Staffcop Enterprise и антивирусы
В настоящее время, любой серьёзный программный продукт выполняет достаточно большое количество файловых, сетевых и других операций, многие из которых контролируются антивирусными приложениями, а также могут распознаваться ими как подозрительные, вредоносные или потенциально вредоносные. Тем более это важно в связи с тем, что агент Staffcop Enterprise очень тесно интегрирован в локальную инфраструктуру компьютера. Точнее говоря, он так встраивается в набор программных средств компьютера, что становится фактически незаметен для стороннего наблюдателя, не имеющего прав локального администратора.
Такой программный модуль попадает в число первых подозреваемых практически у любого антивируса. А поскольку у модуля агента существует модуль защиты, который в случае попытки отключить агента выполняет его перезапуск – антивирус имеет все основания предполагать, что в программной инфраструктуре компьютера есть как минимум подозрительное программное обеспечение, а как максимум – вредоносная шпионская программа. С точки зрения логики антивируса, он прав, так как агент выполняет операции по регистрации действий пользователя и отправке их за пределы инфраструктуры компьютера (а иногда, при нахождении сервера Staffcop в «облаке» или другой подсети - и за пределы инфраструктуры локальной сети), т.е. фактически является шпионом.
Присвоив агенту Staffcop Enterprise статус вредоносной шпионской программы, антивирус начинает «вычищать» его с компьютера (в лучшем случае – отключает и помещает в карантин). И самое интересное в том, что разные антивирусы делают это по-разному: одни удаляют агента полностью, включая корневую папку и подпапки, другие – только программные модули, оставляя файлы журналов и папки нетронутыми, третьи – вообще удаляют модули частично, оставляя часть модулей неповреждёнными и способными передавать информацию.
Некоторые антивирусы идут ещё дальше: они могут обнаружить агента в ISO-образе дистрибутива Staffcop Enterprise, после чего блокируют любые попытки работать с этим образом. Например, антивирус NOD32: он «на лету» обнаруживает агента в скачиваемом образе и блокирует его загрузку.
Что же делать? Разве необходимо выбирать между этими двумя программами?
Если проанализировать, для чего предназначены Staffcop Enterprise и антивирусы, то мы увидим, что области их деятельности близки друг к другу, но в общем-то практически не пересекаются. И Staffcop Enterprise, и антивирусы предназначены для обеспечения информационной безопасности, но на этом их сходство заканчивается: задача антивируса – борьба с вредоносным программным обеспечением, а задача Staffcop Enterprise – минимизация «человеческого фактора» в утечке информации и контроль деятельности сотрудников на рабочем месте.
Таким образом, остаётся только один выход – единственное решение и правильный ответ на вопрос, поставленный в заголовке.
Для обеспечения полноты комплекса защиты рабочей станции Staffcop Enterprise и антивирусное программное обеспечение должны стать союзниками. Это – единственно правильный подход, который способен полностью обеспечить комплексную защиту информации, обрабатываемой в компьютерной системе (как рабочей станции, так и серверной): антивирусное программное обеспечение защищает компьютерную систему от вредоносного программного обеспечения, а программный комплекс Staffcop Enterprise защищает обрабатываемую информацию от утечки, одновременно контролируя работу сотрудника – действительно ли он занимается своими служебными обязанностями.
Но для того, чтобы антивирус и агент Staffcop Enterprise сформировали такую успешную связку, необходимо сделать так, чтобы антивирус «не замечал» наличия на компьютере агента Staffcop Enterprise. Делается это с помощью тонкой настройки антивируса.
Для каждой антивирусной программы необходимо настроить так называемые «исключения». Это папки, файлы и процессы, которые антивирус при сканировании памяти и дисков пропускает, считая их доверенными приложениями. (Далее речь пойдёт о настройке антивирусов в среде ОС Windows.-Прим.авт.)
В первую очередь, необходимо временно добавить в исключения папку, в которой размещён скачанный установочный пакет (MSI-файл) агента, если агент Staffcop Enterprise устанавливается вручную - непосредственно на рабочую станцию или сервер. После того, как агент установлен, эту папку можно удалить из исключений или вообще очистить её; следует заметить, что системные администраторы очень часто добавляют в исключения папки, содержащие дистрибутивы программного обеспечения, и разумным решением будет разместить MSI-файл агента именно в такой папке. Далее, на период установки, нужно добавить в исключения папки %WINDIR\Temp и %WINDIR%\Installer (%WINDIR% - это переменная операционной системы Windows, содержащая маршрут к системной папке Windows, обычно – C:\Windows) – после установки надо будет убрать эти папки из исключений - иначе установить агента Staffcop Enterprise не получится. Затем в исключения нужно внести папку, куда устанавливается агент – маршрут к этой папке можно найти на официальном сайте документации Staffcop Enterprise.
Также, есть одна важная тонкость – добавляя в исключение папку целиком или указывая маску имён файлов *.*, мы исключаем из сканирования антивирусным приложением ВСЕ файлы, находящиеся в этой папке. Это, безусловно, быстро и просто – однако, если найдётся «умная» вредоносная программа, она может разместить себя в папках, исключённых из сканирования. Тогда антивирус не сможет её обнаружить, и компьютер окажется под угрозой.
Поэтому правильным решением будет добавить в исключения все файлы, имеющие отношение к агенту Staffcop Enterprise. Это не только исполняемый образ или динамические библиотеки, но и файлы драйверов, настроек и т.д. Полный список исключаемых файлов также имеется в официальной документации Staffcop Enterpise. В этом случае любой антивирус будет игнорировать только файлы агента Staffcop Enterprise, а любой вредоносный код, случайно или намеренно оказавшийся в папке агента, будет своевременно обнаружен антивирусным приложением и обезврежен.
Однако не все антивирусы позволяют добавлять в исключения ещё не существующие папки (пока агент не установился – его папки и файлы не существуют). Например, не получится добавить не существующие на диске файл или папку в исключения антивируса Avast. При попытке ввести имя папки или файла, которого ещё нет – служба настройки антивируса Avast выдаёт сообщение «Маршрут не существует». Как быть в этом случае?
Нужно полностью отключить все службы такого антивируса на время установки агента Staffcop Enterprise. Обычно это три службы (три модуля) антивируса: контроль процессов (иногда называется защитой реального времени), контроль файловой системы (дисков) и контроль сетевых подключений. В этом случае антивирус «засыпает» и не мешает установке агента Staffcop Enterprise.
После установки агента все его папки и файлы сформированы, поэтому можно добавить описанные выше и файлы, и папки в исключения антивирусного приложения, после чего включить его службы. Добавлять папки %WINDIR%\Temp и %WINDIR%\Installer нет необходимости, так как установка агента уже выполнена.
Итак, что же мы получили в результате всех наших действий?
Два различных приложения, работающих в одной сфере – информационной безопасности – стали союзниками. Антивирусное приложение защищает и компьютер, и агента Staffcop Enterprise от вредоносных программ, а агент Staffcop Enterprise, контролируя работу пользователя, позволяет установить, не отключает ли пользователь антивирусное приложение, снижая уровень защиты до «Компьютер не защищён».
Таким образом, единственно правильный ответ на вопрос, поставленный в заголовке – следующий: антивирусное приложение и агент Staffcop Enterprise должны быть союзниками, работать каждый в своей области и не мешать друг другу. Но для создания такой безопасной среды нужны некоторые дополнительные действия администраторов по безопасности или системных администраторов, «из коробки» работать это никогда не будет. В качестве оптимального решения можно предложить использовать централизованное управление антивирусом, которое позволяет однократно добавить параметры исключения на сервере антивирусного приложения и сделать их доступными для клиентских рабочих станций. В этом случае «ручной обход» рабочих станций не понадобится.