3. Dr.Web Enterprise Security Suite Версия 12.0 от 23.09.21. Руководство администратора Доктор Веб

Руководство администратора
247
Глава 9: Настройка Сервера Dr.Web
Для использования кластера задайте следующие параметры:
·
Multicast-группа — IP-адрес multicast-группы, через которую Серверы будут осуществлять обмен информацией.
·
Порт — номер порта сетевого интерфейса, к которому привязывается транспортный протокол для передачи информации в multicast-группу.
·
Срок жизни — срок жизни датаграммы при передаче данных в кластере Серверов
Dr.Web.
·
Интерфейс — IP-адрес сетевого интерфейса, к которому привязывается транспортный протокол для передачи информации в multicast-группу.
Особенности создания кластера Серверов Dr.Web приведены в разделе
Кластер
Серверов Dr.Web
9.3.3.6. Загрузка
На вкладке Загрузка настраиваются параметры Сервера, используемые при формировании файлов инсталляции Агента для станций антивирусной сети. В
дальнейшем эти параметры используются при подключении инсталлятора Агента к
Серверу:
·
Адрес Сервера Dr.Web — IP-адрес или DNS-имя Сервера Dr.Web.
Если адрес Сервера не задан, то используется имя компьютера, возвращаемое операционной системой.
·
Порт — номер порта, который будет использоваться при подключении инсталлятора
Агента к Серверу.
Если номер порта не задан, то используется порт 2193 (настраивается в Центре управления в разделе Администрирование → Конфигурация Сервера Dr.Web →
вкладка Сеть → вкладка Транспорт).
Настройки раздела Загрузка сохраняются в конфигурационном файле download.conf
(см. документ Приложения, п.
Ж3. Конфигурационный файл download.conf
).
9.3.3.7. Групповые обновления
На вкладке Групповые обновления настраивается передача групповых обновлений на рабочие станции по multicast-протоколу.

Руководство администратора
248
Глава 9: Настройка Сервера Dr.Web
Чтобы включить передачу обновлении на станции по multicast-протоколу, установите флаг Включить групповые обновления.
Основные принципы работы групповых обновлений:
1. Если групповые обновления включены, то для всех станций, подключенных к данному
Серверу, обновление будет осуществляться в два этапа:
a) Станции прослушивают заданные multicast-группы, в которые входит Сервер. При поступлении групповых обновлений, станции скачивают их через multicast over
UDP.
b) После передачи групповых обновлений Сервер отправляет стандартное оповещение станциям о наличии обновлений. Все, что не удалось скачать через групповые обновления, станции докачивают как при стандартном обновлении по протоколу TCP.
2. Если групповые обновления отключены, обновление для всех станций осуществляется только штатным способом — по протоколу TCP.
Для настройки групповых обновлений используются следующие параметры:
·
Размер UDP-датаграммы (байты) — размер в байтах UDP-датаграмм, используемых multicast-протоколом.
Допустимый диапазон: 512–8192. Во избежание фрагментации рекомендуется задавать значение меньше MTU (Maximum Transmission Unit) используемой сети.
·
Время передачи файла (мс.) — в течение заданного интервала осуществляется передача одного файла обновления, после чего Сервер начинает отправку следующего файла.
Все файлы, которые не удалось передать на этапе обновления по multicast-протоколу,
будут передаваться в процессе стандартного обновления по протоколу TCP.
·
Длительность групповых обновлений (мс.) — длительность процесса обновления по multicast-протоколу.
Все файлы, которые не удалось передать на этапе обновления по multicast-протоколу,
будут передаваться в процессе стандартного обновления по протоколу TCP.
·
Интервал отправки пакетов (мс.) — интервал отправки пакетов в multicast-группу.
Малое значение интервала может привести к значительным потерям при передаче пакетов и перегрузить сеть. Не рекомендуется изменять этот параметр.
·
Интервал между запросами на повторную передачу (мс.) — с данным интервалом
Агенты отправляют запросы на повторную передачу потерянных пакетов.
Сервер Dr.Web накапливает эти запросы, после чего пересылает потерянные блоки.
·
Интервал “тишины” на линии (мс.) — в случае завершения передачи файла до истечения отведенного времени, если в течение заданного интервала “тишины” от
Агентов не поступило запросов на повторную передачу потерянных пакетов, Сервер
Dr.Web считает, что все Агенты успешно получили файлы обновления, и начинает отправку следующего файла.

Руководство администратора
249
Глава 9: Настройка Сервера Dr.Web
·
Интервал накопления запросов на повторную передачу (мс.) — в течение указанного интервала Сервер накапливает запросы от Агентов на повторную передачу потерянных пакетов.
Агенты перезапрашивают потерянные пакеты. Сервер накапливает эти запросы в течение указанного времени, после чего пересылает потерянные блоки.
Чтобы задать список multicast-групп, через которые будет доступно групповое обновление, настройте следующие параметры в подразделе Multicast-группы:
·
Multicast-группа — IP-адрес multicast-группы, через которую станции будут получать групповые обновления.
·
Порт — номер порта сетевого интерфейса Сервера Dr.Web, к которому привязывается транспортный multicast-протокол для передачи обновлений.
Для групповых обновлений необходимо задавать любой свободный порт, в частности,
отличный от порта, который назначен в настройках для работы транспортного протокола самого Сервера.
·
Срок жизни — срок жизни датаграммы при передаче данных в процессе групповых обновлений.
·
Интерфейс — IP-адрес сетевого интерфейса Сервера Dr.Web, к которому привязывается транспортный multicast-протокол для передачи обновлений.
В каждой строке задаются настройки одной multicast-группы. Для добавления еще одной multicast-группы нажмите
При задании нескольких multicast-групп, обратите внимание на следующие особенности:
·
Для разных Серверов Dr.Web, которые будут рассылать групповые обновления,
должны задаваться различные multicast-группы.
·
Для разных Серверов Dr.Web, которые будут рассылать групповые обновления,
необходимо задавать различные параметры Интерфейс и Порт.
·
При использовании нескольких multicast-групп, наборы станций, входящие в данные группы, не должны пересекаться. Таким образом, каждая станция антивирусной сети может входить только в одну multicast-группу.
В разделе Список контроля доступа задаются ограничения на сетевые адреса станций,
которые будут получать групповые обновления:
·
Станции, которым разрешено получать групповые обновления, будут прослушивать заданные multicast-группы и получать обновления по стандартной схеме (см.
процедура 1
).
·
Станции, которым запрещено получать групповые обновления, не прослушивают заданные multicast-группы на наличие обновлений, а скачивают все обновления по
TCP (см. процедура 2
).

Руководство администратора
250
Глава 9: Настройка Сервера Dr.Web
Настройка списков осуществляется аналогично настройке списков раздела
Безопасность
9.3.4. Статистика
На вкладке Статистика задается статистическая информация, которая записывается в журнал протокола, заносится в базу данных Сервера и в дальнейшем может быть просмотрена в разделе статистики
Центра управления.
Чтобы добавить в БД информацию соответствующего типа, установите следующие
флаги:
·
Состояние карантина — разрешает мониторинг состояния Карантина на станциях и запись информации в базу данных.
·
Состав оборудования и программ — разрешает мониторинг состава аппаратно- программного обеспечения станций и запись информации в базу данных.
·
Список модулей станций — разрешает мониторинг списка модулей Антивируса,
установленных на станциях, и запись информации в базу данных.
·
Список установленных компонентов — разрешает мониторинг списка установленных компонентов Антивируса (Сканер, мониторы и т. п.), установленных на рабочей станции, и запись информации в базу данных.
·
Сессии пользователей станций — разрешает мониторинг сессий пользователей рабочих станций и запись в базу данных регистрационных имен пользователей,
вошедших в систему на компьютере с установленным Агентом.
·
Запуск/Завершение компонентов — разрешает мониторинг информации о запуске и завершении работы компонентов Антивируса (Сканер, мониторы и т. п.) на рабочих станциях и запись информации в базу данных.
·
Обнаруженные угрозы безопасности — разрешает мониторинг обнаружения угроз безопасности рабочих станций и запись информации в базу данных.
Если флаг Обнаруженные угрозы безопасности установлен, вы также можете настроить дополнительные параметры статистики по угрозам.
ъ Установите флаг Отслеживать эпидемии, чтобы включить режим оповещения администратора о случаях вирусных эпидемий. Если флаг снят, оповещения о вирусных заражениях будут осуществляться в обычном режиме. При установленном флаге вы также можете задать следующие параметры отслеживания вирусных эпидемий:
§ Период запрета на отправку оповещений — промежуток времени в секундах после отправки оповещения об эпидемии, в течение которого не будут отправляться оповещения о единичных заражениях станций.
§ Период подсчета зараженных станций — промежуток времени в секундах, в течение которого должно прийти заданное количество сообщений о зараженных станциях, чтобы отправить оповещение об эпидемии.

Руководство администратора
251
Глава 9: Настройка Сервера Dr.Web
§ Количество сообщений — количество сообщений о заражениях, которые должны прийти за заданный промежуток времени, чтобы Сервер Dr.Web отправлял администратору единое уведомление об эпидемии на все случаи заражения (оповещение Эпидемия в сети).
§ Количество наиболее распространенных угроз — количество наиболее часто встречающихся угроз, которые необходимо включить в отчет об эпидемиях.
ъ Установите флаг Группировать отчеты Превентивной защиты, чтобы присылать единый суммарный отчет о множественных событиях Превентивной защиты. Если флаг снят, события Превентивной защиты будут приходить в отдельных оповещениях вне зависимости от их количества. При установленном флаге вы также можете задать следующие параметры группировки отчетов:
§ Период запрета на отправку оповещений — промежуток времени в секундах после отправки суммарного отчета о событиях Превентивной защиты, в течение которого не будут отправляться оповещения о единичных событиях.
§ Период подсчета событий — промежуток времени в секундах, в течение которого должно произойти заданное количество событий Превентивной защиты, чтобы отправить суммарный отчет.
§ Количество событий — количество событий Превентивной защиты, которые должны прийти за заданный промежуток времени, чтобы Сервер Dr.Web отправлял администратору единый суммарный отчет об этих событиях
(оповещение Суммарный отчет Превентивной защиты).
§ Количество наиболее активных процессов — количество наиболее часто встречающихся процессов, осуществивших подозрительное действие, которые необходимо включить в отчет Превентивной защиты.
ъ Для активации отправки статистики по обнаруженным угрозам безопасности станций в компанию «Доктор Веб» установите флаг Отправлять статистику в
компанию «Доктор Веб». Станут доступны следующие поля:
§ Интервал — интервал отправки статистики в минутах;
§ Идентификатор — MD5-ключ (находится в конфигурационном файле Сервера).
Обязательным полем является только Интервал отправки статистики.
·
Аварийные завершения соединений — разрешает отслеживать аварийно завершенные соединения с клиентами и иметь возможность отправлять соответствующие оповещения администратору.
Задайте следующие настройки аварийных завершений соединений:
ъ Период запрета на отправку оповещений — промежуток времени в секундах после отправки оповещения о множественных завершениях соединений, в течение которого не будут отправляться оповещения о единичных завершенных соединениях.
ъ Период подсчета завершенных соединений — промежуток времени в секундах, в течение которого должно произойти заданное количество разрывов соединений с клиентами, чтобы отправить соответствующее оповещение.

Руководство администратора
252
Глава 9: Настройка Сервера Dr.Web
ъ Количество соединений для оповещения о единичных завершениях —
минимальное количество соединений, которые должны быть разорваны с одним адресом в течение периода подсчета, чтобы было отправлено оповещение о единичном аварийном завершении соединения (оповещение Аварийное
завершение соединения).
ъ Количество соединений для оповещения о множественных завершениях —
минимальное количество соединений, которые должны быть разорваны в течение периода подсчета, чтобы было отправлено единое оповещение о множественных аварийных завершениях соединений (оповещение Зафиксировано большое
количество аварийно завершенных соединений).
ъ Длительность коротких соединений — если длительность завершенного соединения с клиентом меньше указанной, то при достижении заданного количества соединений будет отправлено оповещение о единичных завершениях соединений (оповещение Аварийное завершение соединения) вне зависимости от периода подсчета. При этом соединение не должно быть прервано в дальнейшем более продолжительными подключениями, и не должно быть отправлено оповещение о множественных аварийных завершениях соединений (оповещение
Зафиксировано большое количество аварийно завершенных соединений).
·
Ошибки сканирования — разрешает мониторинг обнаружения ошибок при сканировании на рабочих станциях и запись информации в базу данных.
·
Статистика сканирования — разрешает мониторинг результатов сканирования на рабочих станциях и запись информации в базу данных.
·
Инсталляции Агентов — разрешает мониторинг информации об инсталляциях
Агентов на рабочих станциях и запись ее в базу данных.
·
Заблокированные устройства — разрешает мониторинг информации об устройствах,
заблокированных компонентом Офисный контроль, и запись информации в базу данных.
·
Статистика Контроля приложений по активности процессов — разрешает мониторинг информации об активности процессов на станциях, зафиксированной
Контролем приложений, и запись информации в базу данных.
·
Статистика Контроля приложений по блокировке процессов — разрешает мониторинг информации о блокировках процессов на станциях Контролем приложений и запись информации в базу данных.
·
Множественные блокировки Контролем приложений — разрешает отслеживать множественные блокировки процессов Контролем приложений и иметь возможность отправлять соответствующие оповещения администратору.
Задайте следующие настройки событий:
ъ Период запрета на отправку оповещений — промежуток времени в секундах после отправки суммарного отчета о процессах, заблокированных Контролем приложений, в течение которого не будут отправляться оповещения о единичных блокировках.

Руководство администратора
253