3. Dr.Web Enterprise Security Suite Версия 12.0 от 23.09.21. Руководство администратора Доктор Веб
Скачать 4.42 Mb.
|
Глава 9: Настройка Сервера Dr.Web Тестовый режим также можно использовать для проверки работы отдельных разрешающих и запрещающих правил в профиле, без перевода в тестовый режим профиля целиком. Чтобы включить тестовый режим для разрешающего или запрещающего правила в составе профиля 1. В разделе Разрешающие правила или Запрещающие правила свойств профиля выберите созданное правило, работу которого вы хотите протестировать. 2. В открывшихся настройках правила установите флаги Включить правило и Перевести правило в тестовый режим. 3. Нажмите Сохранить. В этом режиме запускаемые на станциях программы будут блокироваться, однако только согласно критериям функционального анализа и тем правилам, которые не были переведены в тестовый режим. Разрешающие и запрещающие правила в тестовом режиме работают аналогично профилям в этом режиме: их настройки не влияют на блокировку программ, но результат каждого срабатывания записывается в журнал активности в разделе События Контроля приложений. В отличие от тестового режима профилей, наличие правил в тестовом режиме никак не отражается на значке задействованного профиля в дереве антивирусной сети. Активный профиль с правилами в тестовом режиме будет иметь значок . Когда вы убедитесь в должной работе тестируемого правила, необходимо перевести его из тестового режима в активный режим работы. Чтобы отключить тестовый режим для разрешающего или запрещающего правила в составе профиля 1. В разделе Разрешающие правила или Запрещающие правила свойств профиля выберите тестируемое правило. 2. В открывшихся настройках снимите флаг Перевести правило в тестовый режим. 3. Нажмите Сохранить. 9.12.2. Доверенные приложения Управление доверенными приложениями Группа доверенных приложений (или белый список приложений) представляет собой список приложений, собранных по заданным критериям с выбранной станции или группы станций. Эти приложения будут разрешены для запуска на станциях Руководство администратора 327 Глава 9: Настройка Сервера Dr.Web антивирусной сети, для которых они добавлены в профиль компонента Контроль приложений при работе в разрешающем режиме Сбор информации для формирования группы доверенных приложений является ресурсоемким процессом, который, в зависимости от заданных критериев, может существенно повлиять на быстродействие задействованного компьютера. Для снижения нагрузки на станции антивирусной сети сбор информации следует осуществлять на одной или нескольких эталонных станциях — компьютерах, специально выбранных для этой задачи. Идеальным кандидатом для этой роли является компьютер со свежеустановленной операционной системой, последними обновлениями и всем необходимым для работы ПО. Для управления доверенными приложениями на Серверах, собирающих информацию, перейдите в раздел Администрирование → Контроль приложений → Доверенные приложения. Таблица раздела содержит список всех актуальных групп доверенных приложений. На панели инструментов доступны следующие кнопки управления: Создать группу доверенных приложений Перезапустить создание группы доверенных приложений Удалить группу доверенных приложений Чтобы создать новую группу доверенных приложений 1. В разделе Доверенные приложения нажмите на панели инструментов кнопку Создать группу доверенных приложений. 2. В окне Общие задайте следующие настройки: · Название группы — название создаваемой группы доверенных приложений. · Описание — необязательное произвольное описание создаваемой группы. Нажмите кнопку Далее. 3. В окне Параметры добавления приложений в доверенные задайте следующие настройки, согласно которым приложения на станциях будут добавляться в создаваемую группу доверенных приложений (должно быть выбрано хотя бы по одной настройке в каждой из категорий): · Область поиска — установите флаги для тех областей, по которым будет производиться сбор информации о приложениях. Для опции Искать по заданным путям можете задать несколько путей для поиска приложений. Используйте ";" в качестве разделителя. · Тип добавляемых хешей — установите флаги для тех объектов, хеши которых будут записываться в создаваемую группу доверенных приложений. Руководство администратора 328 Глава 9: Настройка Сервера Dr.Web · Категории файлов — установите флаги для тех файлов, которые будут учитываться при поиске. Нажмите кнопку Далее. 4. В дереве сети выберите станции и группы станций, на которых будет осуществляться сбор информации о приложениях для включения их в список доверенных. Для выбора нескольких групп и станций используйте кнопки CTRL и SHIFT. Установите флаг Не учитывать вложенные группы, чтобы собирать информацию по станциям только в выбранной группе. Если флаг снят, собирается информация со всех станций в выбранной группы и ее подгруппах. 5. Нажмите кнопку Сохранить. 6. Начнется сбор информации о приложениях на станциях согласно заданным настройкам. Процесс может занять продолжительное время. Информацию о состоянии и обновлении группы доверенных приложений вы можете посмотреть: · в основной таблице раздела Доверенные приложения, · в дополнительной информации о группе, которая открывается при нажатии на строку, соответствующую группе в основной таблице раздела Доверенные приложения. Информация о приложениях собирается в рамках текущего сеанса работы на задействованной станции. Если сбор информации не закончился, но станция была выключена или перезагружена, после включения операция начнется заново. Частично собранные данные о приложениях не сохраняются. Чтобы запустить обновление группы доверенных приложений 1. В разделе Доверенные приложения в таблице раздела установите флаги для групп, которые вы хотите обновить. 2. Нажмите на панели инструментов кнопку Перезапустить создание группы доверенных приложений. Чтобы удалить группу доверенных приложений 1. В разделе Доверенные приложения в таблице раздела установите флаги для групп, которые вы хотите удалить. 2. Нажмите на панели инструментов кнопку Удалить группу доверенных приложений. 3. Приложения данной группы будут удалены из списка разрешенных для запуска на станциях и сбор приложений для списка доверенных по критериям данной группы будет остановлен. Руководство администратора 329 Глава 9: Настройка Сервера Dr.Web Невозможно удалить группу доверенных приложений, назначенную на профили Контроля приложений. При удалении групп доверенных приложений создается новая ревизия в репозитории для продукта Доверенные приложения и распространяется на соседние Серверы. При этом может быть нарушена работа профилей Контроля приложений, для которых эта группа назначена на соседних Серверах. Чтобы удалить информацию о приложениях на конкретной станции из группы доверенных приложений 1. В разделе Доверенные приложения в таблице раздела нажмите на строку с группой приложений, из которой вы хотите удалить информацию о приложениях на станции. 2. В открывшемся окне в таблице станций установите флаги для тех станций, информацию о приложениях на которых вы хотите удалить. 3. Нажмите на панели инструментов кнопку Удалить выбранные станции. При удалении всех станций сама группа доверенных приложений будет удалена. Репозиторий доверенных приложений При настройке разрешающего режима для профиля Контроля приложений группы доверенных приложений выбираются из списка групп, доступных в репозитории для продукта Доверенные приложения. Если в вашей антивирусной сети используется несколько Серверов Dr.Web, объединенных межсерверной связью, для облегчения сбора информации предоставляется возможность распределения нагрузки между вашими Серверами следующим образом: · На одном из Серверов администратор собирает информацию с защищаемых станций. Информация автоматически размещается в репозитории Сервера в продукте Доверенные приложения и согласно заданным настройкам распространяется по межсерверной связи. Информация о доверенных приложениях может собираться на нескольких Серверах сети, но сегменты сети, обслуживаемые этими Серверами, должны быть изолированы друг от друга. · Остальные Серверы получают обновление продукта Доверенные приложения по межсерверной связи согласно заданным настройкам . Настраивать сбор информации по доверенным приложениям на этих Серверах нет необходимости, поскольку в репозитории будут размещаться ревизии продукта, полученные от соседнего Сервера. Руководство администратора 330 Глава 9: Настройка Сервера Dr.Web Продукт Доверенные приложения не обновляется с ВСО. Распространение этого продукта возможно только между соседними Серверами по межсерверной связи. Перед началом сбора Доверенных приложений определите, какие из Серверов будут собирать информацию и отправлять ее соседним Серверам, а какие — получать ее по межсерверной связи. В зависимости от этого на каждом из Серверов необходимо произвести соответствующие настройки. Чтобы настроить Серверы, собирающие и отправляющие доверенные приложения 1. Откройте раздел Администрирование. 2. Перейдите в разделе Детальная конфигурация репозитория → Доверенные приложения. 3. На вкладке Синхронизация снимите флаг Запретить передачу обновлений соседним Серверам и установите флаг Запретить получение обновлений от соседних Серверов. 4. Нажмите Сохранить. 5. Перейдите в раздел Администрирование → Контроль приложений → Доверенные приложения и настройте сбор доверенных приложений, как описано ниже 6. Новая ревизия продукта Доверенные приложения записывается в репозиторий после получения информации ото всех станций, указанных в настройках по сбору группы доверенных приложений. После записи ревизии продукта в репозиторий, она распространяется по межсерверной связи на соседние Серверы. Чтобы настроить Серверы, получающие доверенные приложения 1. Откройте раздел Администрирование. 2. Перейдите в разделе Детальная конфигурация репозитория → Доверенные приложения. 3. На вкладке Синхронизация снимите флаг Запретить получение обновлений от соседних Серверов. Если Сервер должен передать продукт Доверенные приложения другим Серверам по межсерверной связи, также снимите флаг Запретить передачу обновлений соседним Серверам. 4. Нажмите Сохранить. 9.12.3. Справочник приложений Для просмотра справочника приложений перейдите в раздел Администрирование → Контроль приложений → Справочник приложений. Руководство администратора 331 Глава 9: Настройка Сервера Dr.Web Справочник приложений содержит информацию о приложениях, установленных на защищаемых станциях под ОС Windows, подключенных к Серверу Dr.Web. Справочник формируется автоматически в фоновом режиме и после сбора не подлежит изменению со стороны администратора. Информация о каждом приложении отправляется Агентом на Сервер единожды при первой активности этого приложения. Справочник может быть использован в следующих случаях: · Для получения информации об установленных приложениях на станциях сети. · Для создания запрещающих и разрешающих правил. Использование справочника упрощает процесс создания правил, поскольку вся информация о приложении заполняется автоматически на основе данных о выбранном известном приложении. Наполнение справочника приложений Чтобы активировать отправку информации со станций для справочника приложений 1. В разделе Антивирусная сеть выберите в дереве станции или группы станций с установленным Контролем приложений, с которых вы хотите получать информацию об установленных на них приложениях. 2. В управляющем меню выберите пункт Windows → Агент Dr.Web. 3. На вкладке Общие установите флаг Отслеживать события Контроля приложений, чтобы отслеживать всю активность процессов на станциях, зафиксированную Контролем приложений, и отправлять события на Сервер. При отсутствии подключения к Серверу события накапливаются и отправляются при подключении. Если флаг снят, могут отправляться события только о блокировках (в зависимости от настроек в конфигурации Сервера). 4. Нажмите Сохранить. Чтобы активировать сбор информации Сервером для справочника приложений 1. Откройте раздел Администрирование → Конфигурация Сервера Dr.Web. 2. Перейдите на вкладку Статистика и установите одну из следующих опций: · Статистика Контроля приложений по активности процессов, чтобы получать и записывать информацию по любой активности всех процессов: как разрешенных для запуска, так и запрещенных Контролем приложений. При выборе этой опции в справочник будут заноситься приложения при условии создания и назначения хотя бы одного профиля с одной или несколькими выбранными категориями критериев функционального анализа До создания профилей и назначения их на станции антивирусной сети, запуск всех приложений разрешается. Руководство администратора 332 Глава 9: Настройка Сервера Dr.Web · Статистика Контроля приложений по блокировке процессов, чтобы получать и записывать информацию по активности всех процессов, запрещенных для запуска Контролем приложений. При выборе этой опции в справочник будут заноситься приложения только после создания профилей , по настройкам которых запуск приложений будет блокироваться, и назначения этих профилей на станции антивирусной сети. Флаг Статистика Контроля приложений по активности процессов может значительно повысить ресурсоемкость сбора статистики по всей антивирусной сети. 3. Нажмите кнопку Сохранить. 4. Перезапустите Сервер. 5. После перезагрузки Сервер начнет фиксировать статистику по запуску приложений согласно заданным настройкам, присылаемую со всех станций с установленным Контролем приложений. Создание правил из справочника приложений Чтобы создать новое правило на основе данных из справочника приложений 1. В разделе Справочник приложений выберите строку о приложений, для которого вы хотите создать правило, контролирующее запуск. 2. При нажатии на строку таблицы откроется окно с информацией о выбранном приложении. 3. Нажмите кнопку Создать правило. 4. Откроется окно для создания нового правила. Задайте следующие настройки: a) В выпадающем списке Название профиля выберите профиль Контроля приложений, в котором будет создано правило. b) В поле Название правила задайте название для создаваемого правила. c) Для опции Тип правила выберите тип создаваемого правила: запрещающее или разрешающее d) Для опции Режим работы выберите, в каком режиме будет работать созданное правило (соответствует флагу Перевести правило в тестовый режим при создании правила из профиля): Если вы хотите проверить работу правила, выберите режим Тестовый. Приложения не будут контролироваться на станциях, однако будет осуществляться запись журнала активности как при включенных настройках. Результаты запусков и блокировок приложений в тестовом режиме работы правила будут отображаться в разделе События Контроля приложений В режиме Активный правило будет работать в активном режиме с блокировкой приложений на станциях по заданным настройкам правила (см. также режимы работы профилей ). Руководство администратора 333 Глава 9: Настройка Сервера Dr.Web e) В разделе Запрещать запуск приложений по следующим критериям/Разрешать запуск приложений по следующим критериям (в зависимости от типа правила, выбранного на шаге 4c) будут автоматически заполнены поля в соответствии с приложением, на основе которого создается правило. При необходимости можете отредактировать значения настроек. 5. Нажмите Сохранить. Правило будет создано в заданном профиле Контроля приложений. 9.13. Дополнительные возможности 9.13.1. Управление базой данных Раздел Управление базой данных позволяет осуществлять непосредственное обслуживание базы данных, с которой работает Сервер Dr.Web. Секция Общие содержит следующие параметры: · Поле Последнее обслуживание БД — дата последнего запуска команд обслуживания базы данных из этого раздела. · Список команд для обслуживания базы данных, включающий: ъ Команды, аналогичные заданиям из расписания Сервера Dr.Web . Названия команд соответствуют названиям заданий из раздела Действия в расписании Сервера (описание соответствующих заданий расписания приведено в таблице Типы заданий и их параметры ). ъ Команду Анализ базы данных. Предназначена для оптимизации базы данных Сервера посредством выполнения команды analyze. ъ Команду Очистка неактивированных станций. Предназначена для удаления учетных записей станций, которые были созданы в антивирусной сети, но ни разу не подключались к Серверу. Необходимо указать период, по истечении которого неиспользованные учетные записи будут удалены. Список неиспользованных учетных записей станций можно посмотреть в иерархическом списке антивирусной сети, в группе Status → New. Чтобы выполнить команды обслуживания базы данных 1. В списке команд установите флаги для тех команд, которые вы хотите выполнить. При необходимости, измените временные периоды для команд очистки базы данных, по прошествии которых хранимая информация признается устаревшей и подлежит удалению с Сервера. 2. Нажмите кнопку Применить сейчас. Все выбранные команды будут выполнены незамедлительно. Для отсроченного и/или периодического автоматического выполнения данных команд (кроме команды Анализ базы данных) воспользуйтесь Планировщиком заданий Сервера |