虛擬化防病毒系統(tǒng)

內容介紹安裝保護管理維護KL014.11.KasperskySecurityforVirtualization介紹

第一章提綱什么是VMwarevSphere什么是vShield從vShieldEndpoint開始KL014.11.KasperskySecurityforVirtualizationvSphereClientvSphereKL014.11.KasperskySecurityforVirtualization硬件層ESXi主機VMVMVMVMVMVMVMVMVMvCenter硬件層ESXi主機VMVMVMVMVMVMVMVMVMvCenterServer虛擬化架構的單一入口點:管理診斷涵蓋多個ESX(i)主機存儲虛擬機化架構KL014.11.KasperskySecurityforVirtualizationvShield保護虛擬化架構的工具/模塊包括:vShieldManager—管理工具vShieldApp—基于管理程序的防火墻vShieldEdge—網關安全vShieldEndpoint—反病毒保護vShieldDataSecurity—敏感數(shù)據保護KL014.11.KasperskySecurityforVirtualizationvShieldEndpointKL014.11.KasperskySecurityforVirtualizationESXiVMVMVMVMVMVMVMVMVMESXiSVMVMVMVMVMVMVMVMVMESXi模塊ESXiESXi模塊文件訪問KL014.11.KasperskySecurityforVirtualizationVM2SVMVM1VMDK文件VM4VM3資源優(yōu)化磁盤磁盤空間磁盤I/O內存未進行掃描時，KES8的進程占用大約40MB在掃描期間—上升到200MB網絡傳輸事件以及更新KL014.11.KasperskySecurityforVirtualization堅實保護新創(chuàng)建的系統(tǒng)啟動中的系統(tǒng)數(shù)據庫過期的系統(tǒng)KL014.11.KasperskySecurityforVirtualization易于支持單個虛擬機的故障排查無任何軟件沖突，驅動沖突保護操作系統(tǒng)——強大的反病毒保護KL014.11.KasperskySecurityforVirtualization解決方案不足只有文件操作會被攔截，這在大多數(shù)服務器上可以接受因為文件是通過TCP協(xié)議處理如果安全模塊出了問題，此ESXi主機上所有的虛擬機都會處于保護中斷狀態(tài)隔離/備份區(qū)域在管理控制臺受Vmware在客戶端虛擬機上驅動的限制:不會顯示警告信息—對用戶來說訪問錯誤意義不大無法掃描內存KL014.11.KasperskySecurityforVirtualization安裝

第二章安裝vShieldEndpoint部署vShieldManager連接到vShieldManagerweb控制臺在vCenter中注冊在樹形結構中選擇ESXi主機在Summary標簽中，點擊安裝鏈接結果：vShield-Endpoint-Mux服務安裝在hypervisor層級vmservice-vswitch虛擬交換機，端口組vmservice-vshield-pgruleintheESXi主機防火墻中的vShield-Endpoint-Mux規(guī)則允許出站連接到TCP端口

48651-48666,443KL014.11.KasperskySecurityforVirtualization部署計劃KL014.11.KasperskySecurityforVirtualization

ESXi-4SVM-4VMVMVMVMVMVMVMVMESXi模塊

ESXi-3SVM-3VMVMVMVMVMVMVMVMESXi模塊

ESXi-2SVM-2VMVMVMVMVMVMVMVMKSV集群-1ESXi模塊vShieldManager-2

ESXi-1SVM-1VMVMVMVMVMVMVMVMESXi模塊vCenter-1vCenter-2vShieldManager-1KSV集群-2系統(tǒng)需求vShieldManager5.0vShieldEndpoint5.0vCenter4.1/5.0ESXi4.1/5.0VMwareTools(ESXi5.0patch1distribution).NETFramework3.5SP1或者更高，用于KSVinstallerKL014.11.KasperskySecurityforVirtualization支持的操作系統(tǒng)Windows2008R2Windows2008(32/64bit)Windows2003R2(32/64bit)Windows2003(32/64bit)Windows7(32/64bit)WindowsVista(32bit)WindowsXPSP2orlater(32bit)KL014.11.KasperskySecurityforVirtualization資源需求主機上的VM數(shù)量內存處理器數(shù)量磁盤空間30個以內1GB130GB31個或者更多2GB230GBKL014.11.KasperskySecurityforVirtualization客戶端操作系統(tǒng)準備VMwareTools完全安裝自定義安裝(選擇VMCI驅動\vShield驅動)使用已經安裝好VmwareTools的虛擬機鏡像進行部署setup.exe/s/v"/qnREBOOT=RADDLOCAL=ALLREMOVE=Hgfs,ThinPrint"KL014.11.KasperskySecurityforVirtualization安裝準備為KSC安裝卡巴斯基虛擬化安全的插件安裝和設置模塊在KSC中創(chuàng)建默認的策略和任務KL014.11.KasperskySecurityforVirtualization主要安裝步驟選擇需要部署的ESXi主機選擇及配置用戶網絡參數(shù)KasperskySecurityCenter和vCenterServer必須能夠被訪問與

vCenterServer交互:IP地址,用戶名,密碼KSV必須有訪問虛擬架構對象樹形結構的權限在vShieldManager中注冊網絡代理安裝無需設置KL014.11.KasperskySecurityforVirtualization操作選擇KL014.11.KasperskySecurityforVirtualization—安裝程序有多種功能連接到vCenterServerKL014.11.KasperskySecurityforVirtualization安裝程序必須要連接到

vCenterServer指定的賬戶必須有足夠的權限部署虛擬機選擇鏡像KL014.11.KasperskySecurityforVirtualization標準的鏡像是

OVF格式用戶許可協(xié)議KL014.11.KasperskySecurityforVirtualization選擇ESXi主機KL014.11.KasperskySecurityforVirtualization你可以選擇SVM安裝在哪一臺主機上磁盤分配精簡配置—指定了最大的磁盤配額(30GB),但是初始只分配必要的配額，等需要更多空間的時候再分配密集配置—所有的磁盤空間在初始時就立即分配名稱和位置KL014.11.KasperskySecurityforVirtualization可能會有許多的ESXi主機，就需要為SVM指定不同的名稱你可以選擇所部署鏡像的存儲位置選擇網絡KL014.11.KasperskySecurityforVirtualizationSVM有兩塊網卡：一塊用來連接到vShieldEndpoint,另一塊用于連接vCenter

Server以及KasperskySecurityCenter網絡設置KL014.11.KasperskySecurityforVirtualization最下面的選項中，你可以指定默認網關，DNS服務器，子網掩碼，以后將自動填寫設置密碼KL014.11.KasperskySecurityforVirtualization管理員帳戶User賬戶沒有訪問系統(tǒng)shell的權限?？梢杂脕碓O置SVM與vShieldManager交互KL014.11.KasperskySecurityforVirtualization這些參數(shù)用來注冊

SVMvCenter連接參數(shù)KL014.11.KasperskySecurityforVirtualizationSVM使用到的vCenterServer連接參數(shù)該賬戶的權限無需很大安裝過程KL014.11.KasperskySecurityforVirtualization安裝結果KL014.11.KasperskySecurityforVirtualization更改設置使用SSH來配置設置使用

klconfig

賬戶如下的選項可以被更改:vCenterServer連接設置klconfig

密碼KL014.11.KasperskySecurityforVirtualization卸載KSV步驟刪除vShieldManager中的注冊信息從ESXi主機存儲中刪除鏡像方法使用SVM配置向導手動想要刪除SVM的注冊信息，運行如下的命令:/opt/kaspersky/ksv/bin/vshield_manager_client--unregister-all-V<vShieldManager的IP地址>KL014.11.KasperskySecurityforVirtualization組件之間的交互ESX-主機SecurityVMKSVSCServerSC控制臺連接件NAgentvShieldEndpoint驅動被保護的VMvShieldEndpoint驅動被保護的VMvShieldEndpoint驅動被保護的VMvShieldEndpointESX模塊Epsec運行庫事件設置

事件KS策略報告KS策略vCenterKSV插件對象樹形結構保護管理第三章提綱授權

更新實時保護運行原理KL014.11.KasperskySecurityforVirtualization授權具體細節(jié)特殊的授權用于虛擬服務器和虛擬桌面實時保護授權，只有正在運行的虛擬機會被計算不支持KSC的自動分發(fā)授權功能KL014.11.KasperskySecurityforVirtualization通過KasperskySecurityCenter安裝KL014.11.KasperskySecurityforVirtualization因為無法使用自動分發(fā)授權，所有需要創(chuàng)建一個安裝授權許可文件的任務服務器和工作站使用不同的授權許可文件授權許可使用報告KL014.11.KasperskySecurityforVirtualization實時統(tǒng)計被保護的虛擬機更新更新任務KL014.11.KasperskySecurityforVirtualizationKSV沒有本地更新任務更新計劃KL014.11.KasperskySecurityforVirtualization實時保護Chapter3.3主要原則VMwaretools(libEPSec.so+vShieldEndpointMultiplexer+Endpoint驅動)會攔截文件操作，傳輸卡巴斯基安全事件在文件訪問時，修改時掃描KL014.11.KasperskySecurityforVirtualization文件判定緩存緩存存儲在客戶端虛擬機上實時保護和自定義掃描都會用到緩存如下情況緩存會被清空:虛擬機重啟虛擬機遷移到其他主機設置被更改自定義掃描啟動數(shù)據庫更新后KL014.11.KasperskySecurityforVirtualization是否檢測到威脅?訪問算法KL002.98.KasperskyEndpointSecurityforWindows文件訪問攔截是否在排除區(qū)域?允許訪問大小>0阻止訪問刪除文件在緩存中記錄此文件未被感染此虛擬機是否啟用訪問時掃描保護?根據指定的保護配置文件，比對反病毒數(shù)據庫根據保護設置，執(zhí)行對應的操作是否否否YesYes是VMWareThinAgentSVM是否在緩存中記錄此文件未被感染是否否具體細節(jié)管理整個虛擬化架構是靠一個策略客戶端虛擬機組的保護設置是靠配置文件，策略就是存儲配置文件保護設置可以分為數(shù)據中心資源池ESXi主機vApp獨立的虛擬機Policy被應用在KSV集群上KL014.11.KasperskySecurityforVirtualization連接到vCenterServerKL014.11.KasperskySecurityforVirtualization保護配置文件保護配置文件，類似于物理主機節(jié)點上的策略根保護配置文件啟用/禁用所有配置文件的實時保護默認的配置文件，無論是否連接到vCenter，都會默認應用保護配置文件和根保護配置文件有同樣的設置可以有多個保護配置文件KL014.11.KasperskySecurityforVirtualization根保護配置文件KL014.11.KasperskySecurityforVirtualization保護配置文件KL014.11.KasperskySecurityforVirtualization配置文件可以以用戶類型（VDI）創(chuàng)建，以應用程序類型（數(shù)據庫服務器，郵件服務器）創(chuàng)建如果激活隊列為空，配置文件將不會被應用保護級別KL014.11.KasperskySecurityforVirtualization檢測對象KL014.11.KasperskySecurityforVirtualization操作KL014.11.KasperskySecurityforVirtualization因為沒有備份存儲，默認操作是阻止保護級別低推薦高復合對象壓縮文件——+自解壓文件——+嵌入式OLE對象—++大小限制,MB88—啟發(fā)式分析輕度輕度中度掃描時間限制，秒606060KL014.11.KasperskySecurityforVirtualization排除KL014.11.KasperskySecurityforVirtualization不支持環(huán)境變量以及通配符*/?自定義掃描第四章具體細節(jié)同時進行大量虛擬機的掃描十分消耗資源同時進行不超過4臺虛擬機的掃描以下對象不會被掃描:內存注冊表可移動設備KL014.11.KasperskySecurityforVirtualizationESXiSVMVMVMVMVMVMVMVMVMESXi模塊任務類型自定義掃描你可以選擇任務掃描到的虛擬機全盤掃描應用到所有vCenterServer上的所有虛擬機KL014.11.KasperskySecurityforVirtualization自定義掃描KL014.11.KasperskySecurityforVirtualization顯示所有的虛擬機，即使已經關機設置KL014.11.KasperskySecurityforVirtualization安全級別低推薦高復合對象壓縮文件——+自解壓文件+++OLE對象—++郵件數(shù)據庫——+郵件——+大小限制,MB88—啟發(fā)式分析輕度輕度中度掃描限制,秒60——KL014.11.KasperskySecurityforVirtualization掃描范圍KL014.11.KasperskySecurityforVirtualization維護第五章KL014.11.KasperskySecurityforVirtualization病毒數(shù)量KL014.11.KasperskySecurityforVirtualization威脅報告KL014.11.KasperskySecurityforVirtualization嚴重事件KL014.11.KasperskySecurityforVirtualization故障排查第六章收集信息KasperskySecurityCenter事件和日志安裝程序追蹤InstallationTraces本地SVM日志(/var/log/ksv)vSphere事件和狀態(tài)KL014.11.KasperskySecurityforVirtualization安裝程序追蹤InstallationTracesKL014.11.KasperskySecurityforVirtualization%ProgramFiles%\KasperskyLab\KasperskySecurityCenter\Plugins\KSV1.plg\DeploymentTrace如果安裝過程中出錯，安裝向導的最后一頁會顯示鏈接SSH訪問默認情況下Root用戶的SSH權限被禁用/etc/ssh/sshd_config:PermitRootLoginKL014.11.KasperskySecurityforVirtualization日志KL014.11.KasperskySecurityforVirtualization#mcedit/etc/opt/kaspersky/ksv/ksv.cfg可以保存為