Главная страница

3. Dr.Web Enterprise Security Suite Версия 12.0 от 23.09.21. Руководство администратора Доктор Веб


Скачать 4.42 Mb.
НазваниеРуководство администратора Доктор Веб
Анкорdr.web
Дата11.05.2023
Размер4.42 Mb.
Формат файлаpdf
Имя файла3. Dr.Web Enterprise Security Suite Версия 12.0 от 23.09.21.pdf
ТипРуководство
#1121367
страница10 из 38
1   ...   6   7   8   9   10   11   12   13   ...   38
Глава 6: Администраторы антивирусной сети
Элемент Центра
управления
Элементы файла auth-pam.xml
Описание
Тег
Атрибут
Допустимые
значения
контекста. PAM может считать политики для данного сервиса из /etc/pam.d/<имя сервиса> или из /etc/pam.conf, если файл не существует.
Если параметр не задан (нет тега
<
service
>
в конфигурационном файле), то по умолчанию используется имя drwcs.
Флаг
Управляющий
флаг обязателен
<
admin-
flag
>
mandatory yes | no
Параметр, определяющий, является ли обязательным управляющий флаг для идентификации пользователя как администратора.
По умолчанию — yes.
Поле Название
управляющего
флага
<
admin-
flag
>
name
-
Ключ-строка, по которой у PAM- модулей будет прочитан флаг.
По умолчанию —
DrWeb_ESuite_Admin
При настройке работы модулей PAM-аутентификации, используйте параметры,
задаваемые на стороне Dr.Web Enterprise Security Suite, в том числе учитывайте значения,
присваиваемые по умолчанию, даже если параметр не был задан.
6.1.5. Аутентификация с использованием Active Directory
Чтобы включить аутентификацию через Active Directory
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В управляющем меню выберите раздел Аутентификация.
3. В открывшемся окне зайдите в раздел Microsoft Active Directory.
4. Установите флаг Использовать аутентификацию Microsoft Active Directory.
5. Нажмите кнопку Сохранить.
6. Для принятия изменений перезагрузите Сервер.
При аутентификации администраторов из Active Directory в Центре управления настраивается только разрешение использования данного метода аутентификации.

Руководство администратора
106
Глава 6: Администраторы антивирусной сети
Редактирование свойств администраторов Active Directory осуществляется вручную на сервере Active Directory.
Чтобы отредактировать администраторов Active Directory
Следующие операции необходимо выполнять на ПК, где присутствует оснастка для администрирования Active Directory.
1. Для возможности редактирования параметров администраторов необходимо выполнить следующие операции:
a) Для модификации схемы Active Directory запустите утилиту drweb-
<версия_пакета>-<сборка>-esuite-modify-ad-schema-<версия_ОС>.exe
(входит в дистрибутив Сервера Dr.Web).
Модификация схемы Active Directory может занять некоторое время. В
зависимости от конфигурации вашего домена, для синхронизации и применения модифицированной схемы может потребоваться до 5 минут и более.
Если ранее была произведена модификация схемы Active Directory с использованием данной утилиты от 6 версии Сервера, нет необходимости повторно выполнять модификацию с использованием утилиты от 12.0 версии Сервера.
b) Для регистрации оснастки Active Directory Schema (Схема Active Directory)
выполните с административными полномочиями команду regsvr32
schmmgmt.dll
, после чего запустите mmc и добавьте оснастку Active Directory
Schema.
c) Используя добавленную оснастку Active Directory Schema, добавьте к классу User и
(если необходимо) к классу Group вспомогательный класс DrWebEnterpriseUser и дополнительный атрибут DrWebAdmin.
Если применение модифицированной схемы еще не завершилось, класс
DrWebEnterpriseUser может быть не найден. В таком случае подождите некоторое время и повторите попытку согласно п. с).
d) С административными полномочиями запустите файл drweb-<версия_пакета>-
<сборка>-esuite-aduac-<версия_ОС>.msi (входит в дистрибутив Dr.Web
Enterprise Security Suite 12.0) и дождитесь окончания установки.
2. Графический интерфейс для редактирования атрибутов доступен на панели управления Active Directory Users and Computers → в разделе Users → в окне редактирования свойств выбранного пользователя Administrator Properties → на вкладке Dr.Web Authentication.
3. Для редактирования доступен следующий параметр (значение атрибута может быть
yes, no или not set):
User is administrator — указывает на то, что пользователь — полноправный администратор.

Руководство администратора
107
Глава 6: Администраторы антивирусной сети
Алгоритмы принципа работы и разбора атрибутов при аутентификации приведены в документе Приложения, в
Приложении В1
6.1.6. Аутентификация с использованием LDAP
Данный раздел доступен для настройки через Центр управления только при обновлении Сервера с предыдущей версии. После отключения данного типа аутентификации ее раздел будет исключен из настроек Центра управления.
При первичной установке Сервера данный раздел недоступен.
Чтобы включить аутентификацию через LDAP
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В управляющем меню выберите раздел Аутентификация.
3. В открывшемся окне зайдите в раздел LDAP-аутентификация.
4. Установите флаг Использовать LDAP-аутентификацию.
5. Нажмите кнопку Сохранить.
6. Для принятия изменений перезагрузите Сервер.
Настройка аутентификации с использованием LDAP-протокола возможна на любом
LDAP-сервере. Также с использованием этого механизма можно настроить Сервер под
ОС семейства UNIX для аутентификации в Active Directory на доменном контроллере.
Настройки LDAP-аутентификации сохраняются в файле конфигурации auth- ldap.conf
Описание основных xml-атрибутов аутентификации приведено в документе
Приложения, в
Приложении В2
В отличие от Active Directory, механизм можно настроить на любую схему LDAP. По умолчанию осуществляется попытка использования атрибутов Dr.Web Enterprise Security
Suite, как они определены для Active Directory.
Процесс аутентификации LDAP сводится к следующему:
1. Адрес LDAP-сервера задается через Центр управления или в конфигурационном xml- файле.
2. Для заданного имени пользователя выполняются следующие действия:
·
Осуществляется трансляция имени в DN (Distinguished Name) с использованием
DOS-подобных масок (с использованием символа *), если правила заданы.

Руководство администратора
108
Глава 6: Администраторы антивирусной сети
·
Осуществляется трансляция имени в DN с использованием регулярных выражений,
если правила заданы.
·
Используется пользовательский скрипт трансляции имен в DN, если он задан в настройках.
·
В случае, если не подошло ни одно из правил преобразования, заданное имя используется как есть.
Формат задания имени пользователя никак не определяется и не фиксируется — он может быть таким, как это принято в данной организации, т. е. принудительная модификация схемы LDAP не требуется. Преобразование под данную схему осуществляется с использованием правил трансляции имен в LDAP DN.
3. После трансляции, как и в случае с Active Directory, с помощью полученного DN и введенного пароля осуществляется попытка регистрации данного пользователя на указанном LDAP-сервере.
4. Затем, так же как и в Active Directory, читаются атрибуты LDAP-объекта для полученного DN. Атрибуты и их возможные значения могут быть переопределены в конфигурационном файле.
5. Если остались неопределенные значения атрибутов администратора, то в случае задания наследования (в конфигурационном файле), поиск нужных атрибутов по группам, в которые входит пользователь, ведется также, как в случае с использованием Active Directory.
6.2. Администраторы и административные группы
Чтобы открыть раздел управления административными учетными записями
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В управляющем меню выберите раздел Администраторы. Откроется список всех администраторов Сервера.
Раздел Администраторы доступен всем администраторам Центра управления. Однако полное иерархическое дерево администраторов доступно только администраторам из группы Administrators, для которых разрешено право Просмотр свойств и
конфигурации групп администраторов. Для остальных администраторов в иерархическом дереве будет отображаться только собственная группа и ее подгруппы с входящими в них учетными записями.
На панели инструментов раздела Администраторы доступны следующие опции:
Создать учетную запись
Создать группу
Удалить выбранные объекты
Изменить пароль

Руководство администратора
109
Глава 6: Администраторы антивирусной сети
Распространить права администратора
6.2.1. Иерархия администраторов
Иерархический список администраторов отображает древовидную структуру административных групп и учетных записей администраторов. Узлами данной структуры являются административные группы и входящие в них администраторы. Каждый администратор входит только в одну группу. Уровень вложенности групп не ограничен.
Предустановленные группы
После установки Сервера автоматически создаются две группы:
·
Administrators. Изначально в группу входит только администратор admin с полным набором прав, автоматически создаваемый при установке Сервера (см. ниже).
·
Newbies. Изначально группа пуста. В эту группу автоматически перемещаются администраторы с внешним типом аутентификации через LDAP, Active Directory и
RADIUS.
Администраторам из группы Newbies по умолчанию назначаются права только на чтение.
Предустановленные администраторы
После установки Сервера автоматически создается одна учетная запись администратора:
Параметр
Значение
Регистрационное имя
admin
Пароль
Задается при установке Сервера (
шаг 9 в процедуре установки
).
Права
Полный набор прав.
Редактирование учетной записи
Права администратора нельзя редактировать, самого администратора невозможно удалить.
Отображение иерархических списков
·
В иерархическом списке антивирусной сети: администратор видит только те пользовательские группы, которые разрешены в праве Просмотр свойств групп
станций. Все системные группы также отображаются в дереве антивирусной сети, но в них видны только станции из указанного списка пользовательских групп.
·
В иерархическом списке администраторов: администратор из группы Newbies видит дерево, корнем которого является группа, в которой он находится, т. е. видит

Руководство администратора
110
Глава 6: Администраторы антивирусной сети
администраторов из своей группы и её подгрупп. Администратор из группы
Administrators видит всех администраторов, независимо от их групп.
6.2.2. Права администраторов
Все действия администраторов в Центре управления ограничиваются набором прав,
который может быть определен как для отдельной учетной записи, так и для группы администраторов.
Система административных прав включает следующие возможности управления правами:
·
Назначение прав
Назначение прав осуществляется при создании администратора или административной группы. Права наследуются от родительской группы, в которую администратор или административная группа помещаются при создании. При создании возможность изменения прав не предоставляется.
·
Наследование прав
По умолчанию права администраторов и административных групп наследуются от родительской группы, но наследование может быть отключено.
ъ Если наследование отключено, администратор использует независимый набор персональных прав, который задается непосредственно для его учетной записи.
Права родительской группы при этом не учитываются.
ъ При наследовании прав администратора или группы осуществляется не переназначение правами родительской группы, а перерасчет назначенного права исходя из всех прав родительских групп вверх по иерархическому дереву. Таблица для расчета результирующего права объекта в зависимости от назначенных прав и прав родительской групп приведена в п.
Объединение прав
·
Редактирование прав
При создании администраторов и административных групп возможность редактирования прав не предоставляется. Редактирование прав доступно только для уже созданных объектов и осуществляется в разделе настроек учетной записи или группы. При редактировании собственных настроек допускается только понижение прав. Редактирование прав предустановленного администратора admin и предустановленных групп Administrators и Newbies не предоставляется.
Процедура редактирования прав приведена в разделе
Редактирование прав

Руководство администратора
111
Глава 6: Администраторы антивирусной сети
Редактирование прав
Чтобы отредактировать права администратора или административной группы
1. Выберите пункт Администрирование главного меню Центра управления, в открывшемся окне выберите пункт управляющего меню Администраторы.
2. В списке администраторов выберите учетную запись, которую вы хотите отредактировать. Откроется раздел редактирования свойств.
3. В подразделе Права вы можете отредактировать список разрешенных действий для выбранного администратора или административной группы.
4. Для управления наследованием прав выбранного объекта от родительской группы используйте переключатель:
Наследование включено
Наследование выключено
5. Основные настройки задаются в таблице прав:
a) В первом столбце приведены названия прав. Заголовок столбца зависит от конкретной секции, объединяющей права по типам.
Краткое описание прав администраторов и разделов Центра управления, за которые отвечают конкретные права, приведено в документе Приложения, в
Приложении В4.
Подведомственные разделы прав b) В столбце Права приведены настройки для соответствующих прав из первого столбца.
Объекты управления
Список настроек в столбце
Права
Принцип задания права
Право задается для всех объектов
Право не подразумевает разделение на группы по объектам управления.
Может быть приведен один из следующих типов прав:
·
Персональное — для данного объекта заданы собственные настройки.
·
Наследуемое
настройки унаследованы от родительской группы.
Установите/снимите флаг
Предоставить в строке соответствующего права.
Право задается для списка объектов (станций, администраторов или групп)
·
Предоставлено всё — право предоставлено для всех объектов управления.
В случае объединения настроек приводятся
Нажмите на список объектов (в том числе, если задан вариант Все).
Откроется окно с деревом

Руководство администратора
112
Глава 6: Администраторы антивирусной сети
Объекты управления
Список настроек в столбце
Права
Принцип задания права
·
Запрещено всё — право запрещено для всех объектов управления.
·
Предоставлено для
некоторых объектов. При этом должен быть задан список объектов, для которых данное право предоставлено. Для всех остальных объектов право считается запрещенным.
·
Запрещено для некоторых
объектов. При этом должен быть задан список объектов,
для которых данное право запрещено. Для всех остальных объектов право считается предоставленным.
одновременно следующие типы прав:
·
Персональное
собственные настройки,
заданные для данного объекта.
·
Результирующее
результат слияния персонального права объекта и права родительской группы.
В случае наследования настроек приводится только тип права Наследуемое.
антивирусной сети, деревом групп администраторов или деревом тарифов в зависимости от редактируемого права. Выберите нужные объекты в дереве. Для выбора нескольких объектов используйте кнопки CTRL и SHIFT.
При необходимости установите флаг
Для всех прав секции, чтобы применить данные настройки для всех прав, приведенных в той же секции, что и редактируемое.
Нажмите кнопку:
·
Предоставить для разрешения права на выбранные объекты.
·
Запретить для запрещения права на выбранные объекты.
Для одного и того же права, задаваемого на список объектов, не могут быть заданы одновременно списки запрещенных и разрешенных объектов. Данные понятия являются взаимоисключающими.
c) В столбце Наследование отражено состояние данного права относительно родительской группы:
ъ Наследование от группы — включено наследование от указанной родительской группы, персональные права не заданы.
ъ Персональные настройки — наследование от родительской группы отключено,
заданы персональные права.
ъ Объединение с группой — включено наследование от указанной родительской группы, персональные права заданы. Результирующее право объекта рассчитано путем объединения прав родительской группы и персональных прав (см. п.
Объединение прав
).
В этом случае персональные права объекта можно удалить. Для этого нажмите кнопку в столбце Наследование. После удаления персональных прав будет установлено Наследование от группы.

Руководство администратора
113
Глава 6: Администраторы антивирусной сети
Объединение прав
Расчет результирующего права объекта (администратора или группы администраторов)
при включенном наследовании зависит от прав родительских групп и прав, заданных самому объекту. Таблица ниже описывает принцип получения результирующего права объекта:
Право родительской группы
Право рассматриваемого
потомка
Результирующее право
Предоставлено всё
Предоставлено для некоторых объектов
Предоставлено для объектов потомка
Предоставлено для некоторых объектов
Предоставлено для некоторых объектов
Списки разрешенных объектов объединяются
Предоставлено для некоторых объектов
Предоставлено всё
Предоставлено всё
Права родителя и потомка запрещающие, и одно из них запрещает всё
Запрещено всё
Запрещено для некоторых объектов
Запрещено для некоторых объектов
Списки запрещенных объектов объединяются
Запрещено всё
Предоставлено всё
Предоставлено всё
Запрещено для некоторых объектов
Предоставлено всё
Запрещено для объектов родителя
Запрещено для некоторых объектов
Предоставлено для некоторых объектов
Из запрещенных объектов вычитаются разрешенные объекты.
Если после этого список запрещённых объектов не пуст, то результат —
запрещены оставшиеся объекты. В
противном случае результат —
разрешены все объекты потомка
Предоставлено для некоторых объектов
Запрещено всё
Запрещено всё
Предоставлено всё
Запрещено для некоторых объектов
Запрещено для объектов потомка
Предоставлено для некоторых объектов
Запрещено для некоторых объектов
Из разрешенных объектов вычитаются запрещенные объекты.
Если после этого список разрешённых объектов пуст, то результат —
запрещено всё. В противном случае,
результат — разрешены оставшиеся объекты.

Руководство администратора
114
Глава 6: Администраторы антивирусной сети
6.3. Управление учетными записями администраторов и
административными группами
6.3.1. Создание и удаление административных записей и групп
Регистрационное имя администратора должно быть уникальным.
Подключение администраторов через внешние системы аутентификации будет невозможно, если на Сервере уже существует администратор с таким же регистрационным именем.
Добавление администраторов
Для возможности создания учетных записей администраторов необходимо обладать правом Создание администраторов, групп администраторов.
Чтобы добавить новую учетную запись администратора
1. Выберите пункт Администрирование в главном меню Центра управления, в открывшемся окне выберите пункт управляющего меню Администраторы.
2. На панели инструментов нажмите значок
Создать учетную запись. Откроется окно настроек создаваемой учетной записи.
3. В подразделе Общие задайте следующие параметры:
·
В поле Регистрационное имя задайте регистрационное имя администратора,
которое будет использоваться для доступа к Центру управления. Разрешается использовать строчные буквы (a-z), заглавные буквы (A-Z), цифры (0-9), символы "_"
и ".".
·
В полях Пароль и Подтвердите пароль задайте пароль для доступа к Серверу и,
соответственно, к Центру управления.
При задании пароля администратора не допускается использование национальных символов.
Поля для задания пароля активны только для администраторов с внутренней аутентификацией.
Значения данных полей, заданных в Центре управления для администраторов с внешней аутентификацией, не имеют значения.
·
В полях Фамилия, Имя и Отчество можете указать личные данные администратора.

Руководство администратора
115
Глава 6: Администраторы антивирусной сети
·
В выпадающем списке Язык интерфейса выберите язык интерфейса Центра управления, который будет использоваться создаваемым администратором (по умолчанию задан язык веб-браузера или английский).
Если вы выберете язык, тексты интерфейса на котором в данным момент не обновляются, вам будет предложено включить обновление для данного языка. Для этого перейдите по ссылке в раздел Администрирование → Общая конфигурация
репозитория → Сервер Dr.Web → Языки Центра управления безопасностью
Dr.Web, установите флаг для нужного вам языка и нажмите Сохранить. При ближайшем обновлении репозитория тексты интерфейса для выбранного языка будут обновлены. Также вы можете запустить обновление вручную в разделе Состояние
репозитория.
·
В выпадающем списке Формат даты выберите формат, который будет использоваться данным администратором при редактировании настроек,
содержащих даты. Доступны следующие форматы:
ъ европейский: DD-MM-YYYY HH:MM:SS
ъ американский: MM/DD/YYYY HH:MM:SS
·
В поле Описание можете задать произвольное описание учетной записи.
Значения полей, отмеченных знаком
*
, должны быть обязательно заданы.
4. В подразделе Группы задается родительская административная группа. В списке приведены группы, доступные для назначения администратора. Напротив группы,
для которой будет назначен создаваемый администратор, установлен флаг. По умолчанию создаваемые администраторы размещаются в родительской группе текущего администратора. Чтобы изменить назначенную группу, установите флаг напротив нужной группы.
Каждый администратор может входить только в одну группу.
От родительской группы администратор наследует права (см. п.
Права администраторов
).
5. После задания всех необходимых параметров нажмите кнопку Сохранить для создания учетной записи администратора.
Чтобы у добавленного администратора была оперативная информация о событиях в антивирусной сети, рекомендуется сразу же после создания учетной записи выполнить настройку оповещений, следуя указаниям раздела
Конфигурация оповещений
. Для возможности создания статистических отчетов по расписанию необходимо включить оповещение Статистический отчет.

Руководство администратора
116
Глава 6: Администраторы антивирусной сети
Добавление административных групп
Для возможности создания административных групп необходимо обладать правом
Создание администраторов, групп администраторов.
Чтобы добавить новую учетную запись административной группы
1. Выберите пункт Администрирование в главном меню Центра управления, в открывшемся окне выберите пункт управляющего меню Администраторы.
2. На панели инструментов нажмите значок
Создать группу. Откроется окно настроек создаваемой группы.
3. В подразделе Общие задайте следующие параметры:
·
В поле Группа задайте название административной группы. Разрешается использовать строчные буквы (a-z), заглавные буквы (A-Z), цифры (0-9), символы "_"
и ".".
·
В поле Описание можете задать произвольное описание группы.
4. В подразделе Группы задается родительская административная группа. В списке приведены группы, доступные для назначения в качестве родительской группы.
Напротив группы, в которую будет входить создаваемая группа, установлен флаг. По умолчанию создаваемые группы размещаются в родительской группе текущего администратора. Чтобы изменить назначенную группу, установите флаг напротив нужной группы.
Может быть назначена только одна родительская группа.
От родительской группы административная группа наследует права (см. п.
Права администраторов
).
5. После задания всех необходимых параметров нажмите кнопку Сохранить для создания административной группы.
Удаление администраторов и административных групп
Для возможности удаления учетных записей администраторов и административных групп необходимо обладать правами Удаление учетных записей администраторов и
Редактирование свойств и конфигурации групп администраторов соответственно.
Чтобы удалить учетную запись администратора или группы
1. Выберите пункт Администрирование в главном меню Центра управления, в открывшемся окне выберите пункт управляющего меню Администраторы.
2. В иерархическом списке администраторов выберите учетную запись администратора или административную группу, которую вы хотите удалить.

Руководство администратора
117
Глава 6: Администраторы антивирусной сети
3. На панели инструментов нажмите значок
Удалить выбранные объекты.
6.3.2. Редактирование административных записей и групп
Для возможности редактирования учетных записей администраторов и административных групп необходимо обладать правами Редактирование учетных
записей администраторов и Редактирование свойств и конфигурации групп
администраторов соответственно.
Для возможности редактирования собственной учетной записи необходимо обладать правом Редактирование собственных настроек.
Значения полей, отмеченных знаком
*
, должны быть обязательно заданы.
Чтобы отредактировать учетную запись администратора
1. В списке администраторов выберите учетную запись, которую вы хотите отредактировать. Откроется раздел редактирования свойств.
2. В подразделе Общие вы можете отредактировать параметры, которые были заданы при создании
, при этом:
a) Чтобы изменить пароль для доступа к учетной записи администратора, выберите на панели инструментов значок
Изменить пароль.
Администратор с соответствующими правами может редактировать пароли всех других администраторов.
При задании регистрационного имени администратора не допускается использование национальных символов.
b) Следующие параметры администратора доступны только для чтения:
·
Даты создания учетной записи и последнего изменения ее параметров,
·
Состояние — отображает сетевой адрес последнего подключения под данной учетной записью.
3. В подразделе Группы вы можете изменить административную группу. В списке приведены группы, доступные для назначения администратора. Напротив текущей родительской группы администратора установлен флаг. Чтобы изменить назначенную группу, установите флаг напротив нужной группы.
Родительская группа для администратора обязательно должна быть назначена.
Каждый администратор может входить только в одну группу. От заданной родительской группы наследуются права.
См. также подраздел
Редактирование членства

Руководство администратора
118
Глава 6: Администраторы антивирусной сети
4. В подразделе Права вы можете отредактировать список разрешенных действий для выбранного администратора.
Процедура редактирования прав приведена в подразделе
Редактирование прав
5. Для применения внесенных изменений нажмите кнопку Сохранить.
Чтобы отредактировать административную группу
1. В списке администраторов выберите группу, которую вы хотите отредактировать.
Откроется раздел редактирования свойств.
2. В подразделе Общие вы можете отредактировать параметры, которые были заданы при создании
3. В подразделе Группы вы можете изменить родительскую группу. В списке приведены группы, доступные для назначения в качестве родительской группы.
Напротив текущей родительской группы установлен флаг. Чтобы изменить назначенную группу, установите флаг напротив нужной группы.
Родительская группа для административной группы обязательно должна быть назначена. От заданной родительской группы наследуются права.
См. также подраздел
Редактирование членства
4. В подразделе Права вы можете отредактировать список разрешенных действий для выбранной административной группы.
Процедура редактирования прав приведена в подразделе
Редактирование прав
5. Для применения внесенных изменений нажмите кнопку Сохранить.
Назначить родительскую группу для администраторов и административных групп вы
можете одним из следующих способов:
·
Изменить настройки администратора или группы как описано выше
·
Перетащить мышью администратора или административную группу в иерархическом списке на группу, которую хотите назначить родительской.
Чтобы распространить права администратора или группы на другого администратора
или группу
1. В списке администраторов выберите один объект, права которого вы хотите распространить. Это может быть как администратор, так и группа администраторов.
2. На панели инструментов нажмите кнопку
Распространить права администратора.
3. В открывшемся окне выберите объекты, которым вы хотите назначить права.
Обратите внимание на следующие особенности:
·
Может быть выбран один или несколько объектов для назначения прав. Это могут быть как администраторы, так и группы администраторов.
·
Права сохраняются для выбранных объектов как персональные. Наследование с родительской группой разрывается.

Руководство администратора
119
Глава 6: Администраторы антивирусной сети
·
Назначение прав объектам, созданным по умолчанию (группы Administrators,
Newbies, администратор admin), не допускается.
·
Распространить права можно только на объекты, разрешенные в правах
Редактирование учетных записей администраторов и Редактирование свойств и
конфигурации групп администраторов.
·
Если распространение повлечет назначение прав, которые превышают собственные права администратора, выполняющего операцию, возвращается ошибка о недостаточности прав для выполнения операции.
4. Нажмите кнопку Распространить.

Руководство администратора
120
Глава 7: Комплексное управление рабочими станциями
Глава 7: Комплексное управление рабочими станциями
Для комплексного управления станциями и их настройками предоставляются следующие инструменты:
·
Группы
Станция может входить в неограниченное количество групп. Обязательно в предустановленные группы на основе своего состояния и опционально в пользовательские группы. Однако только одна из групп является первичной.
·
Политики
Для станции может быть назначена только одна политика или не назначено ни одной политики.
·
Профили
Профили используются для задания настроек компонента
Контроль приложений
Профили могут быть назначены как станциям и группам станций, так и отдельным пользователям.
Чтобы контролировать запуск приложений на станциях, необходимо, чтобы для станции или пользователя станции был назначен хотя бы один активный профиль.
Типы настроек станций
·
Унаследованные настройки.
При создании станции настройки всегда наследуются от политики или от первичной группы. Подробная информация приведена в разделе
Наследование конфигурации рабочей станции
·
Персональные настройки.
В процессе работы станции наследование может быть разорвано, и установлены персональные настройки.
Для задания персональных настроек для станции отредактируйте соответствующий раздел настроек.
Если для станции заданы персональные настройки, то настройки назначенной политики или первичной группы и любые их изменения не будут влиять на настройки станции.
Вы можете восстановить наследование от политики или первичной группы. Для этого нажмите кнопку
Удалить персональные настройки на панели инструментов
Центра управления в разделе соответствующих настроек или в разделе свойств станции.
В каждом разделе настроек элементов конфигурации рабочей станции отображается информация о том, что настройки данного раздела заданы персонально или

Руководство администратора
121
Глава 7: Комплексное управление рабочими станциями
унаследованы от соответствующего объекта.
Часть разделов с настройками может быть задана персонально, а часть —
наследоваться от политики или от первичной группы, если политика не задана.
Вы можете установить разные конфигурации для разных групп и станций
, изменив соответствующие настройки.
7.1. Наследование конфигурации рабочей станции
При создании станции или группы их настройки всегда наследуются:
·
Новая группа наследует настройки от своей родительской группы, в которую она непосредственно входит. Если нет родительской группы (создаваемая группа является корневой в иерархическом дереве), настройки наследуются от группы Everyone.
·
Новая станция наследует настройки от политики, которая была назначена при создании станции. Если политика не была назначена, настройки станции наследуются от одной из групп, в которую она входит. Такая группа называется первичной.
В процессе дальнейшей работы наследование может быть разорвано, и установлены персональные настройки станции.
Для компонента Контроль приложений принцип наследования настроек отличается от стандартного. Подробнее см.
Наследование настроек для компонента Контроль приложений
Приоритет применения настроек для станций:
1. Если у станции заданы персональные настройки, то используются персональные настройки. При этом для станции может быть назначена политика. При задании персональных настроек определенного раздела наследование настроек этого раздела разрывается.
2. Если персональные настройки отсутствуют, то используются настройки назначенной политики.
3. Если нет персональных настроек и нет назначенной политики, то станция использует настройки своей первичной группы.
Заданы персональные
настройки
Назначена
политика
Используемые настройки
+
+
Персональные настройки
+

Персональные настройки

+
Настройки политики

Руководство администратора
122
Глава 7: Комплексное управление рабочими станциями
Заданы персональные
настройки
Назначена
политика
Используемые настройки


Настройки первичной группы
Станции может быть не назначена ни одна политика, но у станции всегда есть первичная группа.
Наследование настроек станций от политик
Если для станции назначена политика, устанавливается наследование настроек станции от настроек политики.
При изменениях в настройках политики эти изменения наследуются станциями, для которых эта политика назначена, за исключением случаев, когда станциям были заданы персональные настройки. При создании станции вы можете указать, какая из политик будет назначена станции. Политика может быть заменена в любое время в процессе работы. Если ни одна политика не будет назначена, настройки будут наследоваться от первичной группы.
У политик нет иерархической структуры наследования. При создании политики ее настройки копируются в качестве персональных настроек из заданного объекта (по умолчанию это политика Default policy). Только одна из версий политики является текущей, и ее настройки являются настройками самой политики. Только текущая версия может быть назначена станциям.
Например:
Структура иерархического списка представляет собой следующее дерево:
Для станции Station1 назначена политика Policy1. Версия политики Version2
является текущей для политики Policy1. Настройки версии Version2 совпадают с настройками политики Policy1, которые являются персональными.

Руководство администратора
123
Глава 7: Комплексное управление рабочими станциями
Наследование настроек станций от групп
Если для станции не назначена политика, устанавливается наследование настроек станции от настроек ее первичной группы.
При изменениях в настройках первичной группы эти изменения наследуются входящими в группу станциями, за исключением случаев, когда станциям были заданы персональные настройки. При создании станции вы можете указать, какая из групп будет считаться первичной. По умолчанию первичная группа — Everyone. Первичная группа может быть заменена в любое время в процессе работы.
Если первичная группа не Everyone, и у указанной первичной группы, которая является корневой в иерархическом дереве антивирусной сети, нет персональных настроек, то наследуются настройки группы Everyone.
Возможно создание вложенных групп.
В условиях вложенных групп, если для станции не заданы персональные настройки,
наследование элементов конфигурации осуществляется в соответствии со структурой вложенных групп. Поиск осуществляется вверх по иерархическому дереву, начиная с первичной группы станции, ее родительской группы и далее до корневого элемента дерева. Если при этом не были обнаружены персональные настройки, то наследуются элементы конфигурации группы Everyone.
Например:
Структура иерархического списка представляет собой следующее дерево:
Группа Group4 является первичной для станции Station1. При этом при наследовании настроек станцией Station1 будет осуществляться поиск настроек в следующем порядке: Station1 → Group4 → Group3 → Group2 → Group1 → Everyone.
По умолчанию структура сети представлена таким образом, чтобы продемонстрировать вхождения станций во все группы, членом которых она является.

Руководство администратора
124
Глава 7: Комплексное управление рабочими станциями
Если вы хотите отображать в каталоге сети членство станций только в первичных группах, на панели инструментов Центра управления в пункте
Настройки вида
дерева снимите флаг Членство во всех группах.
Наследование настроек для компонента Контроль приложений
Настройки профилей Контроля приложений могут быть назначены не только на станции и группы станций, но также на отдельных пользователей и группы пользователей.
Приоритет применения настроек:
1. При наличии пользовательских настроек они обладают наивысшим приоритетом.
2. При отсутствии пользовательских настроек приоритет отдается настройкам группы пользователей.
3. Если не заданы настройки для пользователей и группы пользователей, наследование осуществляется по приоритету применения настроек для станций
7.2. Группы
Механизм групп предназначен для облегчения управления рабочими станциями антивирусной сети.
Объединение станций в группы может использоваться в следующих целях:
·
Выполнения групповых операций над всеми станциями, входящими в данные группы.
Как для отдельной группы, так и для нескольких выбранных групп вы можете запускать, просматривать и прекращать задания на сканирование станций, входящих в данную группу. Точно так же вы можете просматривать статистику (в т.ч. инфекции,
вирусы, запуск/завершение, ошибки сканирования и установки и т. п.) и суммарную статистику для всех рабочих станций группы или нескольких групп.
·
Задания единых настроек для станций через группу, в которую они входят (см. п.
Глава
7: Комплексное управление рабочими станциями
).
·
Организации (структурирования) списка рабочих станций.
Также возможно создание вложенных групп.

Руководство администратора
125
Глава 7: Комплексное управление рабочими станциями
7.2.1. Системные и пользовательские группы
Системные группы
Изначально Dr.Web Enterprise Security Suite содержит набор предустановленных системных групп. Эти группы создаются в момент инсталляции Сервера Dr.Web и не могут быть удалены. Однако администратор, при необходимости, может скрыть их отображение.
Каждая системная группа (кроме группы Everyone) содержит набор подгрупп,
объединенных по определенному признаку.
После установки Сервера до момента подключения к нему станций в списке системных групп отображается только группа Everyone. Для отображения всех системных групп воспользуйтесь опцией Показывать скрытые группы в разделе Настройки вида
дерева на панели инструментов
Everyone
Группа, содержащая в себе все станции, известные Серверу Dr.Web. Группа Everyone
содержит настройки всех групп и станций по умолчанию.
Active Directory
Группа содержит пользователей и группы пользователей, зарегистрированных в домене
Active Directory. Данная группа появляется в дереве антивирусной сети после выполнения задания Синхронизация с Active Directory из расписания
Сервера.
Configured
Группа содержит станции, для которых заданы персональные настройки.
Neighbors
Группа Neighbors содержит все Серверы Dr.Web, связанные с данным Сервером и служит для управления связями между Серверами в многосерверной антивирусной сети
(см. п.
Особенности сети с несколькими Серверами Dr.Web
).
Создание новых межсерверных связей описано в разделе
Настройка связей между
Серверами Dr.Web

Руководство администратора
126
Глава 7: Комплексное управление рабочими станциями
Группа Neighbors содержит вложенные группы, отражающие статус соседних Серверов,
подключенных к данному Серверу:
·
Группа All neighbors содержит все соседние Серверы, подключенные к данному
Серверу.
·
Группа Children содержит подчиненные Серверы.
·
Группа Offline содержит неактивные в данный момент Серверы.
·
Группа Online содержит активные в данный момент Серверы.
·
Группа Parents содержит главные Серверы.
·
Группа Peers содержит равноправные Серверы.
Operating system
Данная категория подгрупп отображает операционные системы, под управлением которых работают станции в данный момент. Данные группы не виртуальны и могут содержать настройки станций, а также могут являться первичными группами.
·
Подгруппы семейства Android. Данное семейство включает набор групп, которые соответствуют конкретной версии операционной системы Android для мобильных устройств.
·
Подгруппы семейства macOS. Данное семейство включает набор групп, которые соответствуют конкретной версии операционной системы macOS.
·
Подгруппы семейства UNIX. Данное семейство включает набор групп, которые соответствуют операционным системам семейства UNIX, например, Linux, FreeBSD и т. п.
·
Подгруппы семейства Windows. Данное семейство включает набор групп, которые соответствуют конкретной версии операционной системы Windows.
·
Категория Unknown OS. Здесь отображаются станции, работающие под неизвестной
Серверу операционной системой.
Policies
Группа, содержащая политики для настройки конфигурации станций.
Группа Policies будет отображаться в дереве антивирусной сети только если использование политик разрешено в конфигурации Сервера.
Profiles
Группа, содержащая профили с настройками компонента Контроль приложений для станций под ОС Windows. См.
Профили

Руководство администратора
127
Глава 7: Комплексное управление рабочими станциями
Proxies
Группа, содержащая Прокси-серверы Dr.Web для подключения Агентов и соседних
Серверов.
Status
Группа Status содержит вложенные группы, отражающие текущее состояние станций:
подключены они в данный момент к Серверу или нет, а также состояние антивирусного
ПО: удалено ПО или закончился период его использования. Данные группы полностью виртуальны и не могут содержать никаких настроек, также они не могут являться первичными группами.
·
Группа Deinstalled. Как только с рабочей станции удалено ПО Агента Dr.Web, станция автоматически переходит в группу Deinstalled.
·
Группа Deleted содержит станции, ранее удаленные администратором с Сервера.
Возможно восстановление данных станций (см. п.
Удаление и восстановление станции
).
·
Группа New содержит новые станции, которые были созданы администратором через
Центр управления, но Агент на них еще не был установлен.
·
Группа Newbies содержит все станции, регистрация которых на Сервере в данный момент не была подтверждена. При подтверждении регистрации на Сервере станции будут автоматически исключены из данной группы (подробнее см. раздел
Политика подключения станций
).
·
Группа Offline содержит все неактивные в данный момент станции.
·
Группа Online содержит все активные в данный момент станции (реагирующие на запросы Сервера).
·
Группа Update Errors содержит станции, обновление антивирусного ПО на которых прошло с ошибками.
Transport
Данные подгруппы определяют протокол, по которому станции подключены в данный момент к Серверу. Подгруппы полностью виртуальны и не могут содержать никаких настроек, также они не могут являться первичными группами.
·
Группа TCP/IP содержит станции, подключенные в данный момент по протоколу
TCP/IP версии 4.
·
Группа TCP/IP Version 6 содержит станции, подключенные в данный момент по протоколу TCP/IP версии 6.

Руководство администратора
128
Глава 7: Комплексное управление рабочими станциями
Ungrouped
Группа содержит станции, которые не входят ни в одну из пользовательских групп.
Пользовательские группы
Это группы, создаваемые администратором антивирусной сети для его собственных нужд. Администратор может создавать собственные группы, а также вложенные группы и включать в них рабочие станции. Ни на состав, ни на название данных групп Dr.Web
Enterprise Security Suite не накладывает никаких ограничений.
Для удобства в таблице
7-1
сведены все возможные группы и типы групп, а также характерные параметры, которые поддерживаются (+) или не поддерживаются (–)
данными группами.
При этом рассматриваются следующие параметры:
·
Автоматическое членство. Параметр определяет возможность автоматического включения станций в группу (поддержка автоматического членства), а также автоматического изменения состава группы в процессе работы Сервера.
·
Управление членством. Параметр определяет возможность управления администратором членством в группе: добавлением или удалением станций из группы.
·
Первичная группа. Параметр определяет, может ли данная группа являться первичной для станции.
·
Содержание настроек. Параметр определяет, может ли группа содержать настройки антивирусных компонентов (для возможности наследования их станциями).
Таблица 7-1. Группы и поддерживаемые параметры
Группа/тип групп
Параметр
Автоматичес
кое членство
Управление
членством
Первичная
группа
Содержание
настроек
Everyone
+

+
+
Configured
+



Operating System
+

+
+
Status
+



Transport
+



Ungrouped
+




Руководство администратора
129
Глава 7: Комплексное управление рабочими станциями
Группа/тип групп
Параметр
Автоматичес
кое членство
Управление
членством
Первичная
группа
Содержание
настроек
Пользовательские группы

+
+
+
Под учетной записью администратора группы пользовательская группа, которой он управляет, будет отображаться в корне иерархического дерева, даже если фактически у нее есть родительская группа. При этом будут доступны все дочерние от управляемой группы.
7.2.2. Управление группами
7.2.2.1. Создание и удаление групп
Чтобы создать новую группу
1. Выберите пункт Антивирусная сеть в главном меню Центра управления.
2. Выберите пункт
Добавить объект сети на панели инструментов, далее в подменю пункт
Создать группу.
Откроется окно создания группы.
3. Поле ввода Идентификатор заполняется автоматически. При необходимости его можно отредактировать в процессе создания. Идентификатор не должен включать пробелов. В дальнейшем идентификатор группы изменять нельзя.
4. Введите в поле Название наименование группы.
5. Для вложенных групп в поле Родительская группа выберите из выпадающего списка группу, которая будет назначена родительской группой, от которой наследуется конфигурация, если не заданы персональные настройки. Для корневой группы (не имеющей родителя) оставьте это поле пустым, группа будет добавлена в корень иерархического списка. В этом случае настройки будут наследоваться от группы
Everyone.
6. Введите произвольный комментарий в поле Описание.
7. Нажмите кнопку Сохранить.
Созданные вами группы первоначально пусты. Процедура включения рабочих станций в группы описана в разделе
Размещение станций в группах
Чтобы удалить существующую группу
1. Выберите пользовательскую группу в иерархическом списке Центра управления.
2. На панели инструментов нажмите
Общие →
Удалить выбранные объекты.

Руководство администратора
130
Глава 7: Комплексное управление рабочими станциями
Предустановленные группы удалить невозможно.
7.2.2.2. Редактирование групп
Чтобы отредактировать настройки группы
1. Выберите пункт Антивирусная сеть в главном меню Центра управления, в открывшемся окне в иерархическом списке выберите группу.
2. Откройте раздел свойств группы одним из следующих способов:
a) Нажмите на название группы в иерархическом списке антивирусной сети. В
правой части окна Центра управления автоматически откроется секция со свойствами группы.
b) Выберите пункт Свойства управляющего меню
. Откроется окно со свойствами группы станции.
3. Окно свойств группы содержит разделы Общие и Конфигурация. Их содержание и настройка описаны ниже.
При открытии свойств группы в правой части окна Центра управления (см. пункт 2.а) ),
также будет доступен раздел Сведения о станциях, в котором приведена общая информация о станциях, входящих в данную группу.
4. Для сохранения внесенных изменений нажмите кнопку Сохранить.
Общие
В разделе Общие приведена следующая информация:
·
Идентификатор — уникальный идентификатор группы. Не доступен для редактирования.
·
Название — название группы. При необходимости можете изменить название пользовательской группы. Для предустановленных групп поле Название не доступно для редактирования.
·
Родительская группа — родительская группа, в которую входит данная группа и от которой наследует свою конфигурацию, если не заданы персональные настройки. Если родительская группа не назначена, настройки наследуются от группы Everyone.
·
Описание — необязательное поле с описанием группы.

Руководство администратора
131
Глава 7: Комплексное управление рабочими станциями
Сведения о станциях
В разделе Сведения о станциях приведена следующая информация:
·
Станций — общее количество станций, входящих в данную группу.
·
Первичная группа для — количество станций, для которых данная группа является первичной.
·
Станций в сети — количество станций в данной группе, которые находятся в данный момент в сети (online).
Организация
Если при создании группы вы определили группу как представителя организации или компании, то при редактировании будет доступен раздел Организация. В данном разделе вы можете отредактировать реквизиты организации, которую представляет данная группа. Набор реквизитов может различаться в зависимости от страны, в которой находится организация.
Назначить группу представителем организации можно только при создании группы.
Отмена данного признака после создания группы также невозможна.
Конфигурация
Для подробной информации о наследовании настроек станциями от первичных групп,
см. раздел
Глава 7: Комплексное управление рабочими станциями
В разделе Конфигурация вы можете изменить конфигурацию групп, которая включает:
Значок
Настройки
1   ...   6   7   8   9   10   11   12   13   ...   38


написать администратору сайта