Аудит внутренних операций сервера разрешает ведение журнала аудита внутренних операций Сервера и запись журнала в БД.
На вкладке Общие вы также можете изменять состояние следующих флагов:
-
Показывать доменные имена предписывает программе заносить в файл протокола не IP-адреса рабочих станций, а их доменные имена.
-
Заменять NetBios-имена предписывает отображать в каталоге антивирусной сети Центра управления не наименования рабочих станций, а их доменные имена (при невозможности определения доменных имен отображаются IP-адреса).
Внимание!
-
Флаги Показывать доменные имена и Заменять NetBios-имена по умолчанию сняты. При неправильной настройке службы DNS их включение может значительно замедлить работу Сервера. При включении любого из этих режимов рекомендуется разрешить кеширование имен на DNS-сервере.
-
Если флаг Заменять NetBios-имена установлен, и в антивирусной сети используется Прокси-сервер, то для всех станций, подключенных к Серверу через Прокси-сервер, в Центре управления в качестве названий станций будет отображаться название компьютера, на котором установлен Прокси-сервер.
-
Синхронизировать описания станций — предписывает синхронизацию описания компьютера пользователя с описанием станции в Центре управления. Если описание станции в Центре управления отсутствует, то в данное поле будет записано описание компьютера на стороне пользователя. Если описания различаются, то данные в Центре управления будут заменены на пользовательские.
-
Аудит действий администраторов
Журнал аудита содержит информацию о действиях администраторов локальной сети. Таким образом, в случае необходимости возможности Веб-интерфейса позволяют проверить все проведенные администраторами сети действия. Журнал можно отобразить в Веб-интерфейсе, перейдя в раздел Администрирование и выбрав пункт Журнал аудита. Диапазон дат можно задать, используя значки календаря слева от дат, расположенных непосредственно над журналом.
-
Анализ выполнения заданий
Протокол выполнения заданий содержит отчет об успешности или неуспешности выполнения заданий, запланированных к выполнению антивирусным сервером. Его можно отобразить в Веб-интерфейсе, если перейти в раздел Администрирование и выбрать пункт Протокол выполнения заданий. Диапазон дат можно задать, используя значки календаря слева от дат, расположенных непосредственно над журналом.
-
Создание отчетов по компонентам
В случае необходимости администратор может автоматизировать создание отчетов по каждому из компонентов антивирусной защиты, указывая при этом интересующую его степень подробности отчета. Для этого необходимо выбрать интересующий компонент защиты в группе Конфигурация.
-
Управление серверным карантином
Для управления содержимым серверного карантина необходимо выбрать в меню Антивирусная сеть интересующую станцию или группу и затем пункт Карантин, находящийся в разделе Общие.
Внимание! Для управления Карантином с сервера необходимо, чтобы станции с установленным модулем Карантина работали под ОС, на которые возможна установка SpIDer Guard G3: Windows 2000 с SP4 и Update Rollup1, Windows XP с SP2 и выше, Windows 2003 с SP1 и выше, Windows Vista и выше.
Если была выбрана одна станция, то будет отображена таблица с объектами, находящимися в карантине данной станции, если было выбрано несколько станций, группа или несколько групп, то будет отображен набор таблиц, содержащих объекты карантина каждой станции в отдельности.
Если необходимо найти объекты, попавшие в карантин в определенный момент времени, то этот период можно указать, используя значки . После выбора интересующего периода необходимо нажать на кнопку Обновить.
В базу Карантина может быть перемещен любой зараженный или подозрительный объект. Для каждого объекта, перемещенного в Карантин, фиксируется следующая информация:
-
дата и время перемещения в Карантин;
-
название вируса;
-
(в случае необходимости) электронный адрес отправителя письма, содержавшего зараженный объект;
-
тема письма, содержавшего зараженный объект;
-
электронные адреса получателей письма, содержавшего зараженный объект;
-
имя зараженного файла.
Для восстановления файлов необходимо, предварительно выбрав станцию в разделе Антивирусная сеть и перейдя в раздел Карантин, выбрать интересующий файл или группу файлов, а затем выбрать значок и в выпадающем меню указать один из вариантов:
-
восстановить первоначальное местоположение файла на компьютере (восстановить файл в папку, в которой он находился до перемещения);
-
переместить файл в папку, указанную администратором.
Для удаления выбранных файлов из карантина необходимо выбрать значок .
Для сканирования выбранных файлов — .
Для отправки выбранных файлов с рабочей станции на сервер для дополнительного анализа необходимо использовать кнопку (Экспорт).
-
Резервное копирование критичных данных сервера
Резервная копия критичных данных сервера (содержимого базы данных, лицензионного ключевого файла Сервера, закрытого ключа шифрования, конфигурационного файла и Веб-интерфейса) создается с помощью следующей команды:
drwcsd -home=<путь> backup [<каталог> [<количество>]]
При этом критичные данные копируются в указанный каталог. Параметр home задает каталог установки сервера, <количество> — количество сохраняемых копий одного и того же файла.
Пример для Windows:
C:\Program Files\DrWeb Enterprise Server\bin>drwcsd -home="C:\Program Files\DrWeb
Enterprise Server" backup C:\a
Резервные копии сохраняются в формате .dz, совместимом с gzip и другими архиваторами. После распаковки все файлы, кроме содержимого БД, готовы к использованию. Содержимое БД, сохраненное в резервной копии, можно импортировать в другую БД сервера при помощи ключа importdb и таким образом восстановить данные.
Сервер регулярно сохраняет резервные копии важной информации в \var\Backup рабочего каталога. Для этого в расписание включено ежедневное задание, выполняющее эту функцию. Если такое задание в расписании отсутствует, рекомендуется создать его.
Процедура восстановления сервера подробно описана в документации по продукту.
-
Восстановление забытого пароля
В случае если пароль администратора для доступа к ES-серверу забыт, то есть возможность его просмотра или изменения на любой желаемый с использованием прямого доступа к базе данных сервера.
Параметры учетных записей администраторов хранятся в таблице admins. В случае если используется внутренняя база, то необходимо применять утилиту drwidbsh, входящую в поставку сервера. Если используется внешняя база, то необходимо использовать sql-клиент.
Изменение пароля администратора при помощи утилиты drwidbsh
Запустите утилиту и укажите путь до файла базы:
Для ОС Linux:
/opt/drwcs/bin/drwidbsh /var/opt/drwcs/dbinternal.dbs
Для ОС FreeBSD
/usr/local/drwcs/bin/drwidbsh /var/opt/drwcs/dbinternal.dbs
Для Windows:
"C:\Program Files\DrWeb Enterprise Server\bin\drwidbsh" "C:\Program Files\DrWeb Enterprise Server\var\dbinternal.dbs"
Чтобы увидеть все данные, хранящиеся в таблице admins, необходимо выполнить команду:
select * from admins;
Чтобы увидеть пароли для имеющихся учетных записей администраторов, необходимо выполнить команду:
select login,password from admins;
Результат для варианта, когда существует только одна учетная запись "admin" и у нее пароль "root":
Для изменения пароля используется команда update. Пример изменения пароля от учетной записи "admin" на "qwerty":
update admins set password='qwerty' where login='admin';
Для выхода из утилиты требуется ввести команду
.exit
Описание работы утилиты drwidbsh можно найти в онлайн-документации по ссылке http://support.drweb.com/esuite/doc_ru/es_ru.html?h6.htm.
-
Иерархия серверов
В случае необходимости администратор имеет возможность организации иерархии серверов Enterprise Suite. Использование иерархии серверов позволяет не только экономить трафик, но и гибко распределять нагрузку между серверами.
Dr.Web Enterprise Security Suite позволяет организовать два типа связей между серверами: связь типа главный-подчиненный, при которой главный передает подчиненному обновления и получает обратно информацию о событиях, и связь между равноправными, при которой направления передачи и типы информации настраиваются индивидуально.
Внимание! Каждый из входящих в сеть серверов должен использовать индивидуальные ключи enterprise.key.
-
Соединение главного и подчиненного ES-серверов
Проверьте, что все серверы имеют имена. Для того чтобы дать серверу имя, в пункте Конфигурация Dr.Web® Enterprise Server раздела Администрирование заполните поле Название и нажмите Сохранить.
Включите на обоих серверах серверный протокол. Для этого в пункте Конфигурация Dr.Web® Enterprise Server раздела Администрирование перейдите на закладку Модули и установите флаг Протокол Dr.Web® Enterprise Server.
Нажмите Сохранить и перезапустите оба сервера, ответив Да на запрос подтверждения,
либо используя значок пункта Dr.Web® Enterprise Server меню Администрирование.
Выберите в разделе Администрирование пункт Связи. Откроется окно, содержащее иерархический список серверов антивирусной сети, «соседних» с данным. Для того чтобы добавить сервер в этот список, выберите в контекстном меню любого элемента или группы элементов пункт Создать связь. Откроется окно описания связей между текущим и добавляемым серверами.
Выберите тип Главный. В поле Название введите название главного для данного сервера, в поле Пароль введите произвольный пароль для доступа к нему. Справа от поля Ключ нажмите на кнопку и укажите ключ drwcsd.pub, относящийся к главному серверу, а в поле Адрес введите его адрес. Нажмите на кнопку Сохранить.
В результате главный сервер попадет в папки Главные и Отключенные. Аналогично добавьте подчиненный сервер в список соседних серверов главного сервера через его Веб-интерфейс. Поле Адрес заполнять не нужно. Пароль должен быть указан тот же, что и в первом случае. В результате подчиненный сервер будет включен в папки Подчиненные и Отключенные.
Установление связи занимает порядка минуты. Для проверки периодически обновляйте список серверов. После установления связи подчиненный сервер перейдет из папки Отключенные в папку Подключенные.
Просмотреть информацию и работе других серверов можно, используя пункт Данные других серверов меню Администрирование. Выведенная таблица содержит сведения об обнаруженных инфекциях, ошибках сканирования, статистики, сетевых инсталляциях, запуске и завершении заданий.
-
Управление защитой почтовых сервисов под ОС семейства Unix
-
Подключение почтового сервиса к комплексу Dr.Web Enterprise Security Suite
Подключить почтовый сервер к Dr.Web Enterprise Security Suite можно, создав учетную запись на сервере автоматически или вручную. Ниже будет рассмотрено автоматическое подключение.
Для запуска установленного продукта Dr.Web для почтовых серверов Unix в режиме Enterprise необходимо вручную внести изменения в локальные конфигурационные файлы компонентов Агент и Монитор. Для этого:
Зайдите на сервер, на котором установлен почтовый сервис (например, с помощью утилиты pytty).
Откройте для редактирования (например, с помощью редактора vi) файл /etc/drweb/agent.conf и отредактируйте параметры UseEnterpriseMode и PublicKeyFile. Параметр PublicKeyFile должен указывать путь к файлу drwcsd.pub, созданному в процессе инсталляции ES-сервера. В том случае, если сервис проверки почты развернут на одном сервере с Dr.Web Enterprise Security Suite, в данном параметре можно указать путь к месторасположению данного файла; в том случае, если сервисы расположены на разных серверах, файл необходимо скопировать:
UseEnterpriseMode = Yes;
PublicKeyFile = /opt/drwcs/Installer/drwcsd.pub
Параметры ServerHost и ServerPort должны содержать соответственно IP-адрес или имя хоста ESS-сервера и номер порта этого сервера (по умолчанию 2193). Если сервис проверки почты развернут на ESS-сервере, то можно оставить значения по умолчанию:
ServerHost = 127.0.0.1
ServerPort = 2193
.
Аналогичным способом откройте для редактирования файл /etc/drweb/monitor.conf и установите UseEnterpriseMode = Yes.
Значения ENABLE в файлах /etc/drweb/drwebd.enable и /etc/drweb/drweb-monitor.enable должны быть установлены в 1.
Перезапустите сервис:
/etc/init.d/drweb-monitor start
После подключения ESS-сервер автоматически не импортирует настройки подключенных компонентов. Если в эти настройки были внесены какие-либо изменения, их необходимо экспортировать на сервер с использованием параметра командной строки — export-config (или -e) с обязательным указанием названия компонента (DAEMON, MAILD):
/opt/drweb/drweb-agent –exportconfig MAILD
Внимание! При первом запуске в режиме ESS-агент запрашивает регистрационные данные (идентификатор станции и пароль) у ESS-сервера. Если в Dr.Web Enterprise Security Suite установлен режим Ручное подтверждение доступа, действующий по умолчанию, то администратору в течение одной минуты с момента запроса необходимо подтвердить регистрацию добавляемого сервера через Веб-интерфейс Центра управления Dr.Web Enterprise Security Suite. Для подтверждения выберите пункт Неподтвержденные станции в меню Администрирование, отметьте сервер и нажмите на значок или .
Через Веб-интерфейс можно управлять настройкой компонентов Dr.Web Mail Daemon и Dr.Web Daemon (антивирусного модуля, входящего в базовый пакет Dr.Web). При запуске какого-либо из компонентов Агент запрашивает конфигурацию от Enterprise Сервера.
Для сохранения введенных параметров необходимо нажать кнопку Сохранить.
-
Запуск почтового сервиса из Dr.Web Enterprise Security Suite
Для запуска необходимо:
Через Веб-интерфейс в настройках Монитора компонентов Dr.Web для Unix установить флаги Daemon и Maild для запуска соответствующих компонентов комплекса.
Запустить сервис на локальной станции командой /etc/init.d/drweb-monitor start.
Проверить наличие сервиса можно командой ps ax.
-
Установка Dr.Web NAP Validator, проверка соответствия рабочих станций установленным политикам и контроль доступа к сети
Выбрав пункт Dr.Web® Enterprise Agent для Windows, в меню Антивирусная сеть необходимо отметить пункт Microsoft Network Access Protection для включения поддержки технологии Microsoft® Network Access Protection, использующейся для мониторинга состояния станций.
После инсталляции Dr.Web NAP Validator на компьютере с установленным NAP-сервером, необходимо открыть компонент настройки сервера NAP командой nps.msc, выбрать в разделе Policies подпункт Health Policies и в открывшемся окне открыть свойства элементов NAP DHCP Compliant. В окне настроек необходимо установить флаг Dr.Web System Health Validator, а в выпадающем списке типа проверок указать пункт Client passed all SHV checks. Согласно данной опции станция будет объявлена работоспособной, если она соответствует всем элементам заданной политики.
-
Настройка антивирусной защиты на стороне пользователя
-
Настройка языка интерфейса
Для смены языка выберите в контекстном меню значка агента пункт меню Язык. В выпадающем списке укажите необходимый язык интерфейса.
-
Обновления
В случае необходимости и при наличии соответствующих прав пользователь может самостоятельно обновить антивирусные базы. Для запуска обновления необходимо выбрать пункт контекстного меню Синхронизировать и в появившемся меню указать Только сбойные компоненты или Все компоненты.
Изменение уровня подробности протокола событий
Изменение уровня протокола осуществляется при помощи пункта контекстного меню Настройки Уровень протокола.
Данный пункт доступен в меню только при наличии у пользователя прав, позволяющих изменять данные настройки, и прав администратора на данном компьютере.
Внимание! Служба обновления может не запукаться, если установленный язык системы для программ, не поддерживающих Unicode, не соответствует языку, используемому в путях установки Агента и антивирусного пакета. Для устранения проблемы необходимо установить соответствующий язык системы для программ, не поддерживающих Unicode
-
Изменение списка разрешенных компонентов на рабочей станции
Пользователь всегда может изменить список действующих у него на компьютере компонентов защиты — остановить и запустить их. Для выполнения этих действий он должен выбрать значок в панели задач и снять флаг слева от названия компонента.
.
Внимание! Часть пунктов может быть недоступна для редактирования. Доступность настроек для редактирования определяется правами, определенными для группы или конкретной станции.
Для того чтобы настройки компонентов были доступны для пользователя, их надо разрешить для данной станции или группы в разделе Права.
Для подтверждения своих действий пользователь должен ввести код из появившегося окна.
-
Антивирусная проверка станции. Выбор приоритета сканирования
Рекомендуется сразу после инсталляции провести полную проверку системы. Рекомендуется также проводить такую проверку регулярно. В частности это необходимо в связи с тем, что проверенные файловым монитором и записанные на диск файлы (в том числе сохраненные в архивы) могут содержать вирусы, неизвестные на момент их записи на диск, а значит, при передаче их на незащищенные компьютеры возникает риск их заражения.
Для проведения проверки необходимо щелкнуть правой кнопкой мыши на иконке Dr.Web и выбрать пункт Сканер, либо дважды щелкнуть по иконке , находящейся на рабочем столе.
Внимание! По умолчанию для тестовой среды доступ в сеть интернет закрыт. В связи с этим часть вирусов из тестовых коллекций может не обнаруживаться. Для проведения тестирования на качество детектирования на основе коллекций, содержащих актуальные вредоносные файлы необходимо либо провести обновление вручную либо при заказе тестирования указать необходимость доступа в сеть Интернет для проведения обновлений
Внимание! Если вы используете Windows 7, то далее вам нужно будет подтвердить запуск программы, нажав на Yes.
-
Антивирусная проверка Сканером NT4
После завершения загрузки сканера, в ходе которой производится быстрая проверка областей системы, наиболее подверженных заражению, в главном окне необходимо выбрать нужный тип проверки — полный или выборочный.
В случае выборочного типа проверки в окне сканера будут показаны все имеющиеся диски системы. Пользователь может отметить для проверки весь диск целиком или отдельные каталоги. Выбор осуществляется щелчком левой кнопкой мыши по интересующей папке. Помеченные для проверки каталоги помечаются значком .
Пользователь может как запустить проверку с настройками по умолчанию, так и изменить предложенные настройки. В первом случае он должен просто щелкнуть на кнопке . Для изменения настроек необходимо выбрать пункт меню Настройки и затем подменю Изменить настройки, или просто нажать кнопку F9, находясь в окне сканера.
На закладке Проверка можно уточнить список проверяемых каталогов, задав исключаемые из проверки папки и файлы. Это можно сделать, нажав на значок и выбрав их из появившегося дерева каталогов. Для добавления выбранной папки необходимо нажать на кнопку Добавить.
На этой же закладке пользователь может выбрать — использовать ли при проверке эвристический анализ или нет. Использование эвристического анализа позволяет находить вредоносные файлы, не занесенные в вирусные базы, однако замедляет процесс проверки.
На закладке Типы файлов уточняется список проверяемых файлов. Пользователь может сделать это, выбрав пункты Выбранные типы или Заданные папки. Отредактировать списки можно с помощью кнопок Добавить и Удалить. Пользователь всегда может вернуться к настройкам по умолчанию, нажав кнопку Базовый.
По умолчанию в ходе проверки сканер не проверяет архивы и почтовые файлы, так как их проверка занимает много времени, а вредоносные файлы из них могут быть запущены только после обработки архиваторами или почтовыми программами, в ходе чего они будут обнаружены специализированными компонентами. Однако если пользователь желает проверять эти форматы, он можете отметить их, выбрав соответствующие пункты.
Достарыңызбен бөлісу: