Rękopis znaleziony na szpitalnym korytarzu

'Podstawowym problemem przy wdrażaniu standardów antywirusowych jest skuteczne wykorzystywanie mechanizmów dostępnych w oprogramowaniu antywirusowym' - mówi Andrzej Kantowski, kierownik działu obsługi i rozwoju systemów biurowych w ABB Zamech w Elblągu. Prześledźmy więc, jak elbląscy informatycy pokonali wirusy.

'Podstawowym problemem przy wdrażaniu standardów antywirusowych jest skuteczne wykorzystywanie mechanizmów dostępnych w oprogramowaniu antywirusowym' - mówi Andrzej Kantowski, kierownik działu obsługi i rozwoju systemów biurowych w ABB Zamech w Elblągu. Prześledźmy więc, jak elbląscy informatycy pokonali wirusy.

ABB Zamech, jeden z polskich oddziałów koncernu ABB produkującego urządzenia dla energetyki, przemysłu i transportu, ma sieć komputerową składającą się z ok. 1300 komputerów osobistych. Przed atakami wirusów komputerowych zabezpiecza je oprogramowanie VirusScan firmy McAfee (wchodzącej w skład Network Associates International). Oprogramowanie tej samej firmy zabezpiecza także pliki na ośmiu serwerach Windows NT i dwóch serwerach NetWare działających w ABB Zamech. Chroni też dokumenty przesyłane pocztą elektroniczną poprzez system Lotus Notes.

Początek wirusowej krucjaty

Pierwszego poważnego wdrożenia oprogramowania antywirusowego w ABB Zamech dokonano w 1995 r. Większość komputerów pracujących w firmie była wtedy wyposażona w system operacyjny Windows for Workgroups 3.11, uruchamiany z poziomu MS-DOS.

Firma zdecydowała się wdrożyć pakiet VirusScan firmy McAfee w wersji dla MS-DOS. "Przekonało nas to, że VirusScan zawsze znajdował się w czołówkach rankingów oprogramowania antywirusowego. Ponadto w cenie licencji dla jednej stacji roboczej McAfee udostępniało wersje oprogramowania dla systemów DOS, Windows i OS/2. A to było bardzo ważne przy planach migracji na nowszą wersję systemu Microsoftu" - mówi Andrzej Kantowski, kierownik działu obsługi i rozwoju systemów biurowych. Największy konkurent pakietu McAfee, program Mks_Vir, autorstwa Marka Sella, był wtedy dostępny jedynie w wersji dla DOS. Miał też jedną istotną wadę: jego aktualizacja wymagała zamiany całego programu antywirusowego, instalowanego na stacjach roboczych, który regularnie zwiększał swoją objętość i tym samym potrzebował coraz większej ilości wolnej pamięci operacyjnej, podczas gdy pakiet VirusScan wymagał tylko aktualizacji znacznie mniejszego pliku, zawierającego wzorce wirusów i opis metody ich usuwania.

VirusScan zainstalowano na stacjach roboczych w taki sposób, że skanował on lokalne dyski twarde w poszukiwaniu wirusów zawsze przy uruchamianiu komputera. Oprogramowanie skonfigurowane było co prawda tak, że użytkownik mógł przerwać jego działanie, chcąc szybciej rozpocząć pracę z komputerem, ale raz w tygodniu proces skanowania był wymuszany i przeprowadzany do końca bez względu na działania użytkownika. "Ze względu na małą wydajność komputerów osobistych niemożliwe było jeszcze wtedy zastosowanie dostępnego w pakiecie modułu Vshield, chroniącego przed wirusami przez cały czas pracy komputera" - mówi Andrzej Kantowski.

Szybko okazało się, iż ochrona antywirusowa na stacjach roboczych nie jest wystarczająca i to serwery NetWare, służące do przechowywania i wymiany plików, stają się głównym siedliskiem wirusów. Toteż zainstalowano na nich oprogramowanie NetShield - rozwiązanie McAfee przeznaczone do ochrony serwerów.

Wirusy makrowe

Aktualizacje bibliotek programu antywirusowego były dystrybuowane wśród użytkowników za pośrednictwem powszechnie stosowanej w firmie poczty elektronicznej. Użytkownicy byli instruowani w korespondencji o sposobie zainstalowania poprawki, ale nie zawsze wypełniali polecenia administratorów. Często nieświadome zaniedbywanie aktualizacji oraz popularyzacja wirusów makrowych, "doklejających" się do dokumentów przesyłanych pocztą elektroniczną, powodowały wzrost liczby wirusów w ABB Zamech. "Prawdziwą epidemię wywołał wirus Word.Cap. To zmusiło nas do uszczelnienia systemu antywirusowego" - mówi Andrzej Kantowski.

Na serwerze pocztowym Lotus Notes, pracującym pod kontrolą Windows NT, zainstalowano oprogramowanie NT VirusScan Command Line, a następnie GroupShield, skanujące pod kątem wirusów przesyłaną korespondencję i zawarte w niej załączniki. Rozpoczęto także prace zmierzające do automatyzacji uaktualnień wirusów.

Nowa wersja - nowe problemy

"Problem zabezpieczeń antywirusowych zajaśniał nowym blaskiem, gdy rozpoczęliśmy migrację na Windows NT Workstation 4.0 w wersji polskiej" - mówi Andrzej Kantowski. Obecnie stacje z tym systemem stanowią ponad 80% wszystkich komputerów stosowanych w ABB Zamech w Elblągu.

Windows NT nie pozwala stosować skanerów DOS-owych. Co więcej, nawet uruchamiając komputer z DOS-owej dyskietki niemożliwe jest przeskanowanie pod kątem obecności wirusów partycji NTFS, na której zawarty jest system operacyjny i dane. To wymusiło instalację dedykowanego oprogramowania antywirusowego, przeznaczonego dla Windows NT. W jego przypadku przyjęto podobne założenia, jak wcześniej dla oprogramowania DOS-owego, z tym że skaner był uruchamiany po zalogowaniu się użytkownika.

Informatycy ABB Zamech, znający problemy użytkowników w dziedzinie aktualizacji oprogramowania antywirusowego, zrealizowali system automatycznego kopiowania nowych bibliotek z definicjami wirusów z centralnego serwera plików. W tym celu samodzielnie napisali odpowiedni program aktualizujący aplikację antywirusową zarówno na stacjach z WfW 3.11, jak i Windows NT 4.0. Jego bezproblemowa praca została zakłócona, gdy McAfee zmodyfikował standard biblioteki aktualizacyjnej. Wcześniej firma dostarczała pliki z wzorcami zgodnymi dla całej rodziny wersji skanerów, natomiast obecnie pojawiające się wzorce wymagają odpowiednio nowej wersji oprogramowania.

Problemy te może rozwiązać wdrożenie nowej, czwartej wersji pakietu VirusScan, wzbogaconej już o technologię przejętej przez Network Associates firmy Dr. Solomon's. VirusScan 4.0 ma bowiem wbudowane i dopracowane własne mechanizmy automatycznej aktualizacji. "Nowy VirusScan musi być jednak dokładnie przetestowany. Tak naprawdę nie wiadomo, czy serwis aktualizacyjny, instalowany na stacjach roboczych z Windows NT, nie będzie stanowił sam w sobie zagrożenia dla bezpieczeństwa sieci" - mówi Andrzej Kantowski. Informatycy ABB Zamech planują także, korzystając z możliwości nowej wersji pakietu, budowę systemu scentralizowanego zarządzania oprogramowaniem antywirusowym, instalowanym na stacjach roboczych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200