• Thứ Tư, 25/05/2005 10:33 (GMT+7)

    Phòng chống virus cho mạng máy tính doanh nghiệp: kinh nghiệm thực tế


    Với vai trò quản trị hệ thống mạng có hàng chục hay hàng trăm máy tính trong một công ty hay doanh nghiệp, bạn phải đối mặt với rất nhiều khó khăn: Trình độ thành thạo máy tính, ý thức bảo mật dữ liệu của người dùng chưa cao; sự “khó tính” của nhân viên (họ không cần biết người quản trị làm gì, miễn sao bật máy lên là vào thẳng màn hình làm việc mà không cần nhập username/password; máy tính có vấn đề gì như mất dữ liệu, chạy chậm v.v... tất cả đều “đổ lên đầu” người quản trị mạng). Ngoài ra, nếu ban lãnh đạo công ty chưa nhận thức được tầm quan trọng của vấn đề bảo mật thông tin thì quả là khó khăn rất lớn cho bạn. Có rất nhiều vấn đề không phải một sớm một chiều có thể giải quyết. Trong bài này tôi chỉ muốn giới thiệu kinh nghiệm và giải pháp phòng chống virus (tôi dùng từ “virus” bao gồm cả virus, trojan, worm) trong mạng công ty tôi, hy vọng được mọi người góp ý, trao đổi thêm.

    THỰC TẾ CÔNG TY
    Trong toàn công ty tôi có khoảng 110 máy tính nối mạng và 40 máy tính không nối mạng. Trên mỗi máy sử dụng 1 trình chống virus (antivirus) khác nhau, thậm chí có máy cài 2-3 trình antivirus. Điều quan trọng là các trình antivirus này đều không được cập nhật. Việc sử dụng nhiều trình antivirus khác nhau gây khó khăn cho người quản trị trong việc theo dõi các bản cập nhật của các hãng bảo mật. Thêm nữa, nếu cập nhật và xử lý sự cố cho từng máy thì rất mất thời gian, ảnh hưởng tới công việc.

    Vấn đề đặt ra là làm sao biết trong mạng công ty xuất hiện virus gì, ở phòng ban nào, máy nào? Làm sao kiểm soát virus trong toàn mạng? Làm sao để trình antivirus ở máy người dùng luôn được cập nhật? Làm sao đặt lịch “quét” virus đồng loạt toàn mạng?

    GIẢI PHÁP
    Sau khi tìm hiểu một số trình antivirus, tôi quyết định sử dụng thử phiên bản Symantec Antivirus Corporate Edition, hiện tôi sử dụng phiên bản 8.0 (phiên bản mới nhất 9.0) có một số đặc tính sau:
    * Khi cập nhật virus mới trên máy Server thì toàn bộ các máy sử dụng phiên bản client (máy trạm) đều được cập nhật.
    * Hàng ngày có thể theo dõi sự xuất hiện và sự lây nhiễm virus gì, ở máy nào? thời điểm? ổ đĩa và thư mục bị nhiễm? Có thể xuất báo cáo về virus từng ngày v.v...
    * Có thể đặt lịch quét virus trên các máy trạm vào 1 thời điểm nhất định, theo dõi máy nào đã quét, máy nào chưa.

    CÀI ĐẶT
    1. Cài đặt phiên bản Symantec Antivirus Corporate Edition Server tại máy chủ quản lý, sau khi cài đặt sẽ có thư mục chia sẻ mặc định: Sav\clt-inst\Win32.
    2. Có 2 cách cài đặt trình antivirus ở máy trạm:
    - Dùng client tạo ra từ thư mục nói trên để cài đặt tại các máy trạm,
    - Dùng chương trình Symantec Antivirus Coporation Edition Client với chọn lựa là Managed bởi máy chủ đã cài bản Antivirus Server.

    CẤU HÌNH MÁY TRẠM
    Chúng ta cấu hình một số chọn lựa trên bản client như sau:
    - Vào Configure -> File System Realtime Protection, ở tab Macro Virus và Non-Macro Virus chọn Action 1 và 2 như hình 1a.
    - Bỏ chọn lựa Display message on infected computer (không hiển thị thông báo khi phát hiện virus trên máy người dùng).
    - Nhấn Advanced, Heuristics, chọn Maximum level of Protection (hình 1b)
    - Đặt lịch quét toàn bộ các máy tính trong mạng. Chọn New Scheduled Scan, Next, chọn thời điểm quét, Next, chọn ổ đĩa cần quét, Save (hình 1c).

    LÀM VIỆC TRÊN MÁY CHỦ ANTIVIRUS
    a. Cập nhật thông tin virus
    Theo dõi sự xuất hiện của các loại virus mới và tải về bản cập nhật Update Virus trên website www.symantec.com. Có 4 cách để cập nhật thông tin virus, người quản trị có thể chọn một cách phù hợp với môi trường làm việc (bạn có thể tham khảo ở trang web http://service1.symantec.com/SUPPORT/ent-security.nsf/pfdocs/2002103012571948).
    - The Virus Definition Transport Method (VDTM)
    Là giải pháp tự động phân phối bản cập nhật virus. Với VDTM, bạn chỉ cần cập nhật 1 lần trên máy server bằng cách sử dụng LiveUpdate hoặc file .xdb, và sau đó server sẽ tự động phân phối bản cập nhật tới các máy client trong mạng.
    - LiveUpdate
    Là chương trình kết nối tới server của Symantec, lấy về bản cập nhật thông tin virus mới nhất và thực hiện cập nhật cho máy đang làm việc. Bạn chạy LiveUpdate tại máy Symantec Server, sau đó phân phối tới các máy trạm thông qua VDTM. Chú ý: chúng ta có thể đặt lịch tự động cập nhật trên máy server.
    - File .xdb
    Tải về file .xdb từ Symantec Antivirus Server, chép vào thư mục chia sẻ VPHOME, thay đổi ngày của file .xdb theo đúng ngày cập nhật. Chương trình RTVSCAN.EXE trên các máy client sẽ kiểm tra phiên bản file .xdb mới và tiến hành cập nhật cứ 10 phút 1 lần.
    - Intelligent
    Tải về file dạng yyymmdd-version-x86.exe, chạy bản cập nhật này trên máy server. Sau đó toàn bộ các máy client trong mạng sẽ cập nhật thông qua VDTM.
    b. Theo dõi virus trên mạng
    Thông qua chức năng Virus History, mỗi ngày người quản trị có thể theo dõi tình trạng virus trên toàn mạng của công ty thông qua các thông tin được gửi lên Antivirus Server từ các trình Antivirus Client. Chúng ta có thể biết được máy nào đang bị nhiễm virus gì? Phòng ban nào? Máy tính nào? Thư mục nào? Đã diệt được hay chưa? v.v... (hình 2a)
    c. Theo dõi lịch quét virus trên các máy client
    Dùng chức năng Scan History để theo dõi quá trình quét virus trên các máy tính người dùng.

    XỬ LÝ SỰ CỐ
    a. Máy chủ Antivirus Server gặp sự cố
    Trường hợp máy chủ cài Antivirus Server thay đổi địa chỉ IP (hay gặp sự cố), khi đó các máy client không nhìn thấy máy chủ (tiếp tục kiểm tra địa chỉ IP cũ) và không nhận được bản cập nhật virus mới. Để giải quyết vấn đề này chúng ta làm như sau:
    - Khởi động lại Antivirus Server (có tác dụng trong trường hợp thay đổi IP)
    + Từ Start -> Run, gõ services.msc -> OK
    + chọn Symantec Antivirus Server
    + nhấn Stop sau đó nhấn Start
    - Cập nhật lại địa chỉ IP cuả máy chủ cho các máy client
    + Từ Start -> Run, gõ regedit -> OK
    + sau đó chọn HKEY_LOCAL_MACHINE/Software/Intel/Landesk/VirusProtect6/CurrentVersion/AddressCache/ đây là thông tin về máy chủ để client kết nối đến.
    + Chọn , trong từ khoá Address_0 chứa địa chỉ IP máy chủ có dạng: 00 04 20 00 0b 97 00 00 9b 40 7b fd 00 00 00 00 00 00 00 00 00, bỏ qua 9 cặp số đầu, từ cặp thứ 10 trở đi bạn hãy đổi địa chỉ IP máy chủ mới từ cơ số 10 sang cơ số 8 rồi ghi vào khoá trên. Ví dụ: 9b=155 40=64 7b=123 fd=253 cho địa chỉ máy chủ 155.64.123.253.
    Nếu cài mới Antivirus Server sẽ tạo ra file Grc.dat mới, dùng chương trình notepad mở file, tìm dòng Address_0 và lấy giá trị tại dòng này thay vì phải chuyển đổi cơ số như trên.
    + Thoát khỏi Registry Editor
    - Cập nhật lại tên máy (naming resolution)
    + Symantec Antivirus không sử dụng NetBIOS để truyền thông, client và server không sử dụng giao tiếp truyền thông APIs trên nền tảng Microsoft Network mà sử dụng Symantec Antivirus protocol.
    + Tên máy tính là thành phần cần thiết cho Symantec Antivirus làm việc. Symantec Antivirus theo dõi tên máy thay đổi và sẽ tự cập nhật.
    + Bạn có thể dùng lệnh “ping” để kiểm tra chính xác tên máy server và client.
    - Cập nhật lại địa chỉ IP của máy chủ trên file Grc.dat (nếu IP thay đổi)
    + Dùng chương trình Notepad mở file Grc.dat, tìm dòng Address_0 và cập nhật địa chỉ IP của máy chủ.
    b. Máy client gặp sự cố
    Có thể máy client gặp sự cố không cập nhật được bản virus mới, không liên kết được với máy Antivirus Server. Bạn hãy kiểm tra IP liên kết đến server có chính xác hay không như ở trên. Nhưng tốt hơn hết là bạn gỡ bỏ bản cũ, lấy bản client mới tạo ra trên server để cài đặt lại.

    KẾT LUẬN
    Qua thực tế triển khai, tôi có nhận xét như sau:
    Ưu điểm:
    - Các chương trình Antivirus Server/Client luôn được cập nhật.
    - Người quản trị theo dõi được sự xuất hiện các loại virus trong mạng.
    - Nếu trình Antivirus Client không có tác dụng với 1 loại virus nào đó, chúng ta có thể tìm kiếm các công cụ mạnh hơn để chuyển tới máy bị nhiễm, yêu cầu người sử dụng chạy công cụ đó để diệt virus.
    - Do cấu hình trình Antivirus Client như trên, trong quá trình quét Realtime nếu phát hiện virus sẽ không có cảnh báo làm người dùng hoang mang. Chỉ người quản trị theo dõi và phát hiện.
    Khuyết điểm:
    - Nếu máy nào đã bị nhiễm “quá nặng” thì phải trực tiếp xử lý tại máy đó (tham khảo bài “Tiêu diệt SPYWARE” trên TGVT A tháng 4/2005, trang 111).
    - Khuyến cáo người dùng không nên chia sẻ thư mục tại máy. Nếu chia sẻ file nên sử dụng FTP server.
    - Có thể có một số virus mà mô hình triển khai Client/Server không phát huy tác dụng.
    Để phòng và chống virus hiệu quả, bạn phải kết hợp triển khai mạng công ty theo mô hình “domain” để thi hành các chính sách bảo mật trên các máy trạm, song song với việc khuyến cáo nhân viên chạy các bản vá lỗi hệ điều hành. Ngoài ra, vấn đề nhận thức của người dùng, chính sách bảo mật trong công ty cũng góp phần làm cho mạng của bạn an toàn hơn.

    Nguyễn Văn Thản
    nvthan@vnn.vn
    Trung Tâm Tin Học - Công ty Viễn Thông Daklak-Daknong
     

    ID: A0505_124