Создание сервера антивирусной защиты. Разработка, установка и настройка индивидуальной системы антивирусной защиты для вашего предприятия

Сервер является важнейшей частью информационной инфраструктуры любой компании - какой бы маленькой или большой она ни была. Оставлять сервер без антивирусной защиты нельзя.

От руководителей компаний нередко можно услышать, что «для нашего сервера антивирус не нужен, так как на него заходит только системный администратор» и «для ОС Линукс антивирусы не нужны».

Возможно, эти утверждения когда-то были правдой, но сейчас такой подход - угроза для компаний. Чтобы разобраться со вторым мифом, достаточно посмотреть на количество создаваемых в день вредоносных программ для открытых операционных систем.

Вряд ли злоумышленники создавали бы столько вредоносных программ просто так, для собственного удовольствия.

Для того чтобы закрыть тему необходимости защиты сервера, достаточно процитировать свежую новость:

Киберпреступной группировке Cobalt удалось взломать автоматизированную банковскую систему (АБС) БЖФ, вывести деньги на банковские карты, а затем обналичить их.

Правоохранительные органы отметили, что успеху атаки способствовало отсутствие российских антивирусов, плановой установки обновлений, иные нарушения правил информационной безопасности.

По данным статистики Dr.Web, до сих пор активен троянец-шифровальщик Trojan.Encoder.11432 , он же WannaCry. Его широкое распространение свидетельствует о том, что очень многие компании пренебрегают установкой обновлений.

Защитить серверы компаний от вредоносных программ, в том числе проникающих через незакрытые уязвимости, может установка антивирусной защиты. Напомним, что от эпидемии WannaCry не пострадал ни один клиент компании «Доктор Веб», так как WannaCry распознавался эвристическими механизмами антивирусного ядра Dr.Web.

А сэкономить на антивирусной защите сервера нужно и можно. Вот как выглядит эта экономия, если сеть компании защищает антивирусная система защиты Dr.Web Enterprise Security Suite.

Разберем несколько примеров стоимости защиты серверов средствами Dr.Web с .

При выборе лицензии для защиты 1 сервера и 10 станций ее стоимость составит:

Для сервера 6500 руб.,
для станций 10 890 руб.

Для компании большего размера с 10 серверами стоимость защиты сервера обойдется по цене защиты станции , а именно 1 089 руб. за один защищаемый сервер.

Для еще более крупного предприятия с 25 серверами стоимость одной лицензии составит всего 882 руб. для одного сервера.

А при миграции новых клиентов, которые ранее не пользовались защитой Dr.Web вовсе или защитой серверов, стоимость защиты дополнительно снижается вдвое - т. к. действует скидка 50%. Еще более выгодна миграция сразу на 2 года, ведь второй год защиты Dr.Web будет совершенно бесплатный.

Сервером называется специализированный компьютер, действия на котором происходят без активного участия пользователя. Обычно туда устанавливается сервисное программное обеспечение для осуществления определенных задач. Через такой компьютер происходит обмен данными, запуск действий, произведение математических расчетов и многое другое. Все серверы различаются по типам, например, существуют игровые, веб, почтовые и прокси-серверы. Каждое такое устройство выполняет четко поставленную задачу. Нередко для безопасного функционирования такой машины на нее устанавливается антивирус, поэтому мы бы хотели рассказать подробнее о таком ПО, выделив несколько конкретных решений.

Платформа: Windows Server

Известная многим антивирусная компания Avast выпускает сборку специально под серверы, предоставляя дополнительные полезные инструменты. Например, обратите внимание на функцию «Уничтожение данных» . Она реализована таким образом, что перезаписывает во всех удаленных данных случайно сгенерированную информацию, что не позволит воссоздать исходное состояние файла при попытке его восстановления. Помимо этого, присутствует «Анализ поведения» — инструмент, отвечающий за сканирование рабочих приложений на предмет подозрительной активности. Если блокнот пытается получить доступ к той же веб-камере, такой запрос будет сразу блокироваться. Конечно, такой пример прост, но функция работает на более высоком уровне.

Еще в Avast Business Antivirus Pro есть встроенный брандмауэр, средство интеллектуального сканирования, защита от спама, защита паролей и упрощение входа в учетные записи. Происходит и постоянное сравнение вероятных угроз с текущей базой вирусов при помощи технологии Software defender. Она позволит вам взаимодействовать только с проверенными данными. В свою очередь, инструмент CyberCapture будет отправлять подозрительные объекты в лабораторию изучения угроз.

Avira Antivirus Server

Платформа: Windows Server

Avira Antivirus Server — специальное решение от компании-разработчика для серверов под управлением операционной системы Windows. Создатели обещают максимально эффективную работу с низким потреблением системных ресурсов, высокий коэффициент обнаружения угроз и удобство использования. В сборке добавлены инструменты по защите при доступе, то есть осуществляется контроль выполняемых процессов во время обращения к ним со стороны других приложений. Присутствует и ручное сканирование, позволяющее в любой момент запустить анализ указанного носителя или отдельной директории.

Еще раз отметим, что разработчик делает особый акцент на низком потреблении ресурсов ПК и простоте управления антивирусом. Обещаются и постоянные бесплатные нововведения и обновления баз вирусов. Если вас интересует ознакомление с этим продуктом, получить бесплатную версию на 30-дневный период можно на официальном сайте, заполнив соответствующую форму. Во время тестирования будут доступны все инструменты и функции, а также возможно бесплатное обращение в службу поддержки.

ESET File Security

ESET File Security рассчитан на работу на серверах Windows и Linux, и предоставляет многоуровневую защиту благодаря дополнительному компоненту облачной песочнице ESET Dynamic Threat Defense. Облачная система защиты производит автоматическую защиту от новых угроз без ожидания обновления механизма обнаружения (указанное среднее время обновлений — 20 минут). Встроенная защита от сетевых атак распознает известные уязвимости на сетевом уровне, а при использовании OneDrive его сканированием займется механизм Office 365 OneDrive Storage. Обратить внимание следует и на предотвращение влияния ботнетов. Инструмент находит не только вредоносное соединение, но и определяет такие же процессы, сразу блокируя опасную деятельность и сообщая об этом пользователю.

Для управления ESET File Security пользователю предлагается установить консоль на Windows или Linux, а в целях упрощения настройки имеется виртуальное устройство импорта. Ознакомиться со всей функциональностью этого антивируса, попробовать его бесплатную версию и купить полную вы можете на официальном сайте разработчиков.

Kaspersky Security

Платформа: Windows Server, Linux

Kaspersky Security for Servers входит в состав сборок — Total, Endpoint Security для бизнеса, Kaspersky Security для виртуальных и облачных сред и Kaspersky Security для систем хранения данных. Покупая одну из этих версий, вы получаете надежную защиту своего сервера от новейшего поколения вредоносного ПО. Рассматриваемый софт имеет расширенную защиту серверов и предоставляет защиту от эксплойтов, защиту терминальных серверов, следит за внешним трафиком, целостностью системы и непрерывно оберегает системы хранения данных с помощью многоуровневого инструмента. Встроенные системы по управлению правами администраторов обеспечивают удобство управления, уведомлений, а также возможна интеграция с SIEM-системами и управление сетевым экраном Windows.

Хотелось бы отметить, что у Kaspersky Security отдельные системные требования под конкретные платформы хранения данных, например, для NetApp — Clustered Data ONTAP 8.x и 9.x и Data ONTAP 7.x и 8.x в режиме 7-mode, а для EMC Isilon — IBM System Storage N series. Ознакомиться с перечнем всех требований вы можете при скачивании антивируса на сайте Kaspersky.

McAfee VirusScan Enterprise

Платформа: Windows Server, Linux

Ранее пользователи устанавливали на свои серверы McAfee Endpoint Security, однако разработчиками было принято решение усовершенствовать этот продукт с дальнейшим изменением его названия. Теперь это VirusScan Enterprise. Каждому, кто ранее использовал этот антивирус, предлагают выполнить бесплатную миграцию. На официальном сайте предоставлены все необходимые инструкции и уроки по этому вопросу. В базовый инструментарий новой версии входят: брандмауэр, средства веб-контроля для обмена информацией об угрозах, обязательный антивирус и опции предотвращения использования уязвимостей.

В McAfee VirusScan Enterprise используются и современные методы машинного обучения. Такие технологии позволяют обнаруживать вредоносный код через статические и поведенческие атрибуты. Сдерживание вредоносного ПО происходит еще на моменте его проникновения в систему, не позволяя ему заразить другие процессы. Технология Endpoint Detection and Tesponse отвечает за обнаружение и реагирование на конечных точках — это позволит реагировать на угрозы по одному щелчку мыши.

Comodo Antivirus для Linux

Платформа: Linux

Разработчики Comodo Antivirus представили отдельную версию под операционные системы на базе ядра Linux. Эта программа поддерживается большинством дистрибутивов как 32 бит, так и 64. Из особенностей хотелось бы сразу отметить почтовый фильтр, который совместим с популярными почтовыми агентами: Postfix, Qmail, Sendmail и Exim MTA. Производитель гарантирует надежную защиту в реальном времени, легкость в установке и отсутствие сложных действий с настройкой. Система анти-спам может быть полностью редактирована вручную, но и стандартные настройки обеспечат хорошую фильтрацию. Если пользователь захочет получить еще больший контроль файлов, к включению доступна функция «Анализ поведения в режиме реального времени» . Все подозрительные объекты будут отправляться на сервер облачного анализа поведения.

Для комфортного использования Comodo Antivirus потребуется компьютер повышенной мощности, с минимальной частотой процессора 2 ГГц и 2 ГБ свободной оперативной памяти. Вы можете не беспокоиться за проведение сканирований: достаточно будет настроить их план всего один раз, а в дальнейшем они будут запускаться автоматически. Возможен запуск анализа в любое удобное время путем нажатия всего одной кнопки. Рассматриваемый антивирус имеет открытый исходный код, распространяется бесплатно и скачивается с официального сайта.

Chkrootkit

Платформа: Linux

Chkrootkit (Check Rootkit) — распространенная среди системных администраторов программа защиты операционной системы от известных руткитов. Руткит — сбор компонентов, например, скриптов, исполняемых или конфигурационных файлов, которые выполняют функцию маскировки, управления и сбора данных. С помощью таких инструментов злоумышленники проникают в ОС и получают всю необходимую информацию. Упомянутое выше ПО как раз призвано защищать компьютер от подобного рода деятельности. Chkrootkit не требует установки и может быть запущен с Live CD. Работа в нем осуществляется через любую удобную консоль, а управление понятно даже неопытному пользователю.

Chkrootkit работает довольно быстро, отлично справляется со своей задачей, не занимает много места на накопителе, но при этом содержит в себе огромное количество модулей под каждый тип юзеров. На официальном сайте присутствуют сборки программы в различных расширениях, а скачивание доступно из прямого источника или нескольких зеркал.

Вы были ознакомлены с антивирусными решениями, которые станут лучшим решением для различных типов серверов. Как видите, каждый софт имеет свои особенности, поэтому будет максимально полезен в определенных ситуациях.

В мы остановились на том, что мастер первоначальной настройки сервера Kaspersky Security Center предложил нам сразу же развернуть антивирусную защиту на компьютерах в сети. Разберем этот процесс подробнее.

Первым шагом при развертывании антивирусной защиты будет выбор инсталляционного пакета. Kaspersky Security Center 10.3 уже содержит в себе Kaspersky Endpoint Security 10.2, так что скачивать его отдельно не придется.

Поддерживайте антивирусные базы в дистрибутивах , и тогда их не придётся докачивать после установки.

Обратите внимание, что при установке Kaspersky Endpoint Security (KES) сразу же ставится и Агент администрирования, обеспечивающий связь KES сервером KSC.

Нужно выбрать компьютеры, на которых необходимо развернуть антивирусную защиту. В нашем примере это сам сервер, на котором установлен KSC. В настоящей сети можно сразу выбрать все компьютеры, на которых необходимо развернуть защиту.

Далее идут параметры задачи удаленной установки. Их можно оставить по умолчанию. Самый интересный параметр здесь, пожалуй, «Не устанавливать программу, если она уже установлена». Если Вы будете устанавливать программу повторно, и Вам обязательно нужно, чтобы установка прошла (допустим, программа уже стоит, но работает некорректно, и Вы решили её переустановить), то эту галочку нужно снять.

Укажите код и файл ключа для KES, после этого программа спросит как ей себя вести при необходимости перезагрузки.

Установка KES требует перезагрузки, установка Агента администрирования нет. Поэтому в том случае, когда устанавливаете только агент, этот пункт в мастере фактически бессмысленный и ни на что не влияет.

В нашем же случае, так как мы ставим и KES, и агент, выбор будет иметь последствия. Гуманным выбором будет спросить у пользователя, можно ли перезагрузить компьютер. Ведь пользователь может выполнять там свои задачи, и принудительная перезагрузка в таком случае не есть хорошо.

Если Вы никуда не торопитесь, можно вообще не перезагружать компьютер. Установка KES завершится при следующем включении клиентского компьютера. Ну и, если Вы уверены, что никаких важных задач на компьютере не выполняется, можно включить принудительную перезагрузку.

Общеизвестно, что антивирусное ПО разных фирм не уживается на одном компьютере. Kaspersky Security Center владеет целым списком такого ПО и способен удалять его самостоятельно.

Если есть необходимость, после завершения установки компьютеры можно переместить в отдельную группу.

Запустится процесс установки, ход которого можно наблюдать в разделе Задачи.

Как правильно организовать оборону компьютерных сетей от вредоносного ПО.

Статья адресована начинающим системным администраторам.

Под антивирусной защитой я подразумеваю защиту от любого вредоносного ПО: вирусы, трояны, рут-киты, бэк-доры,…

1 Шаг по антивирусной защите - установка антивирусного ПО на каждом компьютере в сети и обновление не реже чем ежедневно. Правильная схема обновления антивирусных баз: за обновлениями ходят 1-2 сервера и раздают обновления всем компьютерам в сети. Обязательно ставьте пароль на отключение защиты.

У антивирусного ПО много недостатков. Главный недостаток - они не ловят вирусы, написанные на заказ и которые не получили широкого распространения. Второй недостаток- они нагружают процессор и занимают память на компьютерах, кто-то больше (Касперский), кто-то меньше (Eset Nod32), это надо учитывать.

Установка антивирусного ПО - обязательный, но недостаточный способ защиты от вирусных эпидемий, часто сигнатура вируса появляется в антивирусных базах на следующий день после его распространения, за 1 день вирус может парализовать работу любой компьютерной сети.

Обычно системные администраторы останавливаются на 1 шаге, хуже того, не доводят его до конца либо не следят за обновлениями и рано или поздно заражение все-таки происходит. Ниже перечислю другие важные шаги по усилению антивирусной защиты.

2 Шаг. Политика паролей. Вирусы (трояны) умеют заражать компьютеры в сети подбирая пароли к стандартным учетным записям: root, admin, Administrator, Администратор. Всегда используйте сложные пароли! За учетные записи без паролей либо с простыми паролями системный администратор должен быть уволен с соответствующей записью в трудовой книжке. После 10 попыток неверного ввода пароля учетная запись должна блокироваться на 5 минут, чтобы защититься от брут-форса (подбор пароля методом простого перебора). Встроенные учетные записи администраторов крайне желательно переименовать и заблокировать. Периодически пароли нужно менять.

3 Шаг. Ограничение прав пользователей. Вирус (троян) распространяется по сети от имени пользователя, который его запустил. Если у пользователя права ограничены: нет доступа на другие компьютеры, нет административных прав на свой компьютер, то даже запущенный вирус ничего не сможет заразить. Нередки случаи, когда сами системные администраторы становятся виновниками распространения вируса: запустили админ кей-ген и пошел вирус заражать все компьютеры в сети…

4 Шаг. Регулярная установка обновлений безопасности. Это сложная работа, но делать ее надо. Обновлять нужно не только ОС, но и все приложения: СУБД, почтовые серверы.

5 Шаг. Ограничение путей проникновения вирусов. Вирусы попадают в локальную сеть предприятия двумя путями: через сменные носители и через другие сети (Интернет). Запретив доступ к USB, CD-DVD, вы полностью перекрываете 1 путь. Ограничив доступ в Интернет, вы перекрываете 2 путь. Этот метод очень эффективен, но тяжело реализуем.

6 Шаг. Межсетевые экраны (МСЭ), они же файерволы (firewalls), они же брэндмауэры. Их нужно обязательно устанавливать на границах сети. Если ваш компьютер подключен к Интернет напрямую, то МСЭ должен быть включен обязательно. Если компьютер подключен только к локальной сети (ЛВС) и выходит в Интернет и другие сети через серверы, то на этом компьютере МСЭ включать необязательно.

7 Шаг. Разделение сети предприятия на подсети. Сеть удобно разбивать по принципу: один отдел в одной подсети, другой отдел - в другой. На подсети можно делить на физическом уровне (СКС), на канальном уровне (VLAN), на сетевом уровне (не пересекаемые по адресам ip подсети).

8 Шаг. В Windows есть замечательный инструмент по управлению безопасностью больших групп компьютеров - это групповые политики (ГПО). Через ГПО можно настроить компьютеры и серверы так, что заражение и распространение вредоносного ПО станет практически невозможным.

9 Шаг. Терминальный доступ. Поднимите в сети 1-2 терминальных сервера, через которые пользователи будут ходить в Интернет и вероятность заражения их персональных компьютеров упадет до нуля.

10 Шаг. Отслеживание всех запускаемых на компьютерах и серверах процессов и служб. Можно сделать так, чтобы при запуске неизвестного процесса (службы) системному администратору приходило уведомление. Коммерческое ПО, которое умеет это делать, стоит немало, но в некоторых случаях затраты оправданы.

ВЯЧЕСЛАВ МЕДВЕДЕВ , ведущий аналитик отдела развития компании «Доктор Веб»

Процедура внедрения антивирусной защиты

Достаточно часто в момент выбора (а иногда уже и в момент закупки) клиенты интересуются рекомендациями по порядку развертывания антивирусной защиты или этапам замены ранее используемого продукта. В этой статье речь пойдет о том, как правильно организовать процесс

Крайне важный момент. К сожалению, в большинстве случаев контакты по вопросам продаж идут с менеджерами, а вопрос тестирования передается системным администраторам. В результате зачастую рождается отчет, приводящий в изумление даже вендора. Неверные названия продуктов, древние версии, указания на отсутствие функционала, который в действительности имеется уже несколько лет, и т.д. Нужно все переделывать, но поезд уже ушел, да и корпоративная честь мешает сознаться в отсутствии нужной квалификации у своих специалистов.

1) Изучение возможностей решения в ходе тестовых установок систем защиты рабочих станций, файловых серверов, почтовых серверов, а также серверов управления антивирусной защитой. Здесь также есть несколько подводных камней. Как ни странно, но довольно часто заказчики не знают, что им нужно. И ладно бы вопрос касался функционала, это было бы понятно. Зачастую затруднения вызывает даже вопрос о списке используемого в организации ПО, что, в свою очередь, не позволяет сформировать предложения по списку поставляемого ПО.

Вторая проблема связана с тем, что системные администраторы (которые, как правило, и проводят тестирование) хорошо знают используемые продукты, но (естественно) не знают преимуществ и недостатков продукта тестируемого (но при этом ожидают, что подводные камни в случае закупки продукта будут). Соответственно, рекомендуется согласовать с предполагаемым поставщиком список процедур, которые будут реализовываться с помощью закупаемого продукта, и запросить пошаговые инструкции по данному функционалу или, в случае отсутствия таких инструкций, инструкции по тестированию. Это позволит избежать непроизводительного расхода времени на изучение неочевидных вопросов.

2) Проверка действия политик безопасности, сформированных в соответствии с политикой информационной безопасности компании. В связи с тем, что каждый продукт по-своему реализует необходимый компании функционал (например, позволяет или не позволяет использовать произвольный браузер для управления), как список шагов процедуры, так и ее продолжительность могут отличаться. В обычное время это не критично, но в случае вирусного инцидента может быть дорога каждая секунда.

3) Проверка совместимости ПО Dr.Web и ПО, используемого в компании. Несовместимость ПО встречается нечасто, но не учитывать такую вероятность нельзя. Поэтому данный шаг также является обязательным в ходе тестирования предлагаемого продукта.

4) Уточнение плана развертывания ПО Dr.Web по итогам тестовых установок в соответствии со структурой корпоративной сети компании и графиком работы сотрудников.

а) Уточнение времени развертывания компонентов ПО Dr.Web в условиях локальной сети компании. Достаточно часто в ходе закупки задают вопрос о времени, требуемом для развертывания. Практика показывает, что в подавляющем большинстве случаев продолжительность развертывания зависит исключительно от специалистов компании. Согласно той же практике достаточно выходных для полного перевода компании с одной системы защиты на другую при количестве станций, приближающемся к тысяче.

б) Выбор типа развертывания ПО Dr.Web на локальных станциях и файловых серверах (политика AD, запуск дистрибутивов локально, сканирование сети на незащищенные станции и пр.). В зависимости от пропускной способности сети, наличия Active Directory, требований по защите филиалов и удаленных сотрудников компания может выбрать самые разные варианты развертывания (см. рис. 1).

в) Выбор порядка и времени развертывания ПО в соответствии со структурой корпоративной сети компании и графиком работы сотрудников. Крайне важно обеспечить непрерывность работы компании во время развертывания системы защиты. По закону подлости именно в момент отсутствия защиты могут произойти самые страшные заражения.

Пример схемы развертывания инсталляции антивируса в сети предприятия представлен на рис. 2.

5) Обучение администраторов безопасности компании приемам работы с ПО.

6) Отработка процедур, связанных с удалением используемого антивирусного ПО и установкой ПО.

Как ни странно, удаление используемого антивируса вызывает очень много вопросов. Заказчики требуют, чтобы устанавливаемый антивирус удалял ранее используемый. К сожалению, в большинстве случаев это невозможно. Система самозащиты антивируса, рассчитанная на противодействие злоумышленникам, препятствует его удалению кем-либо.

а) Выработка мер защиты на период отсутствия антивирусного ПО на элементах сети компании. Как вариант, можно на данный период развернуть проверку всего входящего трафика на шлюзе и запретить использование сменных носителей.

7) Проверка локальной сети (защищаемых станций и серверов) на наличие сервисов, необходимых для развертывания ПО в сети компании. В случае необходимости – корректировка правил файерволов, используемых в сети компании. Этот пункт также вызывает затруднения. Как ни странно, но никакой продукт не может сконденсироваться на защищаемом компьютере из воздуха. В зависимости от выбранного типа развертывания необходимо открыть те или иные порты, включить требуемые сервисы и т.д.

Иногда именно ограничения по используемым портам и сервисам, действующие в компании, служат основанием для выбора типа развертывания.

8) Утверждение плана-графика развертывания в сети компании. Доведение плана-графика до сотрудников компании в части, их касающейся. Сотрудники компании должны знать (в части, их касающейся) о проводимых в компании мероприятиях. Специалисты компании в рамках проводимых мероприятий должны иметь возможность оперативно получить доступ к необходимым компьютерам и помещениям. Зачастую без санкции соответствующего руководителя это невозможно.

Замена антивирусного ПО в сети компании

1) Подготовка необходимого ПО в зависимости от выбранного типа развертывания. Вполне очевидно, что для различных ОС, типов приложений и т.д. используются различные дистрибутивы.

Установка серверов иерархической сети, узлов кластера, а также, если нужно, необходимой базы данных (см. рис. 3).

Развертывание системы резервирования серверов Dr.Web (см. рис. 4). Любой сервер может упасть. Но падение антивирусного сервера приводит к прекращению обновлений защищаемых станций. Поэтому резервирование антивирусных серверов является насущно необходимым.

Настройка групп и политик.
В случае необходимости – назначение отдельных администраторов группы пользователей и ограничение прав данных администраторов в соответствии с политикой, действующей в компании.
Проведение требуемых мероприятий в зависимости от выбранной политики развертывания. Например, настройка AD.

2) Сканирование сети компании сетевой утилитой Dr.Web CureNet! на наличие не известных ранее вредоносных программ (см. рис. 5). К сожалению, нельзя гарантировать, что на ПК, на котором предполагается проводить установку, отсутствуют вредоносные программы. Естественно, установка на зараженную машину возможна, но всегда существует шанс, что работающая вредоносная программа имеет функционал, направленный на противодействие установке антивируса. Как минимум это выбьет из графика процесс развертывания защиты, поэтому поверку на наличие вредоносного ПО лучше провести незадолго до установки.

Установка системы защиты рабочих станций и файловых серверов в соответствии с настройками, сделанными на предыдущем этапе.
Установка системы защиты почтовых серверов, шлюзов сети Интернет.

5) Эксплуатация программного обеспечения в течение тестового периода.

6) Проведение обновлений ПО в соответствии с политикой, действующей в компании.

7) Проведение периодических проверок защищаемых рабочих станций, файловых и почтовых серверов (см. рис. 7).