3. Dr.Web Enterprise Security Suite Версия 12.0 от 23.09.21. Руководство администратора Доктор Веб
Скачать 4.42 Mb.
|
Глава 8: Управление рабочими станциями Вариант запуска сканирования Разделы настроек Общие Действия Ограничени я Исключения Dr.Web Agent Сканер. Быстрое сканирование – + + – Dr.Web Agent Сканер. Полное сканирование – + + – В зависимости от операционной системы станции, на которой запускается удаленное сканирование, будет доступна только та часть настроек Сканера, которая поддерживается системой станции. 8.5.3.1. Общие Настройки, которые не поддерживаются при проверке станций, работающих под ОС семейства UNIX и macOS, заключены в квадратные скобки [ ] Настройки, которые не поддерживаются при проверке станций, работающих под ОС Android, заключены в круглые скобки ( ) В разделе Общие вы можете задать следующие настройки антивирусной проверки: · В выпадающем списке выберите один из режимов проверки: ъ Проверка всех дисков — провести антивирусную проверку на всех доступных локальных дисках. При этом станут доступны дополнительные настройки: § Установите флаг Проверять загрузочные секторы, чтобы Сканер осуществлял проверку загрузочных секторов. Проверяются как загрузочные секторы логических дисков, так и главные загрузочные секторы физических дисков. § Установите флаг [ Проверять автоматически запускаемые программы ] , чтобы проверять программы, автоматически запускаемые при старте операционной системы. § Установите флаг [( Проверять загружаемые программы и модули )] , чтобы проверять процессы, запущенные в оперативной памяти. § Установите флаг [( Проверять на наличие руткитов )] , чтобы включить сканирование на наличие вредоносных программ, скрывающих свое присутствие в системе. § Установите флаг Проверять стационарные диски для проверки стационарных жестких дисков (винчестер и т. п.). Руководство администратора 186 Глава 8: Управление рабочими станциями § Установите флаг Проверять объекты на съемных носителях для проверки всех сменных носителей информации, таких как накопители на магнитных дисках (дискеты), CD/DVD-диски, flash-накопители и т. д. ъ Проверка указанных путей — провести антивирусную проверку только по указанным путям. В поле Пути, выбранные для сканирования задайте список проверяемых путей (способ их задания описывается ниже). § Для того чтобы добавить новую строку в список, нажмите кнопку и в открывшуюся строку введите требуемый путь. § Для того чтобы удалить элемент из списка, нажмите кнопку напротив соответствующей строки. · Установите флаг Использовать эвристический анализ, чтобы Сканер осуществлял поиск неизвестных вирусов при помощи эвристического анализатора. В данном режиме возможны ложные срабатывания Сканера. · Установите флаг Следовать символическим ссылкам, чтобы следовать символическим ссылкам при сканировании. · Установите флаг [( Прерывать проверку при переходе на питание от аккумулятора )] , чтобы прерывать антивирусную проверку при переходе компьютера пользователя на питание от аккумулятора. · Установите флаг [ Отключить сеть при сканировании ] , чтобы отключить компьютер от локальной сети и интернета на время сканирования. · Установите флаг Архивы, чтобы искать вирусы в файлах, упакованных в файловые архивы. · Установите флаг ( Почтовые файлы ) , чтобы проверять почтовые ящики. · Установите флаг [( Инсталляционные пакеты )] , чтобы проверять пакеты для установки программ. · Выпадающий список [( Приоритет сканирования )] определяет приоритет процесса проверки относительно имеющихся вычислительных ресурсов операционной системы. · Установите флаг [( Уровень загрузки ресурсов компьютера )] , чтобы ограничивать использование ресурсов компьютера при проверке, и выберите из выпадающего списка максимально допустимую загрузку ресурсов Сканером. При отсутствии других задач ресурсы компьютера будут использоваться максимально. Опция Уровень загрузки ресурсов компьютера не оказывает влияния на фактическую величину загрузки ресурсов при запуске сканирования на однопроцессорной системе с одним ядром. · В поле [( Количество используемых ядер )] задайте максимальное количество ядер процессора, используемых сканером. Допускаются целые значения от 0 до 32. Значение 0 предписывает использовать все доступные ядра. Руководство администратора 187 Глава 8: Управление рабочими станциями При настройке группы станций следует обратить внимание на то, что для данного параметра задается абсолютное значение, а не процентное соотношение от общего количества доступных ядер. Поэтому задание одного и того же значения может привести к различной относительной загрузке станций с разным количеством процессорных ядер. · Выпадающий список ( Действия после сканирования ) определяет автоматическое выполнение заданного действия сразу после окончания процесса проверки: ъ ничего не делать — после завершения проверки не предпринимать никаких действий с компьютером пользователя. ъ [ выключить станцию ] — после завершения проверки выключить компьютер пользователя. Перед выключением компьютера Сканер применит заданные действия к обнаруженным угрозам. ъ [ перезагрузить станцию ] — после завершения проверки перезагрузить компьютер пользователя. Перед перезагрузкой компьютера Сканер применит заданные действия к обнаруженным угрозам. ъ [ перевести станцию в ждущий режим ] ъ перевести станцию в спящий режим. 8.5.3.2. Исключения В разделе Исключения задается список каталогов и файлов, исключаемых из антивирусной проверки. Чтобы отредактировать список исключаемых путей и файлов 1. Введите путь к требуемому файлу или каталогу в строку Исключаемые пути и файлы. 2. Для того чтобы добавить новую строку в список, нажмите кнопку и в открывшуюся строку введите требуемый путь. 3. Для того чтобы удалить элемент из списка, нажмите кнопку напротив соответствующей строки. Список исключаемых объектов может содержать элементы следующих видов: 1. Прямой путь в явном виде до исключаемого объекта. При этом: · Символ \ или / — исключение из проверки всего диска, на котором находится каталог установки ОС, · Путь, заканчивающийся символом \ — данный каталог исключается из проверки, · Путь, не заканчивающийся символом \ — любой подкаталог, путь к которому начинается на указанную строку, исключается из проверки. Пример для ОС Windows: C:\Windows — не проверять файлы каталога C:\Windows и все его подкаталоги. Руководство администратора 188 Глава 8: Управление рабочими станциями Пример для ОС семейства Unix: /etc — не проверять файлы каталога /etc и все его подкаталоги. 2. Маски объектов, исключаемых из проверки. Для задания масок допускается использование знаков ? и *. Пример для ОС Windows: C:\Windows\*\*.dll — не проверять все файлы с расширением dll, расположенные во всех подкаталогах каталога C:\Windows. Пример для ОС семейства Unix: /etc/*/*.pub — не проверять все файлы с расширением pub, расположенные во всех подкаталогах каталога /etc. 3. Заданные в операционной системе переменные окружения в составе пути до объектов, исключаемых из проверки. Пример для ОС Windows: %WINDIR%\SysWOW64\ — не проверять файлы в подкаталоге SysWOW64 каталога C:\Windows. Пример для ОС семейства Unix: /home/*/network — не проверять файлы в подкаталоге network каталога /home. 4. Регулярное выражение. Пути могут задаваться регулярными выражениями. Также любой файл, полное имя которого (с путем) соответствует регулярному выражению, исключается из проверки. Перед запуском процесса сканирования на вирусы ознакомьтесь с рекомендациями по использованию антивирусных программ для компьютеров под управлением ОС Windows Server 2003 и ОС Windows XP. Статья, содержащая необходимую информацию, находится по адресу https://support.microsoft.com/en-us/topic/virus- scanning-recommendations-for-enterprise-computers-that-are-running-currently- supported-versions-of-windows-kb822158-c067a732-f24a-9079-d240-3733e39b40bc Материал данной статьи призван помочь оптимизировать производительность системы. Синтаксис регулярных выражений, используемых для записи исключаемых путей, следующий: qr{выражение}флаги Наиболее часто в качества флага используется символ i, данный флаг означает "не принимать во внимание различие регистра букв". Примеры записи исключаемых путей и файлов при помощи регулярных выражений Регулярное выражение Значение qr{\\pagefile\.sys$}i не проверять файлы подкачки ОС Windows qr{\\notepad\.exe$}i не проверять файлы notepad.exe qr{^C:}i не проверять вообще ничего на диске C Руководство администратора 189 Глава 8: Управление рабочими станциями Регулярное выражение Значение qr{^.:\\WINNT\\}i не проверять ничего в каталогах WINNT на всех дисках qr{(^C:)|(^.:\\WINNT\\)}i объединение двух предыдущих случаев qr{^C:\\dir1\\dir2\ \file\.ext$}i не проверять файл c:\dir1\dir2\file.ext qr{^C:\\dir1\\dir2\\(.+\\)? file\.ext$}i не проверять файл file.ext, если он в каталоге c: \dir1\dir2 и его подкаталогах qr{^C:\\dir1\\dir2\\}i не проверять каталог c:\dir1\dir2 и его подкаталоги qr{dir\\[^\\]+}i не проверять подкаталог dir, находящийся в любом каталоге, но проверять подкаталоги qr{dir\\}i не проверять подкаталог dir, находящийся в любом каталоге, и его подкаталоги Использование регулярных выражений кратко описано в документе Приложения, в разделе Приложение К. Использование регулярных выражений в Dr.Web Enterprise Security Suite 8.5.3.3. Действия Настройки, которые не поддерживаются при проверке станций, работающих под ОС семейства UNIX и macOS, заключены в квадратные скобки [ ] В разделе Действия задается реакция Сканера на обнаружение зараженных или подозрительных файлов, вредоносных программ, а также инфицированных архивов. Dr.Web Agent Сканер автоматически применяет действия, заданные для обнаруженных вредоносных объектов. Предусмотрены следующие действия над обнаруженными угрозами: · Лечить — восстановить состояние инфицированного объекта до заражения. Если объект неизлечим или попытка лечения не была успешной, будет применено действие, заданное для неизлечимых объектов. Данное действие возможно только для объектов, зараженных известным излечимым вирусом, за исключением троянских программ и зараженных файлов внутри составных объектов (архивов, файлов электронной почты или файловых контейнеров). · Удалять — удалить зараженные объекты. Руководство администратора 190 Глава 8: Управление рабочими станциями · Перемещать в карантин — переместить зараженные объекты в каталог Карантина на станции. · Сообщать — отправить в Центр управления уведомление об обнаружении вируса (о настройке режима оповещений см. в п. Настройка оповещений ). · Игнорировать — пропустить объект без выполнения каких-либо действий, в том числе не присылать оповещения в статистике сканирования. Таблица 8-3. Действия Сканера над обнаруженными вредоносными объектами Объект Действие Лечить Удалять Перемещать в карантин Сообщать Игнорировать Инфицированные +/* + + Подозрительные + +/* + Неизлечимые + +/* Инсталляционные пакеты + +/* Архивы + +/* Почтовые файлы +/* + Загрузочные секторы +/* + Рекламные программы + +/* + Программы дозвона + +/* + Программы-шутки + +/* + Потенциально опасные + +/* + Программы взлома + +/* + Условные обозначения + действие разрешено для данного типов объектов +/* действие установлено как реакция по умолчанию для данного типов объектов Чтобы задать действия над обнаруженными угрозами, используйте следующие настройки: · Выпадающий список Инфицированные задает реакцию Сканера на обнаружение файла, зараженного известным вирусом. Руководство администратора 191 Глава 8: Управление рабочими станциями · Выпадающий список Подозрительные задает реакцию Сканера на обнаружение файла, предположительно зараженного вирусом (срабатывание эвристического анализатора). При сканировании, включающем каталог установки ОС, рекомендуется выбрать для подозрительных файлов реакцию Информировать. · Выпадающий список Неизлечимые задает реакцию Сканера на обнаружение файла, зараженного известным неизлечимым вирусом, а также когда предпринятая попытка излечения не принесла успеха. · Выпадающий список Инфицированные инсталляционные пакеты задает реакцию Сканера на обнаружение зараженного или подозрительного файла в составе пакетов для установки программ. · Выпадающий список Инфицированные архивы задает реакцию Сканера на обнаружение зараженного или подозрительного файла в составе файлового архива. · Выпадающий список Инфицированные почтовые файлы задает реакцию Сканера на обнаружение зараженного или подозрительного файла в формате электронной почты. При обнаружении вирусов или подозрительного кода внутри составных объектов (архивов, файлов электронной почты или файловых контейнеров) действия по отношению к угрозам внутри таких объектов выполняются над всем объектом, а не только над зараженной его частью. По умолчанию во всех этих случаях предусмотрено информирование. · Выпадающий список Инфицированные загрузочные секторы задает реакцию Сканера на обнаружение вирусов или подозрительного кода в области загрузочных секторов. · Следующие выпадающие списки задают реакцию Сканера на обнаружение соответствующего нежелательного ПО: ъ Рекламные программы; ъ Программы дозвона; ъ Программы-шутки; ъ Потенциально опасные; ъ Программы взлома. При задании действия Игнорировать не будет произведено никаких действий: в Центр управления не будет отправлено уведомление, как в случае включенной опции Информировать при обнаружении вируса. Установите флаг [ Перезагружать компьютер автоматически ] для автоматической перезагрузки компьютера пользователя после окончания сканирования, если в процессе проверки были обнаружены инфицированные объекты, для завершения лечения которых требуется перезагрузка операционной системы. Если флаг снят, Руководство администратора 192 Глава 8: Управление рабочими станциями перезагрузка компьютера пользователя не будет осуществляться. В статистике сканирования станции, получаемой Центром управления, будет сообщено о необходимости перезагрузки станции для завершения лечения. Информация о состоянии, требующем перезагрузку, отображается в таблице Состояния . При необходимости администратор может перезагрузить станцию из Центра управления (см. раздел Антивирусная сеть ). Установите флаг Показывать ход проверки, чтобы отображать в Центре управления индикатор и строку состояния процесса сканирования станции. 8.5.3.4. Ограничения Настройки, которые не поддерживаются при проверке станций, работающих под ОС семейства UNIX и macOS, заключены в квадратные скобки [ ] В разделе Ограничения доступны следующие настройки антивирусной проверки: · Максимальное время сканирования (мс) — максимальное время проверки одного объекта в миллисекундах. По истечении указанного времени проверка объекта будет прекращена. · Максимальный уровень вложенности в архив — максимальное количество вложенных архивов. Если уровень вложенности в архив превышает заданное ограничение, проверка будет производиться только до указанного уровня вложенности. · [ Максимальный размер архива (КБ) ] — максимальный размер проверяемого архива в килобайтах. Если размер архива превышает заданное ограничение, распаковка и проверка производиться не будет. · Максимальный коэффициент сжатия архива — если Сканер определяет, что коэффициент сжатия архива превышает заданное ограничение, распаковка и проверка производиться не будет. · [ Максимальный размер распакованного объекта (КБ) ] — максимальный размер файла при распаковке в килобайтах. Если Сканер определяет, что после распаковки размер файлов архива превышает заданное ограничение, распаковка и проверка производиться не будет. · [ Порог проверки уровня сжатия (КБ) ] — минимальный размер файла в килобайтах внутри архива, начиная с которого будет производиться проверка коэффициента сжатия. Руководство администратора 193 Глава 8: Управление рабочими станциями 8.6. Просмотр статистики по рабочей станции При помощи управляющего меню раздела Антивирусная сеть вы можете просматривать следующую информацию: · Статистика — данные по статистике работы антивирусных средств на станции, по состоянию рабочих станций и антивирусных средств, для просмотра и сохранения отчетов, содержащих все сводные статистические данные или выборочные сводки по заданным типам таблиц. · Графики — графики с информацией о заражениях, обнаруженных на станциях. · Карантин — удаленный доступ к содержимому Карантина на рабочей станции. 8.6.1. Статистика Также вы можете настроить автоматическое создание статистического отчета, включающего нужный вам набор статистических таблиц. Данный отчет в выбранном формате может не только сохраняться на Сервере, но и отправляться на электронную почту. Для этого настройте задание Создание статистического отчета в расписании Сервера. Чтобы просмотреть таблицы 1. Выберите пункт Антивирусная сеть в главном меню Центра управления, в открывшемся окне в иерархическом списке нажмите на название станции или группы. 2. В открывшемся управляющем меню выберите нужный пункт из подраздела Статистика. Раздел меню Статистика содержит следующие пункты: · Угрозы — для просмотра информации об обнаруженных угрозах безопасности защищаемых станций: перечень зараженных объектов, расположение по станциям, названия угроз, действия антивируса и т. п. · Ошибки — для просмотра списка ошибок сканирования на выбранной рабочей станции за определенный период. · Сводные данные — для просмотра и сохранения отчетов, содержащих все сводные статистические данные или выборочные сводки по заданным типам таблиц. Не отображается в меню, если скрыты все остальные пункты меню в разделе Статистика. · Статистика сканирования — для получения статистики о работе антивирусных средств на станции. · Запуск/Завершение — для просмотра списка компонентов, запускавшихся на рабочей станции. |