessaire soit d'intégrer un noyau antivirus dans le système, soit de connecter un scanner externe fonctionnant en mode ligne de commande.

Par exemple, le noyau de l'antivirus Doctor Web a été utilisé par FSUE NPO Mashinostroeniya pour protéger un système de gestion de documents créé sur la base de la technologie propre à Sapiens (http://www.npomit.ru). Toutes les informations stockées par ce système dans la base de données sont vérifiées par le moteur antivirus de Doctor Web.

En tant que développeur de systèmes d'information pour une utilisation responsable, NPO Mashinostroyenia a fourni une protection antivirus à ses développements tels que l'enregistrement et le contrôle de l'exécution des documents Sapiens, la surveillance Sapiens des ressources informatiques, l'archive électronique Sapiens de la documentation de conception.

Centre de contrôle antivirus réseau

Si l'intranet compte des centaines et des milliers d'ordinateurs, une gestion centralisée à distance des programmes antivirus et le contrôle de leur fonctionnement sont alors nécessaires. Effectuer des opérations en mode « manuel », telles que la surveillance des mises à jour de la base antivirus et du chargement des modules antivirus, la surveillance de l'efficacité de la détection des virus sur les postes de travail et les serveurs, etc., est inefficace s'il existe un grand nombre de utilisateurs sur le réseau ou si le réseau est constitué de segments géographiquement éloignés les uns des autres.

Si vous ne garantissez pas la mise en œuvre rapide et efficace des opérations ci-dessus, la technologie de protection antivirus du réseau d'entreprise sera certainement compromise, ce qui conduira tôt ou tard à une infection virale. Par exemple, les utilisateurs peuvent configurer de manière incorrecte les mises à jour automatiques de la base de données antivirus ou simplement éteindre leur ordinateur pendant que ces mises à jour sont en cours. En conséquence, la mise à jour automatique ne sera pas effectuée et il existera un risque potentiel d'infection par de nouveaux virus.

Les systèmes antivirus modernes mettent en œuvre les fonctions de gestion et de contrôle à distance suivantes :

· installation et mise à jour de programmes antivirus, ainsi que de bases de données antivirus ;

· installation et configuration centralisées à distance des antivirus ;

· détection automatique des nouveaux postes de travail connectés au réseau de l'entreprise, suivie de l'installation automatique de programmes antivirus sur ces postes ;

· planifier des tâches pour un lancement immédiat ou différé (telles que la mise à jour des programmes, de la base de données antivirus, l'analyse des fichiers, etc.) sur n'importe quel ordinateur du réseau ;

· affichage en temps réel du processus de fonctionnement de l'antivirus sur les postes de travail et les serveurs réseau.

Toutes les fonctions ci-dessus, ou bon nombre d'entre elles, sont implémentées dans les centres de contrôle réseau des principaux produits antivirus d'entreprise créés par Sophos (http://www.sophos.com), Symantec (http://www.symante с.ru) , Network Associates ( http://www.nai.com) et Kaspersky Lab.

Les centres de contrôle réseau vous permettent de gérer la protection antivirus de l'ensemble de votre réseau à partir d'un seul poste de travail d'administrateur système. Parallèlement, pour accélérer le processus d'installation des antivirus sur les réseaux distants connectés au réseau principal via des canaux de communication lents, ces réseaux créent leurs propres répertoires de distribution locaux.

Lors de l'utilisation d'une architecture client-serveur, la base du centre de contrôle du réseau est un serveur antivirus installé sur l'un des serveurs du réseau d'entreprise. Il interagit avec, d'une part, les programmes agents installés avec les programmes antivirus sur les postes de travail du réseau, et d'autre part, la console de contrôle de l'administrateur de la protection antivirus (Fig. 3).

Riz. 3. Interaction entre la console administrateur, les agents et le serveur antivirus

Le serveur antivirus effectue des actions de contrôle et de coordination. Il stocke un journal général des événements liés à la protection antivirus et se produisant sur tous les ordinateurs du réseau, une liste et un calendrier des tâches. Le serveur antivirus est chargé de recevoir les messages des agents et de transmettre à l'administrateur de la protection antivirus l'apparition de certains événements sur le réseau, en vérifiant périodiquement la configuration du réseau afin de détecter de nouveaux postes de travail ou des postes de travail avec une configuration antivirus modifiée. -outils antivirus, etc.

En plus des agents, un antivirus est installé sur chaque poste de travail et serveur du réseau d'entreprise, qui analyse les fichiers et vérifie les fichiers lors de leur ouverture (fonctions de scanner et de surveillance antivirus). Les résultats de l'opération antivirus sont transmis via des agents au serveur antivirus, qui les analyse et les enregistre dans le journal des événements.

La console de contrôle peut être une application Microsoft Windows standard avec une interface fenêtrée ou une applet (snap-in) de la console de contrôle Panneau de configuration du système d'exploitation Microsoft Windows. La première approche est implémentée, par exemple, dans le système de gestion antivirus Sophos et la seconde, dans le système de gestion Norton AntiVirus.

L'interface utilisateur de la console de gestion vous permet de visualiser l'arborescence du réseau d'entreprise, en accédant, si nécessaire, aux ordinateurs individuels de certains groupes d'utilisateurs ou domaines.

Systèmes multiniveaux avec interface Web

L'architecture des systèmes multi-niveaux avec une interface Web implique l'utilisation d'un serveur Web comme cœur du système. La tâche de ce noyau est, d'une part, d'organiser une interaction interactive avec l'utilisateur, et d'autre part, avec les modules logiciels d'un système particulier.

Les avantages de cette approche sont l'unification des méthodes de gestion des différents systèmes réseau, ainsi que l'absence de besoin d'installer des programmes ou des consoles de contrôle sur le poste de travail de l'administrateur. L'administration peut être effectuée à partir de n'importe quel ordinateur du réseau, et si le réseau est connecté à Internet, depuis n'importe où dans le monde où il y a Internet et un ordinateur équipé d'un navigateur.

Pour protéger les informations de contrôle lorsqu'elles sont transmises sur Internet ou l'intranet d'entreprise, des protocoles SSH ou d'autres moyens similaires sont utilisés (par exemple, des modifications sécurisées propriétaires du protocole HTTP).

En figue. 4-5, nous avons montré un schéma fonctionnel d'un système de protection antivirus avec une interface Web Trend Virus Control System. Ce système vous permet de gérer et de contrôler entièrement le fonctionnement d'un système de protection antivirus d'entreprise depuis un poste de travail via un navigateur, même si certaines parties du réseau sont situées dans différents pays ou sur différents continents.

Riz. 4. Système antivirus avec interface Web

Ce circuit est similaire au circuit représenté sur la figure. 4-1, cependant, l'administrateur antivirus gère son fonctionnement via un navigateur, et non via une application console.

Un antivirus est installé sur les postes de travail (PC-cillin, Server Protect, InterScan VirusWall, ScanMail, etc.). Cet antivirus est contrôlé par un serveur antivirus via un agent.

Le serveur Web Microsoft IIS est installé sur l'ordinateur qui joue le rôle de serveur antivirus. Une application Web spéciale exécutée sur ce serveur contrôle le serveur antivirus. Il fournit également à l'administrateur une interface utilisateur pour gérer le système de protection antivirus.

Pour garantir une indépendance maximale par rapport aux plates-formes informatiques, le serveur Trend VCS et l'application client sont écrits dans le langage de programmation Java et dans d'autres langages utilisés pour développer des applications Internet.

Quant aux notifications sur l'apparition d'événements dans le système de protection antivirus de l'entreprise, elles sont transmises par des programmes agents au serveur Trend VCS et envoyées par e-mail, via des réseaux de radiomessagerie, via des systèmes SMS, etc.

Méthodes administratives et technologiques de protection

Pour que les programmes antivirus remplissent efficacement leurs fonctions, il est nécessaire de suivre strictement les recommandations d'utilisation décrites dans la documentation. Une attention particulière doit être accordée à la nécessité de mettre à jour régulièrement les bases de données virales et les composants des logiciels antivirus. Les antivirus modernes peuvent télécharger des fichiers de mise à jour sur Internet ou sur un réseau local. Cependant, pour ce faire, ils doivent être configurés en conséquence.

Cependant, même sans utiliser de programmes antivirus, vous pouvez essayer d'empêcher les virus de pénétrer dans votre ordinateur et de réduire les dommages qu'ils causeront en cas d'infection. Voici ce que vous devez faire en premier :

· bloquer les canaux possibles de pénétration des virus : ne connecter l'ordinateur à Internet et au réseau local de l'entreprise que si cela est nécessaire, déconnecter les périphériques de mémoire externes, tels que les lecteurs de disquettes et les lecteurs de CD-ROM ;

Empêcher la modification logicielle du contenu de la mémoire non volatile du BIOS ;

· créer une disquette de démarrage du système, enregistrant les antivirus et autres utilitaires système pour travailler avec le disque dessus, ainsi qu'un disque de récupération d'urgence Microsoft Windows ;

· analyser tous les programmes et fichiers de documents enregistrés sur l'ordinateur, ainsi que les disquettes à l'aide des dernières versions des programmes antivirus ;

· installer le logiciel uniquement à partir de CD sous licence ;

· installez une protection en écriture sur toutes les disquettes et supprimez-la uniquement si nécessaire ;

· limiter les échanges de programmes et de disquettes ;

· Sauvegardez régulièrement vos données ;

· définir les droits d'accès minimum requis aux répertoires du serveur de fichiers, protéger en écriture les répertoires des kits de distribution et des fichiers de programme ;

· rédiger des instructions pour les utilisateurs sur la protection antivirus, y décrivant les règles d'utilisation des antivirus, les règles de travail avec les fichiers et le courrier électronique, et décrire également les actions à entreprendre lorsque des virus sont détectés.

Problème d'ordinateur à la maison

Souvent, les employés de l'entreprise travaillent non seulement au bureau, mais aussi à la maison, échangeant des fichiers entre leur ordinateur personnel et leur poste de travail. Un administrateur système d'entreprise n'est pas en mesure de protéger les ordinateurs personnels de tous les employés contre les virus. Les virus peuvent s'introduire sur votre ordinateur personnel à partir d'Internet, ainsi que via l'échange de programmes de jeux. Cela se produit souvent si d'autres membres de la famille et des enfants ont accès à l'ordinateur personnel.

Tous les fichiers que les employés apportent de chez eux au travail doivent être considérés comme potentiellement dangereux. Dans les cas critiques, un tel échange devrait être totalement interdit ou sévèrement limité. Les fichiers « personnels » potentiellement dangereux doivent être analysés avant d’être ouverts avec des programmes antivirus.

Installation de pare-feu personnels

Un réseau d'entreprise connecté à Internet doit être protégé des attaques de pirates informatiques à l'aide d'un pare-feu. Cependant, en plus de cela, vous pouvez protéger davantage les postes de travail et les serveurs réseau en y installant des pare-feu personnels, tels qu'AtGuard (Fig. 5).

Riz. 5. Configuration du pare-feu personnel AtGuard

En plus de filtrer le trafic indésirable, certains pare-feu personnels peuvent protéger votre ordinateur contre les applets de chevaux de Troie Java et les contrôles ActiveX. Ces composants peuvent être intégrés dans des messages électroniques HTML et dans des pages de sites Web de chevaux de Troie.

Les pare-feu personnels en mode apprentissage peuvent aider à détecter le trafic provenant de chevaux de Troie, de bombes logiques et d'autres composants malveillants indésirables. Lorsqu'un tel composant tente de communiquer avec l'ordinateur d'un pirate informatique, le pare-feu affichera un message d'avertissement à l'écran.

Il convient de noter que dans les paramètres de votre navigateur, vous pouvez également désactiver la possibilité d'utiliser des composants actifs tels que les applets Java et les contrôles ActiveX. Cependant, les pare-feu personnels sont plus universels et vous permettent de bloquer l'utilisation de tels composants par n'importe quel programme, par exemple les clients de messagerie.