StaffCop Enterprise и антивирусы: друзья, враги или союзники?!

StaffCop Enterprise и антивирусы

Любой серьёзный программный продукт выполняет большое количество различных операций, например, файловых или сетевых. Многие из них контролируются антивирусными приложениями и могут распознаваться как подозрительные, вредоносные или потенциально вредоносные. Это важно в связи с тем, что агент StaffCop Enterprise тесно интегрирован в локальную инфраструктуру компьютера. Он встраивается в набор программных средств компьютера, что становится фактически незаметен для стороннего наблюдателя, не имеющего прав локального администратора.

Программный модуль попадает в число подозреваемых практически у любого антивируса. А поскольку у модуля агента существует модуль защиты, который в случае попытки отключить агента выполняет его перезапуск — антивирус имеет все основания предполагать, что в программной инфраструктуре компьютера есть подозрительное программное обеспечение. По сути дела — антивирус ПРАВ, так как агент выполняет операции по регистрации действий пользователя и отправке их за пределы инфраструктуры компьютера (а иногда, при нахождении сервера StaffCop в «облаке» или другой подсети — и за пределы инфраструктуры локальной сети), т. е. фактически является шпионом.

Присвоив агенту StaffCop Enterprise статус вредоносной шпионской программы, антивирус начинает «вычищать» его с компьютера (в лучшем случае — отключает и помещает в карантин). Самое интересное, что антивирусы делают это по-разному: одни удаляют агента полностью, включая корневую папку и подпапки, другие — только программные модули, оставляя файлы журналов и папки нетронутыми, третьи — вообще удаляют модули частично, оставляя часть модулей неповреждёнными, более того, способными передавать информацию!

Есть более продвинутые антивирусы: они могут обнаружить агента в ISO-образе дистрибутива StaffCop Enterprise, после чего блокируют любые попытки работать с этим образом. Особо «отличается» антивирус NOD32: он «на лету» обнаруживает агента в скачиваемом образе и блокирует его загрузку.

Антивирусы и StaffCop — непримиримые враги?!

Не торопитесь с поспешными выводами. Всё не так просто, как кажется.

Если проанализировать предназначение StaffCop Enterprise и антивирусов, мы увидим, что области их деятельности близки друг к другу, но практически не пересекаются. И StaffCop Enterprise, и антивирусы предназначены для обеспечения информационной безопасности, но на этом их сходство заканчивается: задача антивируса — борьба с вредоносным программным обеспечением, а задача StaffCop Enterprise — минимизация «человеческого фактора» в утечке информации и контроль деятельности сотрудников на рабочем месте. В последнее время наблюдается плавная «миграция» антивирусов в сторону частичной реализации функций систем противодействия утечкам информации. Например, в антивирусе Касперского начиная с версии 8 появился функционал блокировки USB-устройств.

Антивирусы и StaffCop могут стать друзьями, поскольку решают похожие задачи?!

Такой вывод также поспешен. Как могут стать друзьями сущности, одна из которых (антивирус) может полностью или частично уничтожить другую (агента StaffCop Enterprise)?

Остаётся только один выход — единственное решение и правильный ответ на вопрос, поставленный в заголовке.

Для обеспечения полноты комплекса защиты рабочей станции StaffCop Enterprise и антивирусное программное обеспечение должны стать союзниками. Это подход, который способен полностью обеспечить комплексную защиту информации, обрабатываемой в компьютерной системе (как рабочей станции, так и серверной): антивирусное программное обеспечение защищает компьютерную систему от вредоносного программного обеспечения, а программный комплекс StaffCop Enterprise защищает обрабатываемую информацию от утечки, одновременно контролируя работу сотрудника — действительно ли он занимается своими служебными обязанностями.

Но для того, чтобы антивирус и агент StaffCop Enterprise сформировали такую успешную связку, необходимо сделать так, чтобы антивирус «не замечал» наличия на компьютере агента StaffCop Enterprise.

Делается это с помощью тонкой настройки антивируса.

Для каждой антивирусной программы необходимо настроить «исключения». Это папки, файлы и процессы, которые антивирус при сканировании памяти и дисков пропускает, считая их доверенными приложениями. (Далее речь пойдёт о настройке антивирусов в среде ОС Windows)

В первую очередь необходимо временно добавить в исключения папку, в которой размещён скачанный установочный пакет (MSI-файл) агента, если агент StaffCop Enterprise устанавливается вручную, непосредственно на рабочую станцию или сервер. После того, как агент установлен, эту папку можно удалить из исключений или вообще очистить её; однако, следует заметить, что системные администраторы очень часто добавляют в исключения папки, содержащие дистрибутивы программного обеспечения, и разумным решением будет разместить MSI-файл агента именно в такой папке. Далее, на период установки (И ТОЛЬКО НА ПЕРИОД УСТАНОВКИ!) нужно добавить в исключения папки %WINDIR\Temp и %WINDIR%\Installer (%WINDIR% — это переменная операционной системы Windows, содержащая маршрут к системной папке Windows, обычно — C:\Windows), иначе установить агента StaffCop Enterprise не получится. Затем в исключения нужно внести папку, куда устанавливается агент — маршрут к этой папке можно найти на официальном сайте документации StaffCop Enterprise.

Думаете, этого достаточно? В общем случае — да, но есть одна важная тонкость.

Добавляя в исключение папку целиком или указывая маску имён файлов *.*, мы исключаем из сканирования антивирусным приложением ВСЕ файлы, находящиеся в этой папке. Это, безусловно, быстро и просто — однако, если найдётся «умная» вредоносная программа, она может разместить себя в папках, исключённых из сканирования. Тогда антивирус не сможет её обнаружить, и компьютер окажется под угрозой.

Правильным решением будет добавить в исключения все файлы, имеющие отношение к агенту StaffCop Enterprise. Это не только исполняемый образ или динамические библиотеки, но и файлы драйверов, настроек и т. д. Полный список исключаемых файлов также имеется в официальной документации StaffCop Enterpise. В этом случае любой антивирус будет игнорировать только файлы агента StaffCop Enterprise, а любой вредоносный код, случайно или намеренно оказавшийся в папке агента, будет своевременно обнаружен антивирусным приложением и обезврежен.

Однако не все антивирусы позволяют добавлять в исключения ещё не существующие папки (очевидно, что пока агент не установился — его папки и файлы не существуют). Например, не получится добавить не существующие на диске файл или папку в исключения антивируса Avast. При попытке ввести имя папки или файла, которого ещё нет — служба настройки антивируса Avast выдаёт сообщение «Маршрут не существует». Как быть в этом случае?

Нужно полностью отключить все службы такого антивируса на время установки агента StaffCop Enterprise. Обычно это три службы (три модуля) антивируса: контроль процессов (иногда называется защитой реального времени), контроль файловой системы (дисков) и контроль сетевых подключений. В этом случае антивирус как бы «засыпает» и абсолютно не мешает установке агента StaffCop Enterprise.

После установки агента все его папки и файлы сформированы, поэтому можно добавить описанные выше и файлы, и папки в исключения антивирусного приложения, после чего включить его службы. Добавлять папки %WINDIR%\Temp и %WINDIR%\Installer нет необходимости, так как установка агента уже выполнена.

Итак, что же мы получили в результате всех наших действий?

Два различных приложения, работающих в одной сфере — информационной безопасности стали союзниками. Антивирусное приложение защищает и компьютер, и агента StaffCop Enterprise от вредоносных программ, а агент StaffCop Enterprise, контролируя работу пользователя, позволяет установить, не отключает ли пользователь антивирусное приложение, снижая уровень защиты до «Компьютер не защищён».

Таким образом, единственно правильный ответ на вопрос, поставленный в заголовке — следующий: антивирусное приложение и агент StaffCop Enterprise должны быть союзниками, работать каждый в своей области и не мешать друг другу. Но для создания такой безопасной среды нужны некоторые дополнительные действия администраторов по безопасности или системных администраторов, «из коробки» работать это никогда не будет. В качестве оптимального решения можно предложить использовать централизованное управление антивирусом, которое позволяет однократно добавить параметры исключения на сервере антивирусного приложения и сделать их доступными для клиентских рабочих станций. В этом случае «ручной обход» рабочих станций не понадобится.

Итак, вы дважды защищены: и от вредоносных программ, и от человеческого фактора.

Работайте безопасно!