3. Dr.Web Enterprise Security Suite Версия 12.0 от 23.09.21. Руководство администратора Доктор Веб
Скачать 4.42 Mb.
|
Глава 5: Компоненты антивирусной сети и их интерфейс Для Серверов под ОС Windows настройки поиска в Active Directory являются необязательными. В качестве регистрационных данных по умолчанию используются данные пользователя, от имени которого запущен процесс Сервера (как правило LocalSystem). Для Серверов под ОС семейства UNIX настройки должны быть обязательно заданы. · В выпадающем списке Защита соединения выберите тип шифрованного обмена данными: ъ STARTTLS — переключение на защищенное соединение осуществляется через команду STARTTLS. По умолчанию для соединения предусматривается использование 25 порта. ъ SSL/TLS — открыть отдельное защищенное шифрованное соединение. По умолчанию для соединения предусматривается использование 465 порта. ъ Нет — не использовать шифрование. Обмен данными будет происходить по незащищенному соединению. 6. В разделе Общие параметры задайте настройки, используемые всеми режимами поиска: · Тайм-аут (сек.) — максимальное время ожидания ответа от станции в секундах. · Количество обращений к одной станции — максимальное количество обращений к одной станции в ожидании ответа. · Количество одновременных обращений — максимальное количество станций, к которым осуществляется одновременное обращение. · Установите флаг Показывать названия станций, чтобы для найденных станций отображался не только их IP-адрес, но и доменное имя. Если станция не зарегистрирована на DNS-сервере, то будет выводится только ее IP-адрес. · Установите флаг Определять наличие Агента, чтобы определять наличие установленного на станции Агента. Если опция Определять наличие Агента отключена, для всех найденных станций будет отображаться статус , т. е. состояние антивирусного ПО на станции неизвестно. · Порт — номер порта протокола UDP по которому следует обращаться к Агентам при поиске. Диапазон значений 1-65535. По умолчанию используется порт 2193. 7. Нажмите кнопку Сканировать. После этого начнется сканирование сети. 8. В процессе сканирования сети в окно будет загружаться список компьютеров с указанием наличия на них Агента Dr.Web. Разверните элементы каталога, соответствующие рабочим группам (доменам). Все элементы каталога, соответствующие рабочим группам и отдельным станциям помечаются различными значками, значение которых приведено ниже: Руководство администратора 96 Глава 5: Компоненты антивирусной сети и их интерфейс Значок Описание Рабочие группы Рабочие группы, содержащие в числе прочих компьютеры, на которые можно установить антивирус Dr.Web Enterprise Security Suite. Остальные группы, включающие компьютеры с установленным антивирусным ПО или недоступные по сети. Рабочие станции Активная станция с установленным антивирусным ПО. Активная станция с неподтвержденным статусом антивирусного ПО: на компьютере нет антивирусного ПО, либо наличие ПО не проверялось. Элементы каталога, соответствующие станциям со значками , можно дополнительно развернуть и ознакомиться с составом установленных компонентов. 5.5. Схема взаимодействия компонентов антивирусной сети На рисунке 5-2 представлена общая схема фрагмента антивирусной сети. Данная схема отображает антивирусную сеть, в состав которой входит только один Сервер. В крупных компаниях предпочтительно разворачивать антивирусную сеть с несколькими Серверами для распределения нагрузки между ними. В данном примере антивирусная сеть развернута в пределах одной ЛВС, однако для установки и работы Dr.Web Enterprise Security Suite и антивирусных пакетов нахождение компьютеров в пределах какой-либо ЛВС необязательно, достаточно доступа в интернет. Руководство администратора 97 Глава 5: Компоненты антивирусной сети и их интерфейс Сервер Dr.Web HTTP/HTTPS Центр управления безопасностью Dr.Web Сеть на основе TCP/IP Защищенный локальный компьютер Незащищенный локальный компьютер Рисунок 5-2. Структура антивирусной сети При запуске Сервера Dr.Web выполняется следующая последовательность действий: 1. Загрузка файлов Сервера Dr.Web из каталога bin. 2. Загрузка Планировщика заданий Сервера. 3. Загрузка каталога централизованной установки и каталога обновления, инициализация системы сигнального информирования (системы оповещений). 4. Проверка целостности БД Сервера. 5. Выполнение заданий Планировщика заданий Сервера. 6. Ожидание информации от Агентов Dr.Web и команд от Центров управления. Весь поток команд, данных и статистической информации в обязательном порядке проходит через Сервер Dr.Web. Центр управления также обменивается информацией только с Сервером; изменения в конфигурации рабочей станции и передача команд Агенту Dr.Web осуществляется Сервером на основе команд Центра управления. Таким образом, логическая структура фрагмента антивирусной сети имеет вид, представленный на рисунке 5-3 Руководство администратора 98 Глава 5: Компоненты антивирусной сети и их интерфейс Сервер Dr.Web HTTP/HTTPS Центр управления безопасностью Dr.Web Сеть на основе TCP/IP Защищенный локальный компьютер Передача обновлений через HTTP/HTTPS ВСО Dr.Web Рисунок 5-3. Логическая структура антивирусной сети Между Сервером и рабочими станциями (сплошная тонкая линия на рисунке 5-3 ) передаются: · запросы Агента на получение централизованного расписания и централизованное расписание данной рабочей станции, · настройки Агента и антивирусного пакета, · запросы на очередные задания, подлежащие выполнению (сканирование, обновление вирусных баз и т. п.), · файлы антивирусных пакетов — при получении Агентом задания на их установку, · обновления ПО и вирусных баз — при выполнении задания на обновление, · сообщения Агента о конфигурации рабочей станции, Руководство администратора 99 Глава 5: Компоненты антивирусной сети и их интерфейс · статистика работы Агента и антивирусных пакетов для включения в централизованный журнал, · сообщения о вирусных событиях и других подлежащих фиксации событиях. Объем трафика между рабочими станциями и Сервером, в зависимости от настроек рабочих станций и их количества, может быть весьма значительным. Поэтому антивирусная сеть Dr.Web Enterprise Security Suite предусматривает возможность компрессии трафика. Описание использования этого факультативного режима см. ниже, п. Использование шифрования и сжатия трафика Трафик между Сервером и рабочей станцией можно зашифровать. Это позволяет избежать разглашения сведений, передаваемых по описываемому каналу, а также подмены ПО, загружаемого на рабочие станции. По умолчанию эта возможность включена. Описание использования этого режима см. ниже, п. Использование шифрования и сжатия трафика От веб-сервера обновлений к Серверу Dr.Web (сплошная толстая линия на рисунке 5-3 ) передаются, с использованием протокола HTTP, файлы, необходимые для репликации централизованных каталогов установки и обновления, и служебная информация о ходе этого процесса. Целостность передаваемой информации (файлов ПО Dr.Web Enterprise Security Suite и антивирусных пакетов) обеспечивается использованием механизма контрольных сумм: поврежденный при пересылке или подмененный файл не будет принят Сервером. Между Сервером и Центром управления (пунктирная линия на рисунке 5-3 ) передаются сведения о конфигурации Сервера (включая информацию о топологии сети) и настройки рабочих станций. Эта информация визуализируется в Центре управления, и, в случае изменения пользователем (администратором антивирусной сети) каких-либо настроек, информация о внесенных изменениях передается на Сервер. Установление соединения Центра управления с выбранным Сервером производится только после аутентификации администратора антивирусной сети посредством ввода его регистрационного имени и пароля на данном Сервере. Руководство администратора 100 Глава 6: Администраторы антивирусной сети Глава 6: Администраторы антивирусной сети Рекомендуется назначать администратором антивирусной сети надежного, квалифицированного работника, имеющего опыт администрирования локальной сети и компетентного в вопросах антивирусной защиты. Такой сотрудник должен иметь полный доступ к каталогам установки Сервера Dr.Web. В зависимости от политики безопасности в организации и кадровой ситуации, администратор антивирусной сети либо должен получать полномочия администратора локальной сети, либо работать в тесном контакте с таким лицом. Администратору антивирусной сети для текущего управления антивирусной сетью не требуются административные полномочия на компьютерах, включенных в эту антивирусную сеть. Однако удаленная установка и деинсталляция ПО Агента возможна только в локальной сети и требует полномочий администратора в этой сети, а отладка Сервера Dr.Web — полного доступа к каталогу его установки. При планировании антивирусной сети рекомендуется также сформировать перечень лиц, которые должны иметь доступ к Центру управления по своим должностным обязанностям, и подготовить перечень ролей со списком функциональных обязанностей, закрепленных за каждой ролью. Для каждой роли необходимо создать административную группу . Ассоциация конкретных администраторов с ролями осуществляется путем размещения их учетных записей в административных группах. При необходимости административные группы (роли) можно иерархически группировать в многоуровневую систему с возможностью индивидуальной настройки административных прав доступа для каждого уровня. 6.1. Аутентификация администраторов Аутентификация администратора для подключения к Серверу Dr.Web возможна следующими способами: · С хранением данных об администраторах в БД Сервера. · С помощью настроек LDAP/AD, позволяющих подключение к серверам LDAP и Active Directory. · С использованием RADIUS-протокола. · С использованием PAM (только под ОС семейства UNIX). При обновлении Сервера с предыдущей версии также могут быть доступны следующие типы аутентификации (если они были включены в предыдущей версии): · С помощью Active Directory (в версиях Сервера для ОС Windows). · С использованием LDAP-протокола. Руководство администратора 101 Глава 6: Администраторы антивирусной сети После отключения данных типов аутентификации их разделы будут исключены из настроек Центра управления. При первичной установке Сервера данные разделы не предоставляются. Методы аутентификации используются последовательно согласно следующим принципам: 1. Первой всегда осуществляется попытка аутентификации администратора из БД Сервера. 2. Порядок использования методов аутентификации через внешние системы зависит от порядка их следования в настройках, задаваемых в Центре управления. 3. Методы аутентификации через внешние системы по умолчанию отключены. Чтобы изменить порядок использования методов аутентификации 1. Выберите пункт Администрирование в главном меню Центра управления. 2. В управляющем меню выберите раздел Аутентификация. 3. В открывшемся окне представлен список типов аутентификации в том порядке, в котором они используются. Для изменения порядка следования методов аутентификации в списке разместите их путем перетаскивания мышью в таком порядке, в каком необходимо проводить аутентификацию. 4. Для принятия изменений перезагрузите Сервер. Регистрационное имя администратора должно быть уникальным. Подключение администраторов через внешние системы аутентификации будет невозможно, если на Сервере уже существует администратор с таким же регистрационным именем. При каждом сохранении изменений раздела Аутентификация автоматически сохраняется резервная копия предыдущей версии конфигурационного файла с параметрами аутентификации администраторов. Хранению подлежат 10 последних копий. Резервные копии располагаются в том же каталоге, что и сам конфигурационный файл, и называются в соответствии со следующим форматом: <имя_файла>_<время_создания> где <имя_файла> зависит от системы аутентификации: auth-ads.conf, auth- ldap.conf , auth-radius.conf, auth-pam.conf. Вы можете использовать созданные резервные копии, в частности, для восстановления конфигурационного файла в случае, если интерфейс Центра управления недоступен. Руководство администратора 102 Глава 6: Администраторы антивирусной сети 6.1.1. Аутентификация администраторов из БД Сервера Метод аутентификации с хранением данных об администраторах в БД Сервера используется по умолчанию. Чтобы открыть раздел управления административными учетными записями 1. Выберите пункт Администрирование в главном меню Центра управления. 2. В управляющем меню выберите раздел Администраторы. Откроется список всех администраторов Сервера. Подробнее см. п. Администраторы и административные группы 6.1.2. Аутентификация с использованием LDAP/AD Чтобы включить аутентификацию через LDAP/AD 1. Выберите пункт Администрирование в главном меню Центра управления. 2. В управляющем меню выберите раздел Аутентификация. 3. В открывшемся окне зайдите в раздел LDAP/AD-аутентификация. 4. Установите флаг Использовать LDAP/AD-аутентификацию. 5. Нажмите кнопку Сохранить. 6. Для принятия изменений перезагрузите Сервер. Настройка аутентификации с использованием LDAP-протокола возможна на любом LDAP-сервере. Также с использованием этого механизма можно настроить Сервер под ОС семейства UNIX для аутентификации в Active Directory на доменном контроллере. Для удобства пользователя в разделе предоставляется возможность переключения между упрощенным или расширенным вариантами настроек аутентификации через LDAP/AD. Настройки LDAP/AD-аутентификации сохраняются в файле конфигурации auth-ldap- rfc4515.conf Также предоставляются конфигурационные файлы с типовыми настройками: auth- ldap-rfc4515-check-group.conf , auth-ldap-rfc4515-check-group- novar.conf , auth-ldap-rfc4515-simple-login.conf. Описание основных xml-атрибутов аутентификации приведено в документе Приложения, в Приложении В3 Руководство администратора 103 Глава 6: Администраторы антивирусной сети 6.1.3. Аутентификация с использованием RADIUS Чтобы включить аутентификацию через RADIUS 1. Выберите пункт Администрирование в главном меню Центра управления. 2. В управляющем меню выберите раздел Аутентификация. 3. В открывшемся окне зайдите в раздел RADIUS-аутентификация. 4. Установите флаг Использовать RADIUS-аутентификацию. 5. Нажмите кнопку Сохранить. 6. Для принятия изменений перезагрузите Сервер. Для использования протокола аутентификации RADIUS необходимо развернуть сервер, реализующий этот протокол, например, freeradius (подробности см. на https://freeradius.org/ ). В Центре управления настраиваются следующие параметры работы с сервером RADIUS: · Сервер, Порт, Пароль — параметры подключения к серверу RADIUS: IP-адрес/DNS- имя, номер порта, пароль (секрет) соответственно. · Тайм-аут — время ожидания ответа от сервера RADIUS в секундах. · Количество повторных попыток — количество повторных попыток соединения с сервером RADIUS. Также для настройки дополнительных параметров RADIUS могут использоваться: · Конфигурационный файл auth-radius.conf, расположенный в каталоге etc Сервера. Помимо параметров, настраиваемых через Центр управления, через конфигурационный файл вы можете задать значение идентификатора NAS. Данный идентификатор согласно RFC 2865 может быть использован вместо IP-адреса/DNS- имени в качестве идентификатора клиента при подключении к серверу RADIUS. В конфигурационном файле хранится в следующем виде: NAS identifier, optional, default - hostname --> < nas-id value =" drwcs "/> · Словарь dictionary.drweb, расположенный в каталоге etc Сервера. Словарь хранит набор атрибутов RADIUS компании «Доктор Веб» (VSA — Vendor- Specific Attributes). 6.1.4. Аутентификация с использованием PAM Чтобы включить аутентификацию через PAM 1. Выберите пункт Администрирование в главном меню Центра управления. Руководство администратора 104 Глава 6: Администраторы антивирусной сети 2. В управляющем меню выберите раздел Аутентификация. 3. В открывшемся окне зайдите в раздел PAM-аутентификация. 4. Установите флаг Использовать PAM-аутентификацию. 5. Нажмите кнопку Сохранить. 6. Для принятия изменений перезагрузите Сервер. Аутентификация на основе PAM под ОС семейства UNIX осуществляется посредством подключаемых модулей аутентификации. Для настройки параметров PAM-аутентификации вы можете использовать следующие способы: · Настройки метода аутентификации через Центр управления: в разделе Администрирование → Аутентификация → PAM-аутентификация. · Конфигурационный файл auth-pam.xml, расположенный в каталоге etc Сервера. Пример конфигурационного файла: Enable this authorization module --> < enabled value =" no " /> This authorization module number in the stack --> < order value =" 50 " /> PAM service name>" --> < service name =" drwcs " /> PAM data to be queried: PAM stack must return INT zero/non-zero --> < admin-flag mandatory =" no " name =" DrWeb_ESuite_Admin " /> Описание параметров PAM-аутентификации, настраиваемых на стороне Dr.Web Enterprise Security Suite Элемент Центра управления Элементы файла auth-pam.xml Описание Тег Атрибут Допустимые значения Флаг Использовать PAM- аутентификацию < enabled > value yes | no Флаг, определяющий, будет ли использоваться метод PAM- аутентификации. Используйте перетаскивание < order > value целочисленно е значение, согласованное со значениями других методов Порядковый номер PAM- аутентификации при использовании нескольких методов аутентификации. Поле Название службы < service > name - Имя сервиса, которое будет использовано для создания PAM- |