Система и способ для определения доверия при обновлении разрешенного программного обеспечения

Система и способ для определения доверия при обновлении разрешенного программного обеспечения

Иллюстрации

Показать все

Реферат

Область техники

Изобретение относится к технологиям контроля приложений, в частности, к системам и способам определения доверия при обновлении разрешенного программного обеспечения.

Уровень техники

Сегодня невозможно даже представить офис современной компании, независимо от того, какого она размера, без корпоративной компьютерной сети. Благодаря наличию корпоративной сети, например, всегда существует возможность быстрого обмена различной информацией между персональными компьютерами (ПК) в сети. Но сетевой инфраструктурой нужно правильно управлять, для того чтобы решать самые сложные задачи. К тому же корпоративная сеть весьма уязвима, ведь стоит только появиться в сети зараженному ПК, вредоносные объекты, такие как вирусы и сетевые черви, могут распространиться и на другие ПК в корпоративной сети. Такие инциденты чреваты снижением эффективности работы сети, связанной с устранением неполадок в работе ПК, вызванных вредоносными объектами, а также потерями рабочего времени у сотрудников. Также такие инциденты могут привести к пропаже коммерческих секретов компании и даже финансовых средств. Поэтому очень важно осуществлять контроль над ПК в сети, а именно над приложениями, которые могут работать на ПК в корпоративной сети, чтобы максимально обезопасить корпоративную сеть от проникновения в нее вредоносных объектов, а также от утечек важной информации за ее пределы. Для этой цели предназначена система контроля приложений.

Существуют разные подходы к контролю запуска программного обеспечения (ПО), реализуемые системами контроля приложений. Например, существует подход, когда на ПК разрешается запуск всего ПО, которое явно не запрещено. В этом случае администратор определяет запрещающий периметр - ПО, которое нельзя запускать. Все остальное ПО будет разрешено запускать на ПК. Также существует другой подход, когда на ПК запрещается запуск всего ПО, которое явно не разрешено. В этом случае администратор определяет разрешающий периметр - приложения, которые можно запускать. Все остальное ПО к запуску не разрешено. Наиболее эффективным с точки зрения обеспечения безопасности, а также с точки зрения администрирования, считаются современные системы контроля приложений, реализующие подход запрета запуска всех неразрешенных приложений. Такой подход называют «Default Deny».

Для своего функционирования указанные современные системы контроля приложений, реализующие подход Default Deny, используют списки разрешенных объектов - базы разрешенного ПО на том или ином ПК. Запуск ПО, информация о котором не находится в списке разрешенных объектов, будет запрещен на том или ином ПК в сети. Подобные списки могут быть составлены исходя из различной информации о том или ином ПО. Так, например, подобный список может включать уникальный идентификатор ПО, цифровую подпись, данные производителя и так далее.

В корпоративной сети находится множество пользователей ПК, которым для выполнения своих рабочих обязанностей требуется определенное ПО. Дизайнер, например, в своей работе использует графические редакторы, которые не нужны для осуществления рабочих задач, например, бухгалтеру. Подход использования списков разрешенных объектов позволяет формировать тот набор ПО, который нужен для выполнения рабочих обязанностей определенного пользователя ПК в сети.

Системы контроля приложений могут использовать как локальный список разрешенных объектов на каждом ПК в сети, в котором собрана информация о разрешенном ПО именно для данного ПК, так и удаленный список, который может содержать полную информацию обо всех существующих разрешенных объектах.

Подход запрета исполнения приложений не из списка разрешенных объектов также позволяет полностью обезопасить ПК от проникновения вредоносного ПО.

Но при подобном подходе существует риск некорректной работы ПО из списка разрешенных объектов после обновления или же риск полного отсутствия возможности обновления у таких приложений. Это может происходить за счет того, что во время обновления того или иного приложения могут создаваться или загружаться дополнительные файлы, которые могут отсутствовать как в локальном, так и в удаленном списке разрешенных объектов. Также могут изменяться уже существующие файлы. В связи с этим необходимы инструменты, позволяющие разрешить исполнение всех объектов, которые могут быть созданы или загружены при обновлении разрешенного ПО и при этом отсутствовать в списке разрешенных объектов, а также позволяющие актуализировать такие списки.

Существуют системы и способы, позволяющие определить возможность установки программных продуктов на основании доверительных цепочек. Так, в патенте US 7694296 B1 описаны система и способ борьбы с неавторизованной установкой программных продуктов и их удалением, а также описано использование передачи доверия при установке программ. В патенте описано, что процесс msiexec.exe может быть доверенным установщиком только в том случае, если он является частью цепочки, запущенной другим доверенным установщиком. В то же время в патенте не описано использование категоризации и разрешения категорий программного обеспечения, к которым относятся приложения для установки и обновления.

Предложенные и описанные далее система и способ для определения доверия при обновлении разрешенного программного обеспечения устраняют указанные выше недостатки. Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании существующих решений в одной системе, позволяют получить новый результат, а именно обновление программного обеспечения, разрешенного для запуска каким-либо пользователем какого-либо ПК в сети.

Раскрытие изобретения

Настоящее изобретение предназначено для определения доверия при обновлении разрешенного программного обеспечения. Технический результат заключается в обновлении программного обеспечения, запуск которого разрешен для какого-либо пользователя какого-либо ПК в сети. Технический результат достигается за счет определения того факта, что, по меньшей мере, один новый объект, который появился на ПК во время процесса обновления разрешенного программного обеспечения, обладает доверием.

Способ для определения доверия при обновлении разрешенного программного обеспечения, содержащий этапы, на которых:

I. определяют, разрешено ли для запуска, по меньшей мере, одно средство обновления на персональном компьютере, при этом если указанное средство обновления разрешено для запуска на персональном компьютере, то определяют доверенным, по меньшей мере, один новый объект, появившийся при работе процесса обновления, инициированного указанным средством обновления;

II. передают, по меньшей мере, один новый объект, появившийся при работе процесса обновления, инициированного указанным средством обновления, по меньшей мере, одному средству установки для осуществления доступа к указанному объекту;

III. определяют, разрешено ли для запуска указанное средство установки на персональном компьютере, при этом если указанное средство установки разрешено для запуска на персональном компьютере и средство установки осуществляет доступ, по меньшей мере, к одному новому объекту, который появился при работе разрешенного средства обновления, то, по меньшей мере, одно средство установки определяют доверенным на время работы процесса обновления, инициированного указанным средством обновления;

IV. определяют доверенным, по меньшей мере, один новый объект, появившийся при работе процесса установки, инициированного указанным средством установки, в случае если средство установки является доверенным.

Система для определения доверия при обновлении разрешенного программного обеспечения, содержащая:

I. по меньшей мере, одно средство обновления, которое установлено на персональном компьютере, связано с агентом администрирования и средством установки и предназначено, по меньшей мере, для:

- загрузки, по меньшей мере, одного нового объекта, необходимого для обновления программного обеспечения;

- передачи указанного нового объекта средству установки для осуществления доступа к указанному объекту;

II. по меньшей мере, одно средство установки, которое установлено на персональном компьютере, связанно с агентом администрирования и предназначено, по меньшей мере, для:

- доступа, по меньшей мере, к одному новому объекту, который был загружен средством обновления и необходим для обновления программного обеспечения;

- формирования и загрузки, по меньшей мере, одного нового объекта;

III. упомянутый агент администрирования, установленный на персональном компьютере и связанный с базой данных разрешенных объектов, который предназначен для:

- определения возможности запуска, по меньшей мере, одного средства обновления и одного средства установки на персональном компьютере;

- определения того факта, что, по меньшей мере, один новый объект обладает доверием, и отметки указанного объекта как доверенного;

- разрешения доступа, по меньшей мере, к одному новому объекту, отмеченному как доверенный, а также действий, инициированных таким объектом;

- определения того факта, что, по меньшей мере, одно средство установки обладает доверием;

IV. базу данных разрешенных объектов, содержащую, по меньшей мере, политики, необходимые для определения возможности запуска, по меньшей мере, одного средства обновления и одного средства установки на персональном компьютере, для определения того факта, что, по меньшей мере, один новый объект обладает доверием, а также для определения того факта, что, по меньшей мере, одно средство установки обладает доверием.

Краткое описание чертежей

Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.

Заявленное изобретение поясняется следующими чертежами, на которых:

Фиг.1 иллюстрирует схему работы компьютерной сети, управляемой сервером администрирования.

Фиг.2 иллюстрирует стандартную систему для обновления ПО.

Фиг.3 иллюстрирует схему детального взаимодействия сервера администрирования и всех ПК в рамках корпоративной сети для осуществления задач контроля приложений.

Фиг.4 иллюстрирует систему для обновления разрешенного ПО.

Фиг.5 иллюстрирует алгоритм работы системы для обновления разрешенного ПО.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

На Фиг.1 изображена схема работы компьютерной сети, управляемой сервером администрирования.

Сеть 101, которой может являться, например, корпоративная сеть, может состоять из множества ПК 103. Задачи удаленного администрирования любого ПК 103 с помощью сервера администрирования 102 могут решаться посредством соединения ПК 103 из сети 101 с сервером администрирования 102. При этом сервер администрирования 102 также находится в сети 101. На каждом ПК 103 в одном из вариантов реализации может быть установлен агент администрирования, предназначенный для выполнения различных задач удаленного администрирования. Под задачами удаленного администрирования понимается широкий спектр действий, осуществляемых сервером администрирования 102 с ПК 103. Этими действиями могут быть:

- обновление антивирусных баз и программных модулей;

- управление политиками и групповыми задачами на любом из ПК 103;

- удаленная инсталляция приложений и патчей на любой из ПК 103;

- поиск уязвимостей на любом из ПК 103;

- программная и аппаратная инвентаризация любого из ПК 103;

- хранение какой-либо информации на стороне сервера администрирования 102.

Указанный набор задач является примерным и не ограничивает возможности сервера администрирования 102. Сервер администрирования 102 также предназначен для контроля приложений, установленных на каждом из ПК 103 в сети 101. Далее в описании вариантов реализации настоящего изобретения речь будет идти о задачах контроля приложений и о связанных с этими задачами операциях.

В частном случае связь между ПК 103 из сети 101, на котором установлен агент администрирования, и сервером администрирования 102, находящимся в другой компьютерной сети, осуществляется через сеть Интернет. В этом случае существует вероятность того, что какой-либо из ПК 103 из сети 101, например, не имеет доступа в сеть Интернет. Для осуществления задач удаленного администрирования любого ПК 103 из сети 101 (даже тех ПК 103, которые не имеют доступа в сеть Интернет) сервер администрирования 102, находящийся в другой компьютерной сети, может выбирать для связи компьютер-посредник из сети 101 с установленным на нем агентом администрирования. Через агент администрирования, который установлен на компьютере-посреднике, осуществляется связь между агентами администрирования каждого ПК 103 с сервером администрирования 102.

На Фиг.2 изображена стандартная система для обновления ПО.

Установленное на ПК 103 в сети 101 ПО должно обновляться по мере выпуска обновлений для данного ПО. Обновления ПО крайне необходимы, и на это есть причины. Любой программный продукт может содержать в своем исходном коде ошибки, которые не были обнаружены при тестировании и остались в финальной версии продукта. Подобные ошибки могут нести риски некорректной работы ПО, риски использования большого количества ресурсов ПК 103, а также риски информационной безопасности. Подобные ошибки часто приводят к возникновению уязвимостей в ПО, которыми может воспользоваться злоумышленник. Обновления ПО могут содержать данные, позволяющие исправить ошибки, устранить уязвимости, увеличить или улучшить функциональные возможности ПО.

Процесс обновления на ПК 103 может быть инициирован средством обновления 201. Средством обновления 201 может являться установленное на ПК 103 приложение для обновления определенного ПО. Указанное средство 201 запускает процесс обновления. Для выполнения процесса обновления указанное средство 201 через определенные промежутки времени осуществляет обращения к удаленным серверам компании-производителя того ПО, за обновление которого оно отвечает. Подобные обращения к серверу осуществляются с целью проверки наличия на сервере обновления для ПО. Если обновление появилось на сервере компании-производителя ПО, то средство обновления 201 осуществляет загрузку данного обновления на ПК 103. Также возможен другой вариант реализации, когда при появлении обновления на удаленном сервере сервер может осуществить передачу как самого обновления ПО, так и информации о том, что обновление доступно, на средство обновления 201. Обновления для ПО в одном из вариантов реализации представлены в виде пакета инсталляции 202. Стоит отметить, что существуют частные реализации, в которых обновления для ПО могут быть представлены в виде интерпретируемых файлов, например, файлов с расширениями.bat,.cmd,.js,.vbs,.pif и других. Также обновления могут быть представлены в виде бинарных файлов.

Типичным пакетом инсталляции 202 в операционных системах Windows является файл с расширением.msi или. msp. Пакет инсталляции 202 хранит всю логику и набор данных, необходимых для корректного обновления ПО. Подобными данными являются файлы, составляющие обновление ПО, информация о структуре каталогов, информация для реестра операционной системы и так далее.

Для обновления ПО также необходимо средство установки 203, которое осуществляет работу с пакетами инсталляции 202 и запускает процесс установки. Средством установки 203 пакетов инсталляции 202 с расширением.msi в операционных системах Windows может являться приложение msiexec.exe. Данное средство 203 осуществляет обновление ПО, выполняя команды, записанные в пакете инсталляции 202, и используя находящиеся в нем данные. Стоит отметить, что в частных вариантах в ходе обновления ПО может быть задействовано несколько различных средств установки 203, при этом передача управления процессом установки может переходить по цепочке от одного средства 203 к другому. Существуют также варианты, когда передача управления между участниками процесса обновления происходит неявно, например, с помощью способов межпроцессорного взаимодействия (англ. Inter-Process Communication, IPC). Стоит также отметить, что в одном из вариантов обновления ПО какое-либо из средств установки 203 может осуществлять загрузку новых пакетов инсталляции 202, необходимых для корректного обновления ПО. Существуют варианты реализации, в которых средство 203 преобразует пакет инсталляции 202 во временное представление, а далее, используя СОМ-сервер установки, инициирует установку пакета 202 из временного представления.

Стоит отметить, что в ходе обновления ПО, то есть запуска средством установки 203 пакета инсталляции 202, на ПК 103 могут появиться новые файлы 204. Также в частном варианте какие-либо файлы ПО могут быть изменены, например, изменится их размер. В связи с этим при включенном режиме разрешенного ПО на ПК 103 в сети 101 в ходе обновления ПО могут возникнуть ошибки, например, при запуске новых файлов 204. Это возможно за счет того, что метаданных новых файлов 204 может оказаться недостаточно для их категоризации. Таким образом, новые файлы 204 или измененные файлы, необходимые для корректного обновления, а также для корректной работы обновленного ПО, при проверке могут не иметь отношения к разрешенным правилами категориям, информация о которых сохранена в базе данных разрешенных объектов. Также метаданные могут измениться при обновлении ПО и не соответствовать разрешенным правилами категориям. В частном варианте, в случае когда политика является списком разрешенного ПО в рамках тех или иных категорий, для новых файлов 204 и для измененных файлов, необходимых для корректной работы обновленного ПО, разрешающая политика и информация по новым файлам 204 отсутствует в базе данных разрешенных объектов. Таким образом, при попытке запуска новых файлов 204 или измененных файлов не будет получено разрешение на запуск. Предложенная далее система обходит описанные недостатки.

Следует отметить, что существует и другой вариант обновления ПО. Так, средство обновления 201 может также исполнять роль средства установки 203. Пакет инсталляции 202 в данном случае может быть представлен как бинарный код, который может быть исполнен средством обновления 201, после чего ПО будет обновлено. В данном случае в ходе обновления также могут появиться новые файлы 204 или же какие-либо файлы могут быть изменены. В связи с этим при включенном режиме разрешенного ПО на ПК 103 в сети 101 в ходе процесса обновления ПО могут возникнуть отмеченные выше ошибки.

На Фиг.3 изображена схема детального взаимодействия сервера администрирования и всех ПК в рамках сети для осуществления задач контроля приложений.

Сервер администрирования 102 находится в сети 101 и состоит из ряда средств администрирования 302, хранилища информации 303 и средства управления 301. Ряд средств администрирования 302 состоит из, по меньшей мере, средства инвентаризации 304, средства категоризации 305 и средства контроля 306. Указанные средства из ряда средств администрирования 302 необходимы для выполнения операций, связанных с контролем приложений. Другие возможные средства администрирования из ряда средств администрирования 302 необходимы для выполнения задач удаленного администрирования всех ПК 103 в сети 101. Другими средствами администрирования могут быть средства для построения топологии сети 101, средства для распространения обновлений и патчей на ПК 103, средства для поиска и удаления уязвимостей на ПК 103 и так далее. Список средств администрирования из ряда средств администрирования 302 не ограничивается указанными примерами, и средств администрирования на сервере администрирования 102, необходимых для осуществления различных задач удаленного администрирования, может быть любое количество. Хранилище информации 303 необходимо для работы средств администрирования 302 на сервере администрирования 102, то есть для решения задач управления сетью 101. Хранилище информации 303 может содержать обновления для различных приложений, сведения о топологии сети 101, патчи, списки известных уязвимостей, сведения о программной и аппаратной конфигурации каждого ПК 103 из сети 101, правила для категоризации, политики для контроля приложений и так далее. Хранилище информации 303 постоянно обновляется информацией, предоставляемой компанией-поставщиком антивирусных услуг.

На каждом ПК 103, находящимся в сети 101, установлен агент администрирования 307, который необходим для выполнения операций, связанных с контролем приложений, а также для связи между ПК 103 в сети 101 и сервером администрирования 102. Средство управления 301 осуществляет связь сервера администрирования 102 со всеми ПК 103 из сети 101 с целью осуществления операций, связанных с задачами контроля приложений. Такими операциями являются, по меньшей мере, инвентаризация и категоризация ПО, а также формирование и применение политик. Сервер администрирования 102 с помощью средства управления 301 имеет возможность связываться со всеми ПК 103 из сети 101, собирать информацию, применять политики, разрешая запуск пользователем того или иного ПО, установленного на ПК 103. Также через средство управления 301 передается информация от средств администрирования из ряда средств администрирования 302. Сервер администрирования 102 является компьютером, который способен предоставлять услуги, связанные с компьютерной безопасностью и администрированием. Эти функции могут быть реализованы с помощью таких корпоративных продуктов, как Kaspersky Endpoint Security, Kaspersky Security for Microsoft Exchange Server, Kaspersky Anti-Virus for Windows Servers, Kaspersky Anti-Virus for Windows Workstations и других продуктов, которыми можно управлять с помощью средства управления 301, являющимся, например, приложением Kaspersky Administration Kit.

Для осуществления задач контроля приложений сервер администрирования 102, а именно средство управления 301, связывается со всеми ПК 103 из сети 101. На сервере администрирования 102 в ряде средств администрирования 302 существует средство 304 для инвентаризации ПО любого ПК 103 из сети 101. Подобное средство необходимо для взаимодействия с агентом администрирования 307 любого ПК 103 с целью удаленного запуска операции инвентаризации ПО. На начальном этапе с помощью средства 304 из ряда средств администрирования 302 будет сформирована задача на проведение инвентаризации ПО на всех ПК 103 из сети 101. Средство управления 301, получив информацию от средства 304 о том, что данная задача сформирована для всех ПК 103, установит соединение с агентами администрирования 307 всех ПК 103 из сети 101 и передаст данную задачу. Далее агенты администрирования 307 каждого ПК 103 из сети 101 собирают данные о программных конфигурациях ПК 103, на которых они установлены. Данными, собранными в рамках инвентаризации ПО каждого ПК 103 в сети 101, является, по меньшей мере, следующая информация:

- версии ПО;

- цифровые подписи ПО;

- уникальные идентификаторы, например хеш-суммы;

- изготовители ПО;

- пути, по которым установлено ПО.

Указанный набор данных является примерным и не ограничивает возможности агентов администрирования 307, установленных на всех ПК 103 из сети 101. Собранный набор данных для каждого ПК 103 из сети 101 имеет идентификатор, по которому каждый из указанных ПК 103 однозначно идентифицируется. Таким идентификатором может являться, например, MAC- или IP-адрес, серийный или внутренний номер ПК 103 в сети и другая подобная информация. Идентификатор может позволить отсортировать информацию о ПО, установленном на каком-либо конкретном ПК 103.

Указанные данные собираются агентами администрирования 307 каждого ПК 103 из сети 101, и агент администрирования 307 каждого конкретного ПК 103 передает свои данные инвентаризации на средство управления 301. В свою очередь средство управления 301 передает указанные данные на средство инвентаризации 304 из ряда средств администрирования 302, которое сохраняет указанные данные в хранилище информации 303. Далее указанные данные инвентаризации ПО могут быть использованы другими средствами администрирования из ряда средств администрирования 302. Следует отметить, что инвентаризация, проводимая с подачи средства 304, осуществляется на периодической основе, позволяя отслеживать новое ПО, устанавливаемое пользователями на ПК 103 сети 101, таким образом обеспечивая актуальное состояние списка всего известного ПО в сети 101, информация о котором собирается в рамках инвентаризации. Также в одном из вариантов реализации при запуске пользователем любого ПО на каком-либо ПК 103 агент администрирования 307 может собирать информацию о данном ПО и отправлять ее на средство управления 301 для актуализации информации о ПО в хранилище информации 303.

Среди средств администрирования 302 есть средство категоризации 305, которое предназначено для объединения в различные категории ПО, данные о котором были собраны в процессе инвентаризации. Хранилище информации 303 в одном из вариантов реализации содержит правила для создания категорий для ПО, информация о котором была собрана в процессе инвентаризации. Данные правила могут быть основаны на различных метаданных ПО, например, на названиях файлов, уникальных идентификаторах, наименовании производителя и так далее. Так, например, правило для наименования производителя “Opera Software” может категоризировать ПО данного производителя как “Браузеры”. Также, например, может существовать правило, объединяющее все приложения и файлы, необходимые для функционирования операционной системы, в категорию “Файлы операционной системы”. Также, например, может существовать правило, которое объединит в категорию “Приложения для обновления” все приложения, предназначенные для обновления ПО. Средство категоризации 305, применяя правила к данным, собранным в рамках инвентаризации, категоризирует все ПО, которое установлено на множестве ПК 103 в сети 101. Таким образом, к данным о каждом приложении, собранным в рамках инвентаризации и сохраненным в хранилище информации 303, добавляется информация о категории конкретного приложения, определенной средством категоризации 305.

В одном из частных вариантов правила для создания категорий могут быть получены из удаленной базы, расположенной на стороне компании-поставщика антивирусных услуг, и средство 305 может иметь возможность осуществлять связь с указанной базой для категоризации того ПО, которое не было категоризировано с помощью правил из хранилища информации 303, или для получения новых правил категоризации. Средство 305 также может фильтровать категории по ПК 103, показывая тем самым, какое ПО из какой-либо категории есть на каком-либо ПК 103 из сети 101. Так как собранный в процессе инвентаризации набор данных для каждого ПК 103 из сети 101 имеет идентификатор, то информация о категоризированном ПО может быть представлена как в рамках всей сети 101, так и для любого ПК 103 из сети 101. Стоит также отметить, что администратор, осуществляющий работу с сервером администрирования 102, может создавать и сохранять в хранилище информации 303 свои правила для категоризации специализированного ПО, а также для создания своих категорий для известного ПО. Так, администратор может с помощью средства 305 создать свою категорию необходимого для работы какого-либо пользователя ПО, включив в данную категорию, например, известные офисные пакеты, графические редакторы, планировщики задач и браузеры. Администратор также может категоризировать ПО, которое не попало в какие-либо категории после категоризации средством 305.

В одном из частных вариантов реализации изобретения средства администрирования 302, в том числе и средство категоризации 305, имеют доступ к удаленной, расположенной на стороне компании-поставщика антивирусных услуг, базе данных чистых объектов (не указана на Фиг.3). База данных чистых объектов может содержать информацию по доверенным объектам, таким как различные файлы, ссылки и так далее. Подобная база содержит большой объем информации обо всем ПО, которое является “чистым”, то есть не несет вредоносного функционала, и исполнению которого на ПК 103 можно доверять. Средство категоризации 305 может осуществлять связь с вышеуказанной удаленной базой для того, чтобы определить, какое недоверенное ПО существует на ПК 103 в сети 101. Для этого средство 305 производит сравнение информации о ПО, собранной в процессе инвентаризации, с информацией из удаленной базы данных чистых объектов. Хранилище информации 303 в одном из вариантов реализации содержит правила для создания категории недоверенных объектов. Такое правило позволит категоризировать ПО, данные о котором были собраны в процессе инвентаризации и информация о котором отсутствует в удаленной базе данных чистых объектов, как недоверенное. Средство категоризации 305, применяя правила к данным, собранным в процессе инвентаризации, определяет категорию такого ПО.

Также в одном из частных вариантов предусмотрена обратная связь. Администратор, зная, что ПО, которое попало в категорию недоверенных объектов, не является вредоносным, может изменить категорию указанного ПО. При этом на сторону компании-поставщика антивирусных услуг будет отправлена информация о том, что указанное ПО не является вредоносным по мнению пользователя продукта данной компании. Так, на сторону компании-поставщика антивирусных услуг могут быть отправлены метаданные указанного ПО, такие как названия файлов, уникальные идентификаторы, наименование производителя и другая информация, характеризующая указанное ПО. На стороне компании-поставщика антивирусных услуг аналитики могут использовать подобную информацию для изменения данных, сохраненных в удаленной базе данных чистых объектов, то есть производить добавление информации об указанном ПО в данную базу. Также подобные действия могут производиться автоматически. Например, информация о том, что указанное ПО не является вредоносным, может приходить на анализирующее средство. Данное средство может добавить информацию об указанном ПО в удаленную базу данных чистых объектов только после того, как определенное количество пользователей отправят информацию о том, что указанное ПО не является вредоносным.

Также администратор, зная, что определенное ПО, которое попало в какую-либо категорию, не принадлежит данной категории, может изменить категорию для указанного ПО. При этом на сторону компании-поставщика антивирусных услуг будет отправлена информация о том, к какой категории по мнению пользователя продукта данной компании должно относиться указанное ПО. В частном варианте реализации администратор может инициировать передачу метаданных какого-либо ПО, категория которого не определена средством категоризации, а также самим администратором, на сторону компании-поставщика антивирусных услуг с целью удаленной категоризации. Подобные действия также помогают компании-поставщику антивирусных услуг создавать новые правила категоризации и исправлять старые. Далее эти новые или исправленные правила будут записаны в хранилище информации 303 в сети 101 при обновлении указанного хранилища 303.

Среди средств администрирования 302 есть средство контроля 306, которое предназначено для выполнения операций формирования и применения политик контроля запуска приложений (далее политики) для всех пользователей всех ПК 103 в сети 101. Политикой в одном из вариантов реализации является набор правил для определения возможности работы какого-либо пользователя или пользователей какого-либо ПК 103 с запущенным ПО. Указанный набор правил включает, по меньшей мере, правила, позволяющие определить по метаданным ПО, запущенного каким-либо пользователем какого-либо ПК 103, к какой категории относится данное ПО, а также правила, позволяющие определить, может ли указанное ПО из данной определенной категории быть запущено указанным пользователем на ПК 103. Второе из отмеченных правил регламентирует, по меньшей мере, разрешенные категории ПО для пользователя или пользователей какого-либо ПК 103, разрешенное ПО в рамках тех или иных категорий для пользователя или пользователей какого-либо ПК 103, ограничения, которые должны выполняться для функционирования ПО на ПК 103. В другом варианте реализации подобные правила также могут содержать список ограниченного по функционалу ПО. Примером ограничения функционала может являться запрет использования определенных портов. Также в одном из вариантов реализации подобные правила могут регламентировать и запрещенные категории ПО для пользователя или пользователей какого-либо ПК 103, а также запрещенное ПО в рамках тех или иных категорий для пользователя или пользователей какого-либо ПК 103.

Следует отметить, что для каждого пользователя какого-либо ПК 103 из сети 101 формируется своя политика. Другими словами, то, что разрешено какому-либо пользователю на одном ПК 103, может быть не разрешено другому пользователю этого или же другого ПК 103. Категории, исполнение приложений из которой не разрешено политикой, будут запрещены для исполнения. Так, например, чтобы запретить все ПО для категории “Игры”, достаточно не делать политики с помощью средства контроля 306 из ряда средств администрирования 302.

Как отмечено ранее, политика для каждого ПК 103 содержит набор правил, необходимых для определения того, что ПО, запущенное пользователем на ПК 103, принадлежит разрешенной категории, и пользователь ПК 103 может работать с данным ПО. Данный набор необходим для формирования баз данных разрешенных объектов 308 на каждом ПК 103 в сети 101. В частном варианте реализации политика содержит список всех разрешенных приложений для определенного пользователя какого-либо ПК 103. Данный список может содержать не только название разрешенного ПО, но и другие метаданные доверенного ПО, например, уникальные идентификаторы, такие как хеш-суммы, цифровые подписи и так далее.

Средство контроля 306 предназначено для передачи данных политик на все ПК 103 в сети 101 с целью включения режима работы пользователей только с разрешенным ПО на каждом ПК 103 в рамках сети 101. Средством 306 из ряда средств администрирования 302 формируется задача на передачу политик для всех ПК 103 из сети 101. Средство управления 301, получив информацию от средства 306 о том, что данная задача сформирована для всех ПК 103, установит соединение с агентами администрирования 307 всех ПК 103 из сети 101 и передаст для каждого ПК 103 политику для работы разрешенного ПО в рамках сети 101. Далее агенты администрирования 307 каждого ПК 103 из сети 101 применяют политики на ПК 103, при этом набор правил, необходимых для определения того, что ПО, запущенное пользователем на ПК 103, принадлежит разрешенной категории, и пользователь ПК 103 может работать с данным ПО, записывается в базу данных разрешенных объектов 308 для каждого ПК 103 из сети 101.

Администратор с помощью средства контроля 306 может разрешать определенные категории или же, в частном варианте, отдельные копии ПО для какого-либо пользователя на каком-либо ПК 103 из сети 101. Это может делаться на основании решения администратора, например, путем применения созданной администратором разрешающей политики для категории самого необходимого для работы ПО. После применения указанной политики на ПК 103 база данных разрешенных объектов 308 будет обновлена. Также подобные действия могут быть осуществлены по запросу пользователя указанного ПК 103.

Агент 307 также способен осуществлять постоянное слежение за ресурсами ПК 103, на котором он установлен, с целью выявления попыток запуска того или иного ПО. При перехвате попытки запуска ПО пользователем какого-либо ПК 103 агент 307 способен определить, может ли указанное ПО быть запущено данным пользователем на данном ПК 103 в соответствии с