© 2003-2012 «Доктор Веб». Все права защищены. - Dr. Webdownload.geo.drweb.com/pub/drweb/isa-tmg/6.0/docs/drweb... · 2012-12-11 · Dr.Web for ISA Web

«Доктор Веб», Центральный офис в России125124Россия, Москва3-я улица Ямского поля, вл.2, корп.12А

Веб-сайт: www.drweb.comТелефон: +7 (495) 789-45-87

Информацию о региональных представительствах и офисах выможете найти на официальном сайте компании.

Антивирус Dr.Web для Microsoft ISA Server и Forefront TMGLightВерсия 6.00.1Руководство администратора01.11.2012

© 2003-2012 «Доктор Веб». Все права защищены.

Материалы, приведенные в данном документе, являютсясобственностью «Доктор Веб» и могут быть использованыисключительно для личных целей приобретателя продукта. Никакаячасть данного документа не может быть скопирована, размещена насетевом ресурсе или передана по каналам связи и в средствахмассовой информации или использована любым другим образомкроме использования для личных целей без ссылки на источник.

ТОВАРНЫЕ ЗНАКИDr.Web, SpIDer Mail, SpIDer Guard, CureIt!, CureNet!, AV-Desk илоготипы Dr.WEB являются зарегистрированными товарнымизнаками «Доктор Веб» в России и/или других странах. Иныезарегистрированные товарные знаки, логотипы и наименованиякомпаний, упомянутые в данном документе, являютсясобственностью их владельцев.

ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИНи при каких обстоятельствах «Доктор Веб» и его поставщики ненесут ответственности за ошибки и/или упущения, допущенные вданном документе, и понесенные в связи с ними убыткиприобретателя продукта (прямые или косвенные, включаяупущенную выгоду).

«Доктор Веб»

Мы благодарны пользователям за поддержкурешений семейства Dr.Web!

«Доктор Веб» - российский разработчик средствинформационной безопасности.

«Доктор Веб» предлагает эффективные антивирусные иантиспам-решения как для государственных организаций и

крупных компаний, так и для частных пользователей.

Антивирусные решения семейства Dr.Web разрабатываются с1992 года и неизменно демонстрируют превосходныерезультаты детектирования вредоносных программ,соответствуют мировым стандартам безопасности.

Сертификаты и награды, а также обширная географияпользователей свидетельствуют об исключительном доверии

к продуктам компании.

Руководство администратора

4

Содержание

7Условные обозначения и сокращения

9Введение

9Назначение Антивируса Dr.Web Light

11Проверяемые объекты

12Лицензирование

12Лицензионный ключевой файл

13Получение ключевого файла

15Обновление лицензии

16Принципы работы Антивируса Dr.Web Light

16Веб-фильтр

19Dr.Web HTTP Web Filter

21Службы Антивируса Dr.Web Light

23Установка и удаление

25Системные требования

27Установка Антивируса Dr.Web Light

29Удаление Антивируса Dr.Web Light

31Dr.Web for ISA Web Console

33Сканирование

35Офисный контроль

38Уведомления

39Просмотр статистики

41Просмотр списка событий

42Карантин


5

43Управление Карантином с помощью Dr.Web for ISAWeb Console

45Менеджер Карантина

49Обновление вирусных баз

50Административная консоль CMS

53Изменение пароля администратора

53Добавление новых администраторов

54Создание кластеров

57Регистрация событий

57Журнал операционной системы

58Текстовый журнал программы установки

59Журнал событий CMS

61Диагностика

61Проверка установки

62Проверка модуля обновления

63Проверка детектирования вирусов

65Приложения

65

Приложение А. Параметры командной строки длямодуля обновления

68Приложение Б. Платформа CMS

68База данных

69Контроль приложений

71Статистика

72Администрирование

74Приложение В. Служба Dr.Web SSM

76

Приложение Г. Удаление Антивируса Dr.Web Lightвручную


6

78

Приложение Д. Работа в режимецентрализованной защиты

82Приложение Е. Техническая поддержка

Предметный указатель 83



Условные обозначения исокращения

В руководстве используются следующие условные обозначения:

Обозначение Комментарий

Полужирный Названия кнопок и других элементовпользовательского интерфейса, а так же данные,которые вам необходимо ввести именно так, как ониприведены в руководстве.

Зеленыйполужирный

Названия продуктов компании «Доктор Веб» и ихкомпонентов.

Зеленоеподчеркивание

Ссылки на разделы документа и веб-сайты.

Курсив Текст, замещающий информацию, которую вамнужно ввести. В примерах ввода команд такоевыделение указывает на участки команды, которыевам необходимо заменить актуальным значением.

Так же могут выделяться термины.

ПРОПИСНЫЕБУКВЫ

Названия клавиш клавиатуры.

Символ «плюс»(+)

Указывает на одновременное нажатие несколькихклавиш. Например, запись ALT+F1 обозначает, чтонеобходимо нажать клавишу F1, удерживая нажатойклавишу ALT.

Важные замечания и указания.



В руководстве используются следующие сокращения:

ОС – операционная система;

ПО – программное обеспечение;

AD – Active Directory;

CPU – Central Processing Unit (центральное процессорноеустройство);

RAM – Random Access Memory (оперативная память);

GUI – Graphical User Interface (графический интерфейспользователя);

HTML – Hypertext Mark-up Language (язык гипертекстовойразметки);

HTTP – Hypertext Transfer Protocol (протокол передачигипертекста);

FTP – File Transfer Protocol (протокол передачи файлов);

SP1, SP2, etc. – Service Packs (служебные пакетыобновления для ОС Windows).


9Введение

Введение

Благодарим вас за приобретение Антивируса Dr.Web дляMicrosoft ISA Server и Forefront TMG Light (далее –Антивируса Dr.Web Light). Данный антивирусный продуктиспользует наиболее передовые технологии и предоставляетвозможности для антивирусной проверки и блокированияинфицированных данных, поступающих из сети Интернет попротоколу HTTP (в том числе FTP поверх HTTP) в защищенныемежсетевым экраном Microsoft ISA Server и Forefront TMGлокальные сети.

Настоящее руководство призвано помочь администраторамкорпоративных сетей установить и настроить Антивирус Dr.WebLight. Руководство содержит информацию обо всех основныхособенностях использования данного программного обеспечения,а также контактную информацию службы технической поддержки.

Назначение Антивируса Dr.Web Light

Антивирус Dr.Web Light – это приложение, созданное с цельюзащитить корпоративную сеть от вирусных угроз. Оно надежноинтегрируется в систему и осуществляет поиск и удаление любыхтипов вредоносных программ в потоке данных, проходящем черезMicrosoft ISA Server и Forefront TMG по протоколу HTTP (в томчисле FTP поверх HTTP). Приложение проверяет входящийинтернет-трафик на вирусы, программы дозвона, рекламныепрограммы, потенциально опасные программы, программы взломаи программы-шутки. При обнаружении угрозы безопасности доступпользователей к данным блокируется согласно настройкамприложения.


10Введение

Приложение интегрируется в Microsoft ISA Server и Forefront TMGпосредством встраивания собственных фильтров данных в службыMicrosoft Firewall Service и Microsoft Forefront TMG Firewallсоответственно, что обеспечивает доступ к ним ядру антивируснойсистемы Dr.Web. Приложение функционирует на платформеDr.Web CMS (Dr.Web Central Management Service),поддерживающей централизованное управление настройкамиприложения и его компонентов с возможностью удаленногоадминистрирования через браузер по защищенному протоколуHTTPS. Платформа Dr.Web CMS имеет встроенный веб-серверDr.Web CMS Web Console с аутентификацией клиента, чтообеспечивает доступ к управлению приложением толькоавторизованным администраторам.

Сервисы Dr.Web CMS, установленные на разных серверах, могутбыть объединены администратором в единое иерархическоедерево для поддержки репликации параметров с атрибутомShared приложений-подписчиков Dr.Web CMS. Репликацияпроизводится от главного сервера на подчиненный (см. разделСоздание кластеров), таким образом, управление настройкамидерева серверов возможно с корневого хоста.

Антивирус Dr.Web Light может выполнять следующие функции:

сканирование всех данных, поступающих через межсетевойэкран Microsoft ISA Server или Microsoft Forefront TMG попротоколу HTTP (в том числе FTP поверх HTTP);

блокирование доступа к инфицированным данным дляпользователей локальных сетей, защищенных межсетевымэкраном Microsoft ISA Server или Microsoft Forefront TMG;

изоляция инфицированных и подозрительных объектов вКарантине;

отправка уведомлений о вирусных событиях в журналсобытий операционной системы и ведение внутренней базысобытий Dr.Web CMS;

ограничение доступа пользователей к интернет-ресурсам спомощью Офисного контроля;

сбор статистики;

автоматическое обновление вирусных баз и компонентовпрограммы;


11Введение

поддержка единых настроек приложения на распределеннойсистеме межсетевых экранов, в том числе, объединенных вкластер.

Антивирус Dr.Web Light использует вирусные базы, которыепостоянно пополняются новыми записями, что обеспечиваетвысокий уровень защиты и своевременное реагирование напоявление новых угроз. Также в программе реализованэвристический анализатор для дополнительной защиты отнеизвестных вирусов.

Проверяемые объекты

Антивирус Dr.Web Light сканирует все объекты до того, как онипередаются клиенту для обработки.

Объекты проверки трафика, поступающего попротоколам HTTP и FTP поверх HTTP

Антивирус Dr.Web Light производит проверку HTTP- и FTP-трафика, проходящего через межсетевой экран Microsoft ISAServer и Forefront TMG, в реальном времени. Объектом проверкиявляется ресурс, указанный в запросе клиента. Microsoft ISA Serverи Forefront TMG либо подключаются к указанному в запросесерверу и получают ресурс от него, либо возвращают ресурс изсобственного кэша. Фильтры приложения выполняют перехватполученных данных (включая данные в архивах и упакованныеданные) и формируют временный буфер либо файл, которыйпотом анализируется антивирусной системой.

В большинстве случаев проведение антивирусной проверкивозможно только при наличии всего файла целиком. Поэтомунакопление и сканирование запрашиваемых данных можетзанять дополнительное время.



Лицензирование

Права пользователя на использование Антивируса Dr.Web Lightрегулируются при помощи специального файла, называемоголицензионным ключевым файлом.

Лицензионный ключевой файл

Ключевой файл имеет расширение .key и содержит, в частности,следующую информацию:

срок действия лицензии;

перечень компонентов, разрешенных к использованию;

другие ограничения (в частности, количествопользователей, защищаемых приложением).

Ключевой файл является действительным при одновременномвыполнении следующих условий:

срок действия лицензии не истек;

ключ распространяется на все используемые программоймодули;

целостность ключа не нарушена.

При нарушении любого из условий ключевой файл становитсянедействительным, при этом Антивирус Dr.Web Lightперестает обнаруживать вредоносные программы. Фактнарушения корректности ключевого файла записывается в журналрегистрации событий операционной системы, а также в текстовыйжурнал регистрации событий программы.



Ключевой файл имеет формат, защищенный отредактирования. Редактирование файла делает егонедействительным. Поэтому не следует открывать ключевойфайл в текстовых редакторах во избежание его случайнойпорчи.

Получение ключевого файла

Вы можете получить лицензионный ключевой файл одним изследующих способов:

в виде ZIP-архива по электронной почте;

вместе с дистрибутивом продукта, если лицензионный файлбыл включен в состав дистрибутива при его комплектации;

на отдельном носителе в виде файла с расширением .key.

Ключевой файл необходимо приобрести до установкиАнтивируса Dr.Web Light, т.к. для установки потребуетсяуказать путь к вашему ключевому файлу.

Получение ключевого файла по электронной почте

1. Зайдите на сайт, адрес которого указан в регистрационнойкарточке, прилагаемой к продукту.

2. Заполните форму со сведениями о покупателе.

3. Введите регистрационный серийный номер (находится нарегистрационной карточке).

4. Ключевой файл будет выслан по указанному вами адресуэлектронной почты в виде ZIP-архива, содержащего файл срасширением .key.

5. Извлеките ключевой файл на компьютер, на который выпланируете установить Антивирус Dr.Web Light.



Для ознакомления с программой можно получитьдемонстрационный ключевой файл. Такой ключевой файлобеспечивает полную функциональность основных антивирусныхкомпонентов, но имеет ограниченный срок действия и непредполагает оказание технической поддержки пользователю.

Для получения демонстрационного ключевого файла (поэлектронной почте) следует зарегистрироваться на веб-сайтеhttp://download.drweb.com/demoreq/.

Чтобы купить лицензионный ключевой файл, свяжитесь сближайшим партнером «Доктор Веб» в вашем регионе либовоспользуйтесь услугами интернет-магазина на сайте компании поадресу http://buy.drweb.com/.

Дополнительную информацию о лицензировании и ключевыхфайлах можно найти на официальном сайте компании «ДокторВеб» по адресу http://www.drweb.com/.

http://download.drweb.com/demoreq/

http://buy.drweb.com/

http://www.drweb.com/



Обновление лицензии

В некоторых случаях, например, при окончании срока действиялицензии или при изменении характеристик защищаемой системыили требований к ее безопасности, вы можете принять решение оприобретении новой или расширенной лицензии наАнтивирус Dr.Web Light. В таком случае вам потребуетсязаменить уже существующий и зарегистрированный в системелицензионный ключевой файл. Приложение поддерживаетобновление лицензии «на лету», при котором его не требуетсяпереустанавливать или прерывать его работу.

Замена ключевого файла

1. Чтобы обновить лицензию, замените имеющийся ключевойфайл в каталоге установки программы (%DrWeb for ISAServer%) новым ключевым файлом.

2. Антивирус Dr.Web Light автоматически переключится наиспользование нового ключевого файла.

Дополнительную информацию о сроках и типах лицензированияможно найти на официальном сайте компании «Доктор Веб» поадресу http://www.drweb.com/.

http://www.drweb.com/



Принципы работы АнтивирусаDr.Web Light

Все антивирусные решения «Доктор Веб» содержат следующиеосновные компоненты, обеспечивающие защиту всехоперационных систем и платформ: антивирусное ядро drweb32.dll и файлы вирусных баз (с расширением .vdb), в которыххранятся и регулярно обновляются вирусные записи, содержащиеразличную информацию о вирусах и иных вредоносных кодах.

Антивирусное решение Dr.Web для Microsoft ISA Server иForefront TMG Light интегрирует технологии «Доктор Веб» впроцесс обработки данных службой межсетевого экрана MicrosoftISA Server и Microsoft Forefront TMG.

Продукт имеет веб-интерфейс администратора для удобногоуправления настройками сканирования и отслеживания вирусныхсобытий сервера через браузер. Подробное описание настроек см.в главе Dr.Web for ISA Web Console.

Веб-фильтр

Антивирус Dr.Web Light осуществляет перехват данных сетевыхсоединений для последующей антивирусной проверки с помощьюспециального фильтра, встраиваемого в службу Microsoft FirewallService (для Microsoft ISA Server) или Microsoft Forefront TMGFirewall (для Microsoft Forefront TMG).

Фильтр реализован в виде динамической библиотеки (основаннойна модели ISAPI), запускаемой при старте службы межсетевогоэкрана Microsoft Firewall Service или Microsoft Forefront TMG Firewallи остающейся в памяти до завершения работы этой службы. Вмомент старта служба межсетевого экрана назначает фильтруопределенные сетевые события, при возникновении которыхMicrosoft ISA Server или Microsoft Forefront TMG будет передаватьему управление. Фильтр получает доступ к потоку данных,



связанных с сеансом «клиент-сервер» в службе межсетевогоэкрана. Если на запрос (request) клиента или ответ (response)сервера создается событие, для которого зарегистрирован фильтр,фильтр выполняет перехват и анализирует содержащихся впотоке данные.

В состав Антивируса Dr.Web Light входит веб-фильтр Dr.WebHTTP Web Filter, в задачу которого входит проверка межсетевоготрафика на наличие вирусов. Фильтр является самостоятельныммодулем-подписчиком главного управляющего сервиса Dr.WebCMS и по мере его загрузки в память процесса wspsrv.exeсвязывается с управляющим сервисом и начинает отображаться вАдминистративной консоли CMS.

Dr.Web HTTP Web Filter (библиотека DrWebHttpMonitor.dll,расположенная в каталоге %Microsoft ISA Server%\DrWeb\ или %Microsoft Forefront Threat Management Gateway%\DrWeb\ взависимости от используемой версии межсетевого экрана) – веб-фильтр, представляющий собой расширение времени выполнения(run-time extension) встроенного в Microsoft ISA Server/MicrosoftForefront TMG фильтра Web Proxy Filter и реагирующий на егособытия. Dr.Web HTTP Web Filter отображается в деревеконсоли управления Microsoft ISA Server или Microsoft ForefrontTMG (см. Рисунок 1а, Рисунок 1б):

на вкладке Web Filters в разделе Configuration -> Add-ins консоли Microsoft ISA Server;

на вкладке Web Filters в разделе System в консолиMicrosoft Forefront TMG.



При этом фильтр Dr.Web HTTP Web Filter не отображается навкладке свойств HTTP-протокола:

Рисунок 1а. Фильтр Dr.Web HTTP Web Filter в консолиMicrosoft ISA Server



Рисунок 1б. Фильтр Dr.Web HTTP Web Filter в консолиMicrosoft Forefront TMG

Dr.Web HTTP Web Filter

Работа фильтра Dr.Web HTTP Web Filter определяется наборомпараметров в Административной консоли CMS, доступных в группе

настроек Application Settings для DrWebHttpMonitor_1.0.

Подготовка к антивирусной проверке в контексте сессии «клиент-сервер» начинается с момента отправки сервером данных обратноклиенту, либо извлечения запрашиваемых данных из кэша (cache)Microsoft ISA Server или Microsoft Forefront TMG при установленномзначении false параметра PassCached (значение по умолчанию).

При изменении значения параметра PassCached на trueприложение перестает сканировать объекты, получаемые из кэшамежсетевого экарана, поэтому перед включением данного режимаработы рекомендуется очистить кэш. Для этого отключите



использование кэша в консоли управления межсетевого экрана,после чего удалите файл кэша (находится в папке Urlcache накаждом диске, настроенном для кэширования). После удаленияфайла кэша включите кэширование.

Поскольку объектом антивирусной проверки является ресурс,указанный в запросе клиента, фильтр Dr.Web HTTP Web Filterанализирует пакеты протокола, собирая ресурс, как буфер, либовременный файл (если размер ресурса достаточно велик) дляпоследующего антивирусного сканирования.

Если URL не заблокирован Офисным контролем, ресурс можетнаходиться в одном из четырех состояний (два неопределенных идва определенных состояния ресурса соответственно):

не подтвержден (не верифицирован);

состояние ресурса неизвестно;

инфицирован;

чист (не содержит угроз).

Как только получен результат антивирусного сканирования,ресурс переходит в определенное состояние на периодверификации, задаваемый параметром ResetCachePeriodInSec иравный по умолчанию 30 минутам с момента окончаниясканирования:

если по результатам сканирования ресурс не содержитугроз, для всех защищаемых межсетевым экраномпользователей на весь период верификации разрешаетсяполный доступ к ресурсу;

если по результатам сканирования ресурс инфицирован,фильтр Dr.Web HTTP Web Filter инициирует ответ "403Forbidden. Infected by virus";

если другие пользователи инициировали собственные циклыпроверки ресурса, до наступления определенного состоянияресурса, то по окончании сканирования по их запросамсостояние ресурса будет изменено или продлено взависимости от результата сканирования опять же напериод верификации. В конечном счете, по истечениипериода верификации с момента последнего сканированияресурс вернется к состоянию не верифицирован, и любой



его повторный запрос запустит новый цикл подтвержденияресурса;

если к ресурсу так никто и не обратится, то записи о нембудут удалены из системы через промежуток времени,заданный параметром CleanupCachePeriodInResetPeriod(измеряется количеством периодов верификации).

Службы Антивируса Dr.Web Light

Работу Антивируса Dr.Web Light обеспечивают шесть основныхслужб (сервисов):

Dr.Web Scanning Engine – содержит ядро антивируснойсистемы Dr.Web.

Dr.Web CMS – поддерживает распределенную системууправления компонентами приложения, реализуя основнойфункционал по контролю работоспособности отдельныхмодулей и их функциональную диагностику. Сервисподдерживает базу данных настроек компонентовприложения, базу событий и отслеживает статистикурабочих параметров компонентов.

Dr.Web CMS Web Console – содержит встроенный веб-сервер, предоставляющий возможность запускаадминистративных консолей приложения в браузере.

Dr.Web for MSP Component Host – инстанцирует в себевсе запрашиваемые в процессе работы вспомогательныекомпоненты приложения.

Dr.Web for MSP Requests Queue – поддерживаетасинхронную очередь запросов на выполнение заданийприложения, допускающих отложенное выполнение.

Dr.Web SSM – контролирует работу приложений,работающих на платформе CMS, и отвечает за перезапускосновных служб.

Службы Dr.Web Scanning Engine, Dr.Web CMS и Dr.Web SSMзапускаются сразу после установки приложения. Остальныеслужбы запускаются по мере возникновения необходимости в ихиспользовании.



При перезапуске служб вручную важно соблюдать правильныйпорядок остановки служб Dr.Web CMS и Dr.Web SSM из-заустановленных зависимостей между ними: необходимо сначалаостановить службу Dr.Web SSM, а после нее Dr.Web CMS.После того как обе службы будут остановлены, достаточнозапустить службу Dr.Web SSM, через некоторое времяприложение в целом придет в рабочее состояниеавтоматически.



Установка и удаление

Перед установкой или удалением Антивируса Dr.Web Lightобязательно проверьте, что на компьютере, где установленMicrosoft ISA Server или Microsoft Forefront TMG, включенавстроенная учетная запись системного администратора!

В противном случае возможно возникновение ситуаций, когда усистемного установочного компонента недостаточнопривилегий для создания и/или удаления компонентовприложения. Если по этой причине произошел сбой в процессеудаления, приводящий к неработоспособности межсетевогоэкрана, см. приложение Удаление Антивируса Dr.Web Light вручную.

Антивирус Dr.Web Light поставляется в виде установочногофайла (drweb-600-isa-20042006-x86-light.exe или drweb-600-tmg-2010-x64-light.exe в зависимости от используемогомежсетевого экрана) или в виде папки, помещенной в ZIP-архив исодержащей установочный файл.

Извлеките установочный файл на локальный диск сервера.



Если вы используете компонент Windows Terminal Services, дляустановки Антивируса Dr.Web Light рекомендуетсявоспользоваться стандартной утилитой Windows Установка иудаление программ.

Антивирус Dr.Web Light не совместим с другимиантивирусными программами. Установка несколькихантивирусных продуктов на один компьютер может привести ксистемным ошибкам и потере важных данных. Если накомпьютере уже установлена какая-либо версия данногоантивирусного продукта или другой антивирус, то егонеобходимо удалить, используя установочный файл илистандартные средства операционной системы (см.Удаление Антивируса Dr.Web Light). Кроме того, АнтивирусDr.Web Light совместим с другими продуктами Dr.Web длясерверов Windows только в пределах одной версии.

При большой нагрузке на сервер рекомендуется вручнуюостановить службу Microsoft Firewall Service (или MicrosoftForefront TMG Firewall). По завершении установки запускслужбы будет произведен автоматически.

Включение регистрации событий в процессеустановки/удаления

При необходимости, вы можете настроить регистрацию событий впроцессе установки/удаления для дальнейшего контроля иотладки приложения. Для этого выполните следующие действия:

1. В консоли запуска программ Пуск -> Выполнить,запущенной от имени администратора, перейдите вдиректорию, содержащую установочный файл.

2. Запустите установочный файл программы с помощьюкоманды:

drweb-600-isa-20042006-x86-light.exe /V"/lvx* <log_name.log>" (при использовании

межсетевого экрана Microsoft ISA Server)



drweb-600-tmg-2010-x64-light.exe /V"/lvx* <log_name.log>" (при использовании Microsoft

Forefront TMG),

где log_name.log - имя файла журнала.

Системные требования

В данном разделе представлены системные требования,необходимые для правильной установки и работыАнтивируса Dr.Web Light.

Аппаратные требования

Характеристика

Требование

при использованииMicrosoft ISA Server

при использованииMicrosoft Forefront

TMG

CPUПроцессор с тактовойчастотой 733 МГц ивыше

Процессор с тактовойчастотой 1.86 ГГц ивыше

RAM 1 Гбайт и больше 2 Гбайт и больше

Свободноепространствона диске

300 Мбайт для установки.

Дополнительный необходимый размер свободногодискового пространства требуется для временногохранения данных на этапе антивирусной проверки.

Он определяется интенсивностьюпользовательских запросов и размерами файлов,

загружаемых пользователями.

Монитор VGA-совместимый монитор



Требования к ОС и программному обеспечению

Характеристика

Требование

при использованииMicrosoft ISA Server

при использованииMicrosoft Forefront

TMG

ОС

Одна из следующих:

Microsoft® WindowsServer® 2003 x86 сService Pack 1 (SP1);

Microsoft® WindowsServer® 2003 R2 x86.

Одна из следующих:

Microsoft® WindowsServer® 2008 SP2

Microsoft® WindowsServer® 2008 R2

Файловаясистема

NTFS

Межсетевойэкран

Microsoft® ISA Server2004

Microsoft® ISA Server2006

Microsoft® Forefront®TMG 2010 (StandardEdition или EnterpriseEdition) с установленнымпакетом SP1 или SP2

Прочее ПО

Microsoft Windows Installer 3.1 или выше

Microsoft .NET Framework 3.5 SP1

Internet Explorer 7 и выше или Mozilla FireFox 3.5 ивыше



Установка Антивируса Dr.Web Light

Перед установкой настоятельно рекомендуется:

установить все критические обновления, выпущенныекомпанией Microsoft для ОС, которая используется накомпьютере (они доступны на сайте обновлений по адресуhttp://windowsupdate.microsoft.com);

проверить файловую систему при помощи стандартныхсредств и исправить обнаруженные ошибки;

завершить работу всех приложений.

Чтобы установить Антивирус Dr.Web Light:

1. Остановите сервис межсетевого экрана Microsoft ISA Server/Microsoft Forefront TMG.

2. Убедитесь, что процесс установки будет запущен подвстроенной учетной записью системного администратора.

3. Запустите установочный файл программы:

drweb-600-isa-20042006-x86-light.exe, если выиспользуете Microsoft ISA Server;

drweb-600-tmg-2010-x64-light.exe, если выиспользуете Microsoft Forefront TMG.

Откроется окно с предложением выбрать язык установки.Вы можете выбрать русский или английский язык. Нажмитекнопку OK.

4. Откроется окно Мастера установки программы. Нажмитекнопку Далее.

5. Откроется окно с текстом Лицензионного соглашения. Дляпродолжения необходимо прочитать и принятьсоглашение, выбрав пункт Я принимаю условиялицензионного соглашения. Нажмите кнопку Далее.

6. Выберите вариант лицензирования. Вы можетеиспользовать ключ, полученный от Центра управленияDr.Web, либо локальный ключ. Нажмите кнопку Далее.

http://windowsupdate.microsoft.com



7. Если на предыдущем шаге установки вы выбралииспользование локального ключа, необходимо указать путьк нему. Для этого нажмите кнопку Обзор и выберитенеобходимый файл. Нажмите кнопку Далее.

Если у вас нет действующего ключевого файла, тонажмите кнопку Получить ключевой файл, чтобыперейти на страницу запроса ключевого файла на сайтекомпании «Доктор Веб» по адресу http://www.drweb.com.

8. На шаге Готова к установке программы нажмитекнопку Установить, после чего начнется установкаАнтивируса Dr.Web Light на ваш компьютер.

9. Если сервис межсетевого экрана Microsoft ISA Server/Microsoft Forefront TMG не был остановлен на шаге 1, будетпредпринята попытка автоматически остановить его втечение определенного времени. Если сервис не удастсяостановить автоматически, откроется окно, позволяющееповторить попытку или отменить установку программы ивернуть систему в исходное состояние. Чтобы продолжитьустановку программы, вы можете остановить сервисмежсетевого экрана Microsoft ISA Server/Microsoft ForefrontTMG вручную.

10. Последующие действия Мастера установки не требуютвмешательства пользователя. По завершении установкинажмите кнопку Готово.

Во время установки программы будет перезапущен Microsoft ISAServer/Microsoft Forefront TMG. По завершении установкиубедитесь, что сервис Microsoft Firewall Service/MicrosoftForefront TMG Firewall запущен. Если сервис не запустился,необходимо запустить его вручную.

http://www.drweb.com

http://www.drweb.com



Чтобы переустановить Антивирус Dr.Web Light:


2. Удалите Антивирус Dr.Web Light. � Файл настроекприложения cmsdb не удаляется автоматически приудалении приложения. Таким образом, всепользовательские настройки сохраняются и могут бытьиспользованы при повторной установке. Однако приустановке новой версии приложения набор настроекбазовой конфигурации может быть расширен или изменен,в результате чего использование сохраненного файла непредставляется возможным, поскольку может привести ксбоям в работе приложения. Если вы хотите использоватьсохраненные настройки приложения, обратитесь втехническую поддержку компании «Доктор Веб» дляуточнения совместимости настроек платформы Dr.WebCMS в разных версиях приложения. Если в более позднейверсии появились новые параметры, в общем случаедостаточно добавить в существующую базу настроекнедостающие переменные, правильно указав их тип изначения по умолчанию.

3. Удалите вручную файлы cmsdb и cmstracedb из каталога%ProgramFiles%\DrWeb for ISA Server.

4. Выполните установку Антивируса Dr.Web Light, следуяописанным выше инструкциям.

Удаление Антивируса Dr.Web Light

Чтобы удалить Антивирус Dr.Web Light:


2. Убедитесь, что процесс удаления будет запущен подвстроенной учетной записью системного администратора.



3. Запустите установочный файл программы:

drweb-600-isa-20042006-x86-light.exe, если выиспользуете Microsoft ISA Server;

drweb-600-tmg-2010-x64-light.exe, еслииспользуется Microsoft Forefront TMG.

Откроется окно Мастера установки. Нажмите кнопку Далее.

Вы также можете воспользоваться стандартнойутилитой Windows Установка и удаление программ,доступной через Панель управления.

4. Выберите пункт Удалить и нажмите Далее.

5. В открывшемся окне нажмите кнопку Удалить.

6. По окончании удаления нажмите кнопку Закрыть.

Во время удаления будет перезапущен Microsoft ISA Server/Microsoft Forefront TMG. По окончании удаления убедитесь, чтосервис Microsoft Firewall Service/Microsoft Forefront TMG Firewallзапущен. Если сервис не запустился, необходимо запустить еговручную.

При возникновении сбоев в работе межсетевого экрана и ошибокпри удалении Антивируса Dr.Web Light вы можетеудалить программу вручную.



Dr.Web for ISA Web Console

Работа Антивируса Dr.Web Light может быть настроена спомощью Веб-консоли Администратора (см. Рисунок 2).

Запуск консоли Dr.Web for ISA Web Console

Для корректной работы Веб-консоли Администраторанеобходимо использовать следующие браузеры:

Internet Explorer 7 или выше;

Mozilla Firefox 3.5 или выше.

Кроме того, для корректной работы Веб-консолиАдминистратора в браузере Internet Explorer требуетсяразрешить использование технологии AJAX, отключив режимусиленной безопасности для администраторов:

в ОС Windows Server 2003: в разделе Панельуправления -> Установка и удаление программ ->Установка компонентов Windows снимите флажокInternet Explorer Enchanced Security Configuration инажмите кнопку Далее. Затем нажмите кнопку Готово;

в ОС Windows Server 2008: запустите Менеджерсервера (Server manager) и выберите пунктНастроить конфигурацию усиленной безопасностиInternet Explorer (Configure IE ESC), после чеговыберите соответствующую опцию в разделеАдминистраторы (Administrators).

Для запуска Веб-консоли Администратора откройте в браузереследующую страницу:

https://<ISA Server address>:2080/isa,

где <ISA Server address> – это IP-адрес сервера ISA/ForefrontTMG.



Для доступа к странице веб-консоли необходимо ввести данныеучетной записи администратора. Добавить, изменить илиудалить учетные записи администраторов можно с помощьюадминистративной веб-консоли Dr.Web CMS Web Console.

При первом запуске веб-консоли используйте данные учетнойзаписи по умолчанию: имя пользователя root и пароль drweb.

Рисунок 2. Веб-консоль Администратора

Интерфейс

Веб-консоль состоит из двух частей:

1. Дерево веб-консоли, используемое для навигации поразличным разделам настроек программы.

2. Область сведений, в которой отображаются настройкивыбранного в данный момент раздела и в которой ихможно изменять.



В верхней части области сведений находится опция смены языкаВеб-консоли Администратора. Вы можете выбрать русский илианглийский язык. Кроме того, справа от опции выбора языканаходится опция вызова справки по веб-консоли.

Сканирование

Процесс сканирования настраивается в разделе настроекСканирование. Изменение параметров в этом разделе влияет натипы проверяемых объектов, а следовательно, на уровеньзащищенности сервера. С другой стороны, увеличение числатипов объектов для проверки может привести к снижениюпроизводительности сервера.

Чтобы настроить параметры сканирования:

1. Выберите пункт Сканирование для настраиваемогопрофиля в дереве веб-консоли. Откроется областьсведений для настройки сканирования (см. Рисунок 3).

Рисунок 3. Раздел настроек сканирования



2. По умолчанию включены эвристический анализатор ипроверка прикрепленных архивов и контейнеров. Этообеспечивает более надежную защиту, но приводит кнекоторому уменьшению производительности сервера.Чтобы отключить эти режимы, снимите флажки Включитьэвристический анализатор, Проверять архивы иПроверять контейнеры в верхней части областисведений раздела Сканирование.

Отключать эвристический анализатор и проверкуприкрепленных архивов не рекомендуется, т.к. этоприведет к существенному снижению уровнязащищенности сервера.

Рядом с этими флажками находится поле ввода для времениожидания на сканирование одного файла. Если припроверке файла время ожидания истекло, то файлсчитается поврежденным. По умолчанию задано 1200000мс. При необходимости вы можете изменить это значение.

Флажок Рассматривать архивы с паролем какповрежденные определяет, будет ли программаигнорировать такие архивы или применять к ним действия,заданные для поврежденных объектов.

3. В группе настроек Вредоносные программы вы можетеуказать типы вредоносных объектов, которые следуетискать в интернет-трафике. Для этого установитесоответствующие флажки.



4. Ниже, в группе настроек Действия, укажите желаемыедействия для излечимых, неизлечимых и подозрительныхобъектов, используя соответствующие выпадающие списки.Вы можете выбрать одно из следующих действий:

Перемещать в карантин – означает, что тело письмабудет пропущено, а вложенный файл отправлен вкарантин (см. Карантин);

Удалить – означает, что объект будет удален;

Пропустить – означает, что письмо будет пропущено инаправлено получателю (действие доступно только дляподозрительных объектов).

По умолчанию для всех типов объектов выбранодействие Перемещать в карантин.

5. В группе настроек Параметры прикрепленныхвложений вы можете изменить суффикс имени файла,который прилагается к письму после того, как программасовершит над ним выбранное действие. В поле Текстможно изменить содержимое прикрепленного текстовогофайла. При редактировании текста вы можетеиспользовать макросы. Для добавления макроса выберитеего в списке Макрос и нажмите кнопку Вставить.

6. Нажмите кнопку Сохранить, когда закончите изменятьнастройки параметров сканирования.

Офисный контроль

Офисный контроль позволяет ограничить доступ пользователейк интернет-ресурсам и тем самым оградить их от просмотровнежелательных веб-сайтов (сайтов, посвященных насилию,азартным играм и т.п.) или разрешить пользователям доступтолько к тем сайтам, которые определены настройкамиОфисного контроля.



Чтобы настроить Офисный контроль:

1. Выберите пункт Офисный контроль для настраиваемогопрофиля в дереве веб-консоли. Откроется областьсведений для настройки Офисного контроля (см.Рисунок 4).

Рисунок 4. Раздел настройки Офисного контроля

2. Вы можете выбрать один из следующих вариантов работы:

Разрешить посещать все сайты – в этом режимеограничений на доступ к веб-ресурсам нет;

Блокировать сайты с нежелательным илисомнительным контентом – в этом режиме вы можетеуказать категории тех ресурсов, доступ к которым выхотите ограничить. Также фильтр позволяет вамсамостоятельно указать сайты, доступ к которым выможете запретить или разрешить вне зависимости отдругих ограничений. Для настройки блокируемыхресурсов нажмите кнопку Черный список, укажитересурс и нажмите Добавить. Для настройкиразрешенных ресурсов нажмите кнопку Белый список,укажите ресурс и нажмите Добавить;

Списки адресов веб-сайтов, относящихся ко всемтематическим категориям, регулярно обновляютсямодулем автоматического обновления вместе собновлением вирусных баз.



Разрешать сайты только из "Белого списка" – вэтом режиме доступ будет запрещен ко всем веб-ресурсам, кроме указанных в Белом списке. Для созданиясписка разрешенных ресурсов нажмите кнопку Белыйсписок, укажите ресурс и нажмите Добавить.

3. Кроме того, вы можете дополнительно включитьиспользование списка доверенных сайтов. Для этогоустановить флажок Включить в разделе Доверенныесайты. Для редактирования списка доверенных ресурсов,нажмите кнопку Изменить, укажите ресурс и нажмитеДобавить.

4. Нажмите кнопку Сохранить, когда закончите изменятьнастройки Офисного контроля.

Формирование списка доменных адресов

1. Введите в поле ввода доменное имя (часть доменногоимени):

если вы хотите добавить в список определенный сайт,введите его полный адрес (например, www.example.com). Доступ ко всем ресурсам, расположенным на этомсайте будет разрешен/запрещен;

если вы хотите разрешить/запретить доступ к тем веб-сайтам, в адресе которых содержится определенныйтекст, введите в поле этот текст. Например: example.Доступ к адресам example.com, example.test.com, test.com/example, test.example222.ru и т.п. будетзаблокирован/разрешен;

В том случае, когда введенная строка содержит символ «.»,данная строка будет рассматриваться как имя домена. Тогдавсе ресурсы, находящиеся на этом домене будутотфильтрованы.

Если данная строка содержит и символ «/» (например,example.com/test), то та часть, что стоит слева отсимвола, будет считаться доменным именем, а части справаот символа – частью разрешенного/блокируемого на данномдомене адреса (таким образом, будут отфильтрованы такиеадреса как example.com/test11, template.example.com/test22и т.п.).



2. Нажмите кнопку Добавить, расположенную справа. Адрес(часть адреса) будет добавлен в список, расположенныйвыше.

Введенная строка при добавлении в список может бытьпреобразована модулем к универсальному виду. Например:http://www.example.com будет преобразована в www.example.com.

3. Чтобы удалить какой-либо ресурс из списка, выберите его вэтом списке и нажмите кнопку Удалить.

Уведомления

Уведомления заносятся в журнал операционной системы ииспользуются для информирования администратора ипользователей сети о различных событиях, связанных с работойАнтивируса Dr.Web Light (например, связанных собнаружением инфицированных объектов).

Чтобы настроить уведомления:

1. Выберите пункт Уведомления в дереве веб-консоли.Откроется область сведений для настройки уведомлений(см. Рисунок 5).

Рисунок 1. Раздел настройки уведомлений



2. В списке Тип уведомления выберите тип событий дляотправки уведомлений:

Зараженные – для отправки уведомлений обобнаруженных вирусных угрозах;

Офисный контроль – для отправки уведомлений офильтрации сетевых ресурсов с помощью Офисногоконтроля;

Обновление – для отправки уведомлений синформацией о последнем обновлении;

Устаревшие базы – для отправки уведомлении онеобходимости обновить вирусные базы.

3. Чтобы включить отправку уведомлений выбранного типа,установите флажок Включить.

4. В разделе настроек ниже вы можете изменить шаблонуведомления выбранного типа в поле Текст. Приредактировании текста вы можете использовать макросы.

5. Нажмите кнопку Сохранить, когда закончите изменятьнастройки уведомлений.

Просмотр статистики

Раздел Статистика позволяет просмотреть общие или средниеколичественные данные о работе Антивируса Dr.Web Light заопределенный период времени (см. Рисунок 6).

Чтобы настроить отображение статистики:

1. В верхней части раздела Статистика выберите период,информация за который вас интересует, в выпадающемсписке Период статистики. Вы можете выбрать одно изследующих значений:

За все время – для просмотра статистики за все времяс начала работы Антивируса Dr.Web Light;

За день – для просмотра статистики за последние суткиработы Антивируса Dr.Web Light;



За час – для просмотра статистики за последний часработы Антивируса Dr.Web Light;

За минуту – для просмотра статистики за последнююминуту работы Антивируса Dr.Web Light;

2. В выпадающем списке Тип статистики выберите типстатистической информации. В зависимости от выбранногопериода статистики вы можете настроить просмотр общихколичественных показателей, средних за весь указанныйпериод, а также минимальных и максимальных показателейв течение указанного периода.

Типы информации

В зависимости от выбранных настроек отображения разделСтатистика может содержать следующие подразделы:

Нагрузка. В данном подразделе вы можете ознакомиться синформацией об общем размере проверенных объектов, атакже о среднем, минимальном и максимальном размереобъектов, проверенных за выбранный период.

Результаты проверки. Данный подраздел содержитинформацию об общем количестве проверенных объектов, атакже о количестве обработанных объектов различныхтипов.

Действия над проверенными. Данный подразделсодержит статистическую информацию о действиях, которыебыли применены Антивирусом Dr.Web Light кобнаруженным вредоносным объектам.

Типы угроз. В данном подразделе содержится информацияо различных типах угроз, обнаруженных Антивирусом Dr.Web Light за выбранный период времени.

Категории сайтов. В данном подразделе отображаетсястатистика работы Офисного контроля, а такжеколичество заблокированных ресурсов по категориям.



Рисунок 6. Раздел статистики

Чтобы обновить или очистить статистическую информацию,нажмите кнопку Обновить или Очистить соответственно.

Просмотр списка событий

Раздел События позволяет просмотреть все события, связанные сработой Антивируса Dr.Web Light (см. Рисунок 7).

Рисунок 7. Раздел событий



Информация о событиях

Для каждого события в списке отображается следующаяинформация:

дата и время;

название ресурса;

источник и приемник;

название угрозы;

действие.

Действия над списком событий

1. Вы можете настроить просмотр событий за определенныйпериод времени. Для этого укажите дату и время начала иокончания интересующего интервала.

2. Для удобства поиска и просмотра определенного типасобытий вы можете использовать фильтры. Выберите типфильтра в выпадающем списке Фильтр и введитезначение параметра фильтрации в поле Маска, после чегонажмите кнопку Применить.

3. Вы можете сохранить список событий в виде текстовогофайла. Для этого нажмите кнопку Экспорт.

4. Для того чтобы отсортировать записи в списке по тому илииному критерию, нажмите на соответствующий заголовокколонки.

5. Для обновления списка событий нажмите кнопкуОбновить.

Карантин

Карантин Антивируса Dr.Web Light служит для изоляцииподозрительных объектов, обнаруженных при проверке сетевоготрафика.

В разделе Карантин веб-консоли выводится информация отекущем состоянии Карантина. Кроме того, для просмотра иредактирования содержимого Карантина вы можете



использовать Менеджер Карантина.

Управление Карантином с помощью Dr.Webfor ISA Web Console

Для просмотра списка объектов в Карантине выберите пунктКарантин в дереве веб-консоли. Откроется область сведенийКарантина (см. Рисунок 8).

Рисунок 8. Список объектов в Карантине

Просмотр информации об объектах в карантине

Для каждого события в списке отображается следующаяинформация:

дата и время;

имя файла;

источник и приемник;

название угрозы;

размер файла.

При просмотре списка объектов в Карантине доступныследующие опции:

1. Для просмотра объектов, перемещенных в Карантин втечение определенного периода времени, укажите даты ивремя начала и окончания интересующего вас интервала.



2. Для удобства поиска и просмотра информации об объектахв Карантине вы можете использовать фильтры. Выберитетип фильтра в выпадающем списке Фильтр и введитезначение параметра фильтрации в поле Маска, после чегонажмите кнопку Применить.

3. Чтобы отсортировать записи в списке по тому или иномукритерию, нажмите на соответствующий заголовокколонки.

4. Для обновления списка событий нажмите кнопкуОбновить.

Действия над объектами в карантине

1. Чтобы удалить объект из списка, щелкните правой кнопкоймыши по объекту и выберите Удалить в контекстномменю. Чтобы удалить все объекты, нажмите Ctrl+A, затемвыберите Удалить.

2. Чтобы восстановить объект, щелкните правой кнопкоймыши по объекту и выберите Восстановить в контекстномменю. Затем укажите путь для восстановления файла.



Менеджер Карантина

Для запуска Менеджера Карантина (см. Рисунок 9) выберитеПуск -> Программы -> Dr.Web for ISA Server -> Quarantine.

Рисунок 9. Главное окно утилиты Quarantine.

В центральной части окна отображается таблица объектов синформацией о состоянии карантина. По умолчаниюотображаются следующие столбцы:

Имя – список имен объектов, находящихся в карантине;

Угроза – классификация вредоносной программы,определяемая Антивирусом Dr.Web Light приавтоматическом перемещении объекта в карантин;

Путь – полный путь, по которому находился объект доперемещения в Карантин.

В нижней части окна карантина отображается подробнаяинформация о выделенных объектах Карантина. Вы можетевключить отображение столбцов с подробной информацией обобъекте, аналогичной данным в нижней части окна.



Чтобы настроить отображение столбцов:

1. Чтобы задать параметры отображения информации втаблице Карантина, щелкните правой кнопкой мыши позаголовку таблицы и выберите в контекстном меню пунктНастроить колонки.

2. Выберите типы информации, которые вы хотите включить втаблицу объектов. Чтобы исключить столбцы из таблицыобъектов, снимите флажки напротив соответствующихпунктов. Чтобы добавить/исключить все типы информациинажмите кнопку Отметить все/Снять отметкисоответственно.

3. Для изменения порядка следования столбцов в таблицевыберите соответствующий столбец в списке и нажмите наодну из следующих кнопок:

Вверх – для перемещения столбца ближе к началутаблицы (вверх по списку в настройках и левее втаблице объектов);

Вниз – для перемещения столбца ближе к концутаблицы (вниз по списку в настройках и правее втаблице объектов).

4. Для сохранения изменений в настройках нажмите кнопкуОК, для закрытия окна без сохранения изменений – кнопкуОтменить.

Боковая панель слева служит для фильтрации объектовКарантина, которые будут отображены. При нажатии насоответствующий пункт, в центральной части окна будут показанывсе объекты Карантина или только заданные группы объектов:файлы, почтовые объекты, веб-страницы или все остальныеобъекты, не попадающие в данные категории.

В окне Карантина пользователи могут видеть только тефайлы, к которым имеют права доступа.

Чтобы отобразить скрытые объекты, запустите файлКарантина dwqrui.exe, расположенный в каталоге

установки, с административными правами.



Управление Карантином

Действия над объектами в Карантине

В окне Карантина доступны следующие кнопки управления:

Добавить – добавить файл в Карантин. В открывшемсябраузере по файловой системе выберите нужный файл;

Восстановить – переместить файл из Карантина ивосстановить первоначальное местоположение файла. Путьдля восстановления файла указан в колонке Путь наРисунке 19. Если путь не указан, пользователю будетпредложено выбрать папку для восстановления файла;

Используйте данную функцию только если вы уверены,что объект безопасен.

В выпадающем меню доступен вариант Восстановить в –переместить файл под заданным именем в папку, указаннуюпользователем.

Пересканировать – сканировать файл из Карантинаповторно. Если при повторном сканировании файлаобнаружится, что он не является зараженным, Карантинпредложит восстановить данный файл;

Удалить – удалить файл из Карантина и из системы.

Чтобы применить действие к нескольким объектам одновременно,выберите их в окне Карантина, удерживая клавиши SHIFT илиCTRL, затем щелкните правой кнопкой мыши на любой строкетаблицы и в выпадающем меню выберите необходимое действие.

Кроме того, в контекстном меню в таблице доступна опцияОтправить файл(ы) в лабораторию «Доктор Веб» � дляотправки файлов в Антивирусную Лабораторию «ДокторВеб»� на проверку.



Настройка свойств Карантина

Чтобы настроить свойства Карантина:

1. Нажмите на кнопку Настройки в окне Карантина.

2. Откроется окно Свойства карантина, в котором выможете изменять следующие параметры:

в разделе Задать размер карантина вы можетеуправлять объемом дискового пространства,занимаемого папкой Карантина в процентномсоотношении относительно общего размера диска (приналичии нескольких логических дисков, данный размербудет рассчитан отдельно для каждого диска, на которомрасполагаются папки Карантина). Значение 100%означает снятие ограничений для максимальногоразмера папки Карантина.

в разделе Вид выберите опцию Показыватьрезервные копии, чтобы отобразить в таблицеобъектов резервные копии файлов, находящихся вКарантине. Резервные копии создаются автоматическипри перемещении файлов в Карантин. Даже прихранении файлов в Карантине бессрочно, их резервныекопии сохраняются временно.

3. По окончании редактирования настроек нажмите кнопкуОК для сохранения внесенных изменений или кнопкуОтмена для отказа от них.


49Обновление вирусных баз

Обновление вирусных баз

Информация о версии приложения, лицензии, вирусных базах, атакже о дате, времени и результате последнего обновленияпрограммы находится в области сведений веб-консоли Версия.

Во время установки Антивируса Dr.Web Light в ПланировщикЗадач Windows (C:\Windows\Tasks) добавляется задание наобновление (Dr.Web update for ISA plug-in). Каждые 30 минутоно запускает модуль обновления DrWebUpW.exe, которыйзагружает вирусные базы и компоненты программы.

Вы можете настроить данное задание, изменяя его параметры(для этого дважды щелкните по нему в списке заданий). Вы такжеможете настроить работу самого модуля обновления, добавляяпараметры командной строки (см. Приложение А) в поле вводаВыполнить в параметрах задания.

Например, если вам необходимо настроитьобновление без подключения к сети Интернет,сделайте следующее:

1. Создайте папку с любым именем на локальном диске(например, C:\MyDocs\DrWebUpdate).

2. Поместите туда обновляемые компоненты. Списокдоступных компонентов вы можете найти в файлеdrweb32.lst, расположенном в одном из следующихкаталогов:

%AllUsersProfile%\Application Data\Doctor Web\Bases\,если используется Microsoft ISA Server;

%ProgramData%\Doctor Web\Bases\, если используетсяMicrosoft Forefront TMG.

3. Добавьте следующий параметр командной строки в полеВыполнить в настройках задания Dr.Web update for ISAplug-in: /URL:<путь к созданной папке> (например, /URL:"C:\MyDocs\DrWebUpdate").



Административная консоль CMS

Административная консоль CMS поддерживается отдельнымсервисом Dr.Web CMS Web Console, который, в свою очередь,контролируется управляющим сервисом Dr.Web CMS.

Dr.Web CMS Web Console подключается к управляющемусервису по административному протоколу.

Запуск Административной консоли CMS

Для запуска Административной консоли CMS (см. Рисунок 10)откройте в браузере следующую страницу:

https://<ISA Server address>:2080/admin,

где <ISA Server address> – это IP-адрес сервера ISA/ForefrontTMG.

Для доступа к странице Административной консоли CMSнеобходимо ввести данные учетной записи администратора.Добавить, изменить или удалить учетные записиадминистраторов можно с помощью административной веб-консоли Dr.Web CMS Web Console.

При первом запуске Административной консоли CMSиспользуйте данные учетной записи по умолчанию: имяпользователя root, пароль drweb.



Рисунок 10. Административная консоль CMS

Интерфейс

Административная консоль CMS состоит из трех частей:

1. Дерево хостов и групп.

В дереве отображаются хосты, к которым выполненоподключение. При щелчке по группе в окне переменныхвыводится список переменных. При щелчке правой кнопкоймыши по группе открывается контекстное меню, в которомдоступны следующие функции:

создание группы;

переименование группы;

удаление группы;

создание переменной.

При щелчке правой кнопкой мыши по хосту открываетсяконтекстное меню, в котором доступны все перечисленныевыше функции, а также добавляются следующие:

добавление хоста (добавляет в дерево подключение кновому хосту);

удаление хоста;

включение просмотра трассировки (включаетсяотображение трассировки в режиме реального времени);



загрузка событий (загружаются отфильтрованныесообщения за прошедшие периоды);

редактирование фильтра событий (редактированиефильтра трассировки в режиме реального времени).

2. Список переменных.

В окне переменных отображается список переменных ввыбранной группе, а также их типы, атрибуты и значения.Если это не запрещено атрибутами, то при щелчке по полюможно отредактировать введенное в нем значение. Прищелчке правой кнопкой мыши по переменной открываетсяконтекстное меню, в котором доступны следующиефункции:

создать переменную (открывает окно созданияпеременной);

удалить переменную (если позволяют атрибуты);

сбросить статистическую переменную (если переменнаяимеет атрибут Statistics).

3. Окно отслеживания сообщений (трассировки).

При включении трассировки в режиме реального времени вокне трассировки отображаются сообщения приложений.Сообщения можно отфильтровать с помощью специальногофильтр трассировки. Каждая запись имеет следующие поля:

время события;

имя хоста;

имя приложения;

уровень детализации регистрации событий;

текст сообщения.

При щелчке правой кнопкой мыши по списку событийвыводится контекстное меню, содержащее опцию очисткисписка событий.



Изменение пароля администратора

При первом запуске Dr.Web for ISA Web Console илиАдминистративной консоли CMS вход в системуосуществляется с помощью предустановленной учетной записиroot с паролем drweb. Далее настоятельно рекомендуетсяизменить пароль для данной учетной записи.

Изменение пароля учетной записи администратора

1. В дереве хостов и групп выберите группу CMS_1.0 ->Security -> Users -> root.

2. В списке переменных группы root дважды щелкните позначению Value переменной Password. Откроется окноChange password variable value.

3. Введите новый пароль в поле Password, а также в полеConfirm password для подтверждения сделанныхизменений.

Добавление новых администраторов

Вы можете добавить необходимое количество учетных записейадминистратора, помимо предустановленной записи root.

Добавление учетной записи администратора

1. В дереве хостов и групп выберите группу CMS_1.0 ->Security -> Users.

2. Щелкните по группе Users, чтобы открыть контекстноеменю. В контекстном меню выберите пункт Create group.

3. Откроется окно Enter new group name, в которомнеобходимо ввести имя администратора в поле Groupname. Далее нажмите кнопку OK.

4. Для настройки пароля администратора щелкните посоответствующей группе в дереве хостов и групп. Выберитепункт Create variable в контекстном меню.



5. Откроется окно Add new variable. Введите имяпеременной Password и выберите Password в качестве еетипа. В поле Value введите пароль администратора. Далеенажмите кнопку Append.

Создание кластеров

Административная консоль CMS позволяет организоватьнеограниченное по вложенности дерево соединенных в кластерхостов. В организованном кластере любое изменение переменнойс атрибутом Shared приводит к аналогичному изменениюпеременных на всех подчиненных хостах.

Организация кластера

На подчиненном (вводимом в кластер) хосте выполнитеследующие действия:

1. Создайте группу /CMS_1.0/Security/Users/host. Даннаягруппа будет обозначать учетную запись пользователя, подкоторой головной хост будет иметь возможностьтранслировать переменные с атрибутом Shared налокальный сервер.

2. В группе host автоматически будет создана переменнаяPassword типа Password, содержащая пароль дляподключения к учетной записи. По умолчаниюустанавливается пароль drweb. Из соображенийбезопасности данный пароль рекомендуется сменить.

На управляющем (головном) хосте выполните следующиедействия:

1. Создайте группу с произвольным именем по пути /CMS_1.0/Shared/. Данная группа будет обозначатьподчиненный хост.

2. В группе хоста автоматически создается переменнаяAddress типа String, содержащая пустую строку. Вкачестве значения данной переменной указывается IP-адрес MS-подключения подчиненного хоста в виде <IP-адрес>:<Порт>, например, 192.168.1.1:2056.



3. В группе хоста также автоматически создается переменнаяPassword типа Password, содержащая пароль дляподключения к учетной записи host на подчиненном хосте.По умолчанию устанавливается пароль drweb. Изсоображений безопасности данный пароль рекомендуетсясменить. Если пароль для всех хостов одинаковый, топеременную Password можно создать в группе Shared.Тогда она будет использоваться по умолчанию для всехсоединений.

4. Переменные, определяющие подключение к подчиненномухосту, не могут иметь атрибут Shared, соответственно,настройки соединения не могут транслироваться наподчиненные хосты. При попытке изменения атрибутовпеременных настроек соединений будет выдано сообщениео запрете доступа.

В папке Shared автоматически создается переменная Enabledтипа Boolean (см. Рисунок 11). Эта переменная включает ивыключает функционал кластера. Если для данной переменойустановлено значение True, все описанные соединениястановятся активны, False - все соединения разрываются. Поумолчанию переменная создается со значением True.

Рисунок 11. Переменная Enabled в папке Shared

При создании группы хоста в папке Shared, в нейавтоматически создается переменная Enabled типа Boolean созначением по умолчанию False. Эта переменная включает ивыключает конкретное соединение.



Изменение адреса (значения переменной Address) приводит кпереподключению активного соединения на новый адрес.Изменение пароля не приводит к переподключениюсоединения. Для переподключения соединения с новымпаролем необходимо выключить и включить соединение спомощью переменной Enabled.

При правильном создании подключения CMS автоматическиустановит соединение с подчиненным хостом и протранслирует нанего все переменные с атрибутом Shared. Если на удаленномхосте уже есть переменная с таким именем, но у нее атрибут неShared, то такая переменная будет проигнорирована с кодомвозврата MB_RC_SKIPPED.

Список подчиненных хостов можно создать на любом уровнедерева.



Регистрация событий

Антивирус Dr.Web Light регистрирует ошибки и происходящиесобытия в следующих журналах регистрации:

журнале регистрации событий операционной системы (EventLog);

текстовом журнале регистрации событий программыустановки;

журнал событий CMS.

Информация об обновлениях заносится в отдельный текстовыйжурнал drwebupw.log, расположенный в каталоге %alluserprofile%\AppData\Doctor Web\Logs\ (см. главуПроверка модуля обновления).

Журнал операционной системы

В журнал регистрации операционной системы (Event Log)заносится следующая информация:

сообщения о запуске и остановке программы;

параметры лицензионного ключевого файла:действительность или недействительность лицензии, срокдействия лицензии;

параметры модулей программы: сканера, ядра, вирусных баз(информация заносится при запуске программы и приобновлении модулей);

сообщение о недействительности лицензии: отсутствиеключевого файла, отсутствие в ключевом файле разрешенияна использование модулей программы, лицензиязаблокирована, нарушение целостности ключевого файла(информация заносится при запуске программы и в процессеее работы);



уведомления о завершении срока действия лицензии(информация заносится за 30, 15, 7, 3, 2 и 1 дней доокончания срока).

информация об обнаруженных вредоносных объектах (см.раздел Уведомления).

Просмотр журнала регистрации операционнойсистемы

1. Чтобы просмотреть журнал регистрации событийоперационной системы, откройте Панель управленияоперационной системы.

2. Выберите Администрирование, а затем выберитеПросмотр Событий.

3. В левой части окна Просмотр Событий выберитеПриложение. Откроется список событий,зарегистрированных в журнале пользовательскимиприложениями. Источниками сообщений Антивируса Dr.Web Light являются приложения Dr.Web® ScanningEngine, Dr.Web CMS, Dr.Web CMS Web Console, Dr.Web forMSP Component Host и Dr.Web for MSP Requests Queue.

Текстовый журнал программыустановки

Для упрощения процесса отладки в случае возникновенияпроблем и ошибок в процессе установки, программа установкиведет регистрацию событий. Файл регистрации событий drweb-isa-setup.log или drweb-tmg-setup.log (в зависимости от версиииспользуемого межсетевого экрана) создается в каталоге C:\Windows\Temp, или же может быть найден по переменнойокружения %temp%, т.е. при вызове %temp% в консоли запускапрограмм Пуск -> Выполнить.



Журнал событий CMS

Управляющий сервис ведет регистрацию событий приложений сразличной степенью детализации:

ЗначениеТипы сообщений с различной степеньюдетализации

Audit Сообщения этого уровня записываются самимуправляющим сервисом и описывают события,возникающие при действиях администратора,например изменение значений переменных.

Incident События безопасности, регистрируемые внешнимиприложениями, например обнаружение вирусов.

Fatal События, приводящие к потере работоспособностиприложения.

Error Ошибки, после которых возможно нормальноефункционирование приложения.

Warning Сообщения о событиях, которые требуют вниманияадминистратора.

Information Информационные сообщения.

Debug Отладочные сообщения.

Список событий сохраняется управляющим сервисом в отдельнуюбазу данных.

Управляющий сервис имеет возможность отображениярегистрируемых событий в режиме реального времени,фильтрации происходящих событий по различным параметрам,выгрузки зарегистрированных событий за прошедшие периоды сфильтрацией по различным параметрам.



С помощью изменения значения переменной LogLevel (UInt32) вгруппе Settings, обозначающей степень детализации регистрациисобытий приложения, можно выбрать оптимальный уровеньдетализации:

Значение Степень детализации

0 Записываются только сообщения уровней Error, Fatal,Incident, Audit.

1 Ко всем предыдущим уровням добавляютсясообщения уровня Warning.

2 Ко всем предыдущим уровням добавляютсясообщения уровня Information.

3 Ко всем предыдущим уровням добавляютсясообщения уровня Debug.

По умолчанию у всех приложений-подписчиков службы Dr.WebCMS устанавливается уровень детализации журнала событий,равный 2. При выборе опции Debug Traces в контекстном меню,открывающемся при щелчке правой кнопки мыши по корневомуэлементу дерева Административной консоли CMS, уровеньдетализации станет равным 3 для всех приложений-подписчиков.Однако включение данной опции сказывается на нагрузке ипроизводительности системы, поэтому по возможности избегайтеодновременного включения уровня 3 сразу для всех модулей. Есливам удалось локализовать проблему конкретного приложения-подписчика, вы можете изменить уровень детализации только дляэтого приложения.

При изменении уровня детализации событий на равный 3 вАдминистративной консоли CMS, открытой в браузереInternet Explorer, и последующем включении опции просмотрасобытий в режиме реального времени View Traces необходимоконтролировать объем памяти, выделяемой для процессаiexplorer.exe, соответствующего окну консоли. В таком режимепросмотра через некоторое время данный процесс можетзанять всю доступную память, что приведет к потереработоспособности системы.



Диагностика

Для проверки работоспособности приложения выполнитеследующие тесты, приведенные в данной главе:

проверку правильности установки антивирусногоприложения;

проверку модуля обновления;

проверку способности обнаруживать вирусы.

Проверка установки

Антивирус Dr.Web Light должен быть установлен в следующиепапки:

1. Для Microsoft ISA Server:

%ProgramFiles%\DrWeb for ISA Server;

%Microsoft ISA Server%\DrWeb;

%ProgramFiles%\Common Files\Doctor Web;

%Documents and Settings%\All Users\ApplicationData\Doctor Web;

скрытая папка %DrWeb Quarantine%.

2. Для Microsoft Forefront TMG:

%ProgramFiles(x86)%\DrWeb for ISA Server;

%ProgramFiles(x86)%\Common Files\Doctor Web\ScanningEngine;

%ProgramFiles%\DrWeb for ISA Server;

%Microsoft Forefront Threat Management Gateway%\DrWeb;

скрытые папки %ProgramData%\Doctor Web и %DrWebQuarantine%.

Убедитесь, что эти папки созданы и содержат файлы программы.



После этого откройте стандартную утилиту Windows ПросмотрСобытий (Event Viewer) и убедитесь, что не былозафиксировано ошибок, связанных с Антивирусом Dr.Web.

Наконец, убедитесь, что запущены следующие локальныесервисы:

Dr.Web Scanning Engine (DrWebEngine);

Dr.Web CMS;

Dr.Web SSM;

Dr.Web CMS Web Console;

Dr.Web for MSP Component Host;

Dr.Web for MSP Requests Queue.

Проверка модуля обновления

Модуль обновления DrWebUpW.exe автоматически запускаетсяпосле установки Антивируса Dr.Web Light. Он загружаетпоследние версии антивирусного ядра drweb32.dll, а такжеобновляет вирусные базы.

Чтобы убедиться, что обновление прошло успешно:

1. В зависимости от версии операционной системы выполнитекоманду Tasks, чтобы открыть папку C:\WINDOWS\Tasksили откройте Планировщик заданий Windows.

2. Проверьте наличие задания Антивируса Dr.Web Light воткрывшейся папке (для правильно отработавшего заданиякод возврата в столбце Последний результат долженбыть 0x0).

3. Затем откройте файл журнала событий модуля обновления%AllUsersProfile%\ApplicationData\Doctor Web\Logs\drwebupw.log (еслииспользуется Microsoft ISA Server) или %ProgramData%\Doctor Web\Logs\drwebupw.log (если используетсяMicrosoft Forefront TMG) и убедитесь, что в нем незафиксировано ошибок.



Проверка детектирования вирусов

Для проверки конфигурации и способности Антивируса Dr.WebLight обнаруживать вирусы рекомендуется использовать тестовыйскрипт EICAR (European Institute for Computer Antivirus Research).Текстовый файл, содержащий только тестовый скрипт EICAR, неявляется вирусом, не способен к саморепликации и непредставляет опасности, однако определяется антивируснымипрограммами как вирус. Вы можете загрузить тестовый файл с веб-сайта EICAR по адресу http://www.eicar.org/85-0-Download.html или создать его самостоятельно.

Чтобы создать тестовый файл EICAR:

Откройте Блокнот и скопируйте в него следующуюстроку:X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Для проверки детектирования вирусов Антивирусом Dr.WebLight по протоколу HTTP загрузите тестовый файл EICAR поданному протоколу (например, со страницы http://www.eicar.org/85-0-Download.html).

Передача файла должна быть заблокирована. В окне браузерадолжно появиться следующее сообщение:

Forbidden

URL is blocked by anti-virus

Reason: Infected by virus

В журнале событий приложения вы найдете событие типа Warningсо следующим описанием (если в настройках сканированиявыбрано действие Перемещать в карантин):

Infection detected. Dr. Web for ISA Server hasdetected that File is infected with a virus and it isincurable. The File is now moved to quarantine

http://www.eicar.org/






В Веб-консоли Администратора должны появитьсясоответствующие уведомления о событиях в разделе События(см. Рисунок 12).

Рисунок 12. Уведомления о загрузке файлов EICAR вразделе События.

Если включено перемещение вредоносных объектов в Карантин,то в разделе Карантин должны появиться соответствующиезаписи о добавленных объектах (см. Рисунок 13).

Рисунок 13. Список загруженных файлов EICAR в разделеКарантин.

Ни в коем случае не используйте настоящие вирусы дляпроверки работоспособности антивирусных программ!



Приложения

Приложение А. Параметры команднойстроки для модуля обновления

Ниже приведен список параметров командной строки, которыемогут быть добавлены в поле Выполнить в настройках заданияна обновление (Dr.Web update for ISA plug-in), чтобынастроить работу модуля обновления.

Параметр Описание

/DBG Вести подробный отчет.

/DIR:<каталог> Переназначение папки, в которуюзагружаются обновляемые файлы; поумолчанию это папка, из которой модульобновления был запущен.

/INI:<путь> Использовать альтернативныйконфигурационный файл с указанным именемили по указанному пути.

/NI Не использовать параметры, записанные вконфигурационном файле drweb32.ini.

/GO Пакетный режим работы, без диалоговыхостановок.

/LNG:<имя файла> Имя файла языковых ресурсов; если неуказано, используется английский язык.

/PASS:<пароль> Пароль пользователя сервера обновлений.

/USER:<имя> Имя пользователя сервера обновлений.

/PPASS:<пароль> Пароль пользователя прокси-сервера.

/PUSER:<имя> Имя пользователя прокси-сервера.

/PURL:<адрес> Адрес прокси-сервера.




/URL:<URL сервераобновлений>

Допускаются только UNC-пути.

/QU Принудительно закрывать модуль обновленияпосле окончания сеанса обновлениянезависимо от того, успешно оно прошло илинет. Успешность обновления можнопроверить по коду возврата программыdrwebupw.exe, например, из BAT-файла позначению переменной errorlevel:

нулевое значение указывает на успех;

другие значения указывают на неудачу.

/REG Запуск модуля обновления в режимерегистрации и получения регистрационногоключа.

/UPD Обычное обновление; применяется в паре сключом /REG, чтобы запустить обновление в

режиме регистрации.

/RP<имя файла> или/RP+<имя файла>

Записать отчет о работе программы в файл,имя которого указано в ключе. Приотсутствии имени записать в файл поумолчанию. При наличии символа «+» файлдописывается, при отсутствии – создаетсязаново.

/NR Не создавать файл отчета.

/SO Включить звуковое сопровождение (толькопри возникновении ошибок).

/ST Запускать модуль обновления в невидимомрежиме (stealth mode).

/UA Загружать все файлы, заявленные в спискеобновления, независимо от используемойсистемы и установленных компонентов.Режим предназначен для получения полнойлокальной копии серверной областиобновления Dr.Web; этот режим нельзяиспользовать для обновления антивируса,установленного на компьютере.




/UVB Обновлять только вирусные базы иантивирусное ядро drweb32.dll (отменяетдействие ключа /UA , если он задан).

/UPM:<режим>Режим использования прокси-сервера, можетпринимать следующие значения:

direct – не использовать прокси-сервер;

ieproxy – использовать системныенастройки;

userproxy – использовать настройки,задаваемые пользователем (ключи /PURL, /PUSER и /PPASS).

/URM:<режим> Режим перезагрузки после обновления;может принимать следующие значения:

prompt – по окончании сеансаобновления, в случае необходимостиперезагрузки, спросить пользователя;

noprompt – в случае необходимости,перезагружаться, не спрашиваяпользователя;

force – перезагружать принудительновсегда (независимо от того, требуетсяперезагрузка или нет);

disable – запретить перезагрузку.



Приложение Б. Платформа CMS

CMS (Central Management System) представляет собойкроссплатформенную распределенную систему управленияприложениями (здесь и далее под приложением понимаетсялюбой модуль-подписчик главного управляющего сервиса).Центром системы является управляющий сервис Dr.Web CMS.Данный сервис реализует основные функции системы по контролюфункционирования приложений, а также управлениеприложениями, настройками приложений и регистрацией событий.

Взаимодействие между приложениями происходит посредствомпротокола TCP. Взаимодействие приложений с управляющимсервисом может происходить двумя способами:

контролируемое приложение взаимодействует суправляющим сервисом посредством протокола MB(Management Base);

управляющие (администраторские) приложениявзаимодействуют с управляющим сервисом посредствомпротокола MS (Management System).

Сервис Dr.Web CMS использует для хранения данных оприложениях встроенную древовидную базу данных.

База данных

База данных управляющего сервиса Dr.Web CMS представляетсобой дерево, состоящее из групп и переменных. Переменныемогут быть разных типов (данных) и иметь разные атрибуты.

Типы данных переменных, поддерживаемые управляющимсервисом Dr.Web CMS:

Тип данных Комментарий

Int32 32-разрядное целое со знаком

UInt32 32-разрядное целое без знака



Тип данных Комментарий

Int64 64-разрядное целое со знаком

UInt64 64-разрядное целое без знака

Float 32-разрядное вещественное число

Double 64-разрядное вещественное число

String Строка неограниченной длины

Boolean Логическое значение (true или false)

Time Дата и время

Binary Бинарные данные неограниченной длины

Password Тип данных для хранения паролей

Атрибуты переменных могут быть следующими:

Атрибут Комментарий

Default Обычная переменная

Shared Распределенная переменная

Statistics Статистическая переменная

System Системная переменная

Hidden Скрытая системная переменная

Readonly Переменная, которую нельзя изменять.

Контроль приложений

Для контроля приложения с помощью CMS происходитрегистрация его имени и версии в базе управляющего сервиса.Сервис Dr.Web CMS присваивает приложению уникальное имя,состоящее из имени приложения и версии. После этого сервиссоздает в базе данных группу с именем зарегистрированногоприложения. По умолчанию в этой группе создаются служебныеподгруппы с именами Application Status и Settings. Во времяработы приложения управляющий сервис ведет сбор статистики



по протоколам взаимодействия. Статистика ведется в группеApplication Statistics/Connections, в ее подгруппах MB и MSведется статистика взаимодействия по протоколам. Используяданные статистики, можно оценить степень нагрузки на этисервисы и приложения.

Группа Application Status

Данная группа содержит информацию о зарегистрированномприложении в виде значений переменных различных типов:

Переменная (вскобках указан типпеременной)

Комментарий

Active (Boolean) Обозначает, запущено ли сейчас приложение.Значение true означает, что приложениезапущено.

Crash (Boolean) Обозначает, корректно ли было остановленоприложение. Значение true означает, чтозавершилось некорректно.

HomeDir (String) Каталог приложения в файловой системе

InstanceName (String) Имя, под которое приложение заявило прирегистрации

LogicCrash (Boolean) Состояние логики приложения. Значение trueозначает, что приложение работаетнекорректно.

ModuleName (String) Имя исполняемого файла приложения. Вслучае если приложением-подписчикомявляется библиотека *.dll, то переменнаяуказывает на имя инстанцировавшего еепроцесса.

ModulePath (String)Путь к исполняемому файлу приложения вфайловой системе

PID (UInt32)Номер процесса приложения в операционнойсистеме

StartedOn (Time) Время последнего запуска приложения

StoppedOn (Time) Время последней остановки приложения





Version (String) Версия приложения

VersionBuild (UInt32) Номер сборки приложения

VersionMajor (UInt32) Основной номер версии приложения

VersionMinor (UInt32) Второй номер версии приложения

VersionRevision(UInt32)

Номер ревизии приложения

WorkDir (String)Рабочий каталог приложения в файловойсистеме

Группа Settings

Данная группа содержит базовые настройки зарегистрированногоприложения.

Статистика

Система позволят вести интервальную статистику приложений. Состороны приложений есть возможность создания статистическихпеременных, которые могут вести учет происходящих вприложении событий и создавать совокупность статистическихданных через определенные интервалы времени в зависимости отнастроек статистической переменной.

В базе данных управляющего сервиса Dr.Web CMS такиепеременные имеют атрибут Statistics. Переменные с такиматрибутом являются временными, они не сохраняются впостоянную базу данных и существуют только пока работаетуправляющий сервис. После перезапуска сервиса такиепеременные теряются.



Администрирование

Управление системой производится по протоколуадминистрирования. Протокол позволяет произвольно изменятьзначения переменных, выполнять сброс накопленной статистикистатистических переменных, отслеживать трассировку в реальномвремени с применением фильтров и выгружать накопленныесообщения за прошлые периоды с фильтрацией.

Изменение значений переменных

Изменение значений переменных происходит синхронно. Всезарегистрированные приложения получают уведомления обизменении значений переменных и могут разрешить или запретитьих изменение. При изменении переменной использующие ееприложения гарантированно получают ее актуальное значение.

Сброс статистики

Протокол администрирования позволяет сбрасывать накопленнуюпо настройке переменной статистику. Это приводит к тому, чтонакопление статистики по данной настройке начинаетпроисходить с нуля.

Ограничения при работе с переменными

При работе с переменными вводятся следующие ограничения:

переменные с атрибутом Hidden существуют в базе, нонедоступны для просмотра и редактирования. Онисоздаются самим управляющим сервисом для служебногоиспользования;

переменные с атрибутом System создаются управляющимсервисом для отображения служебной информации,предназначенной для администратора. Эти переменные немогут быть изменены или удалены;

переменные с атрибутом Statistics создаются приложением.Эти переменные не могут быть изменены;



переменные с атрибутом Readonly создаются приложениемдля информирования администратора, они не могут бытьизменены;

переменные с атрибутом Default являются обычнымипеременными, к ним применимы любые действия;

переменные с атрибутом Shared являютсяраспределенными переменными. Значения такихпеременных изменяются синхронно по всей распределеннойсистеме;

переменные, которые не могут быть изменены, также немогут быть и удалены. Однако группы с такимипеременными доступны для удаления вместе с этимипеременными, если приложение, связанное с этой группой,не запущено.

Безопасность

Для доступа к системе требуется ввести имя пользователя ипароль. По умолчанию в системе существует пользователь root спаролем drweb, который после установки системы настоятельнорекомендуется сменить. Кроме того, вы можете добавить новыхпользователей.

Пользователи и их пароли хранятся в группе управляющегосервиса, в подгруппе Security -> Users, т.е. по пути /CMS_1.0/Security/Users. Именем пользователя является имя группы. Парольхранится в переменной Password.



Приложение В. Служба Dr.Web SSM

Служба Dr.Web SSM (Dr.Web Start/Stop Manager)контролирует работу приложений, работающих на платформеCMS, выполняя следующие функции:

поддержание работоспособности сервиса Dr.Web CMS вавтоматическом режиме;

автоматический запуск зарегистрированных (имеющихгруппу переменных SSM в Административной консолиCMS) службой приложений в случае сбоев в их работе;

форсированный запуск приложений даже в случае ихкорректной остановки;

запуск приложений с помощью Windows Service Manager;

запуск сервисов в виде приложений, реализованных сиспользованием CService из CommonComponents;

запуск сервисов с помощью назначенных скриптов;

остановка и запуск приложений в ручном режиме покоманде пользователя.

Параметры контроля приложения службой Dr.Web SSMопределяются группой переменных SSM в Административнойконсоли CMS. Группа SSM может содержать следующиепеременные:



Enabled (Boolean) Обозначает, запущено ли включение/выключение SSM-контроля.

Run (Boolean) Позволяет запустить/остановить приложение

KeepAlive (Int32)

Обозначает тип поддержания активностиприложения:

0 – приложение отключено;

1 – приложение включено;





2 – форсированное, т.е. приложениебудет включено даже в случае егокорректной остановки.

StartType (Int32) Обозначает способ запуска приложения:

0 – как сервис Windows;

1 – как приложение CService;

2 – запуск с помощью скрипта.

StartScript (String) Содержит скрипт для запуска приложения

StopScript (String) Содержит скрипт для остановки приложения

Restart (Boolean) Выполняет перезапуск приложения

Timeout (UInt32)Обозначает время ожидания реакцииприложения (в секундах). По умолчаниюустановлено значение 10 сек.

ServiceName (String)

Обозначает имя сервиса в Windows ServiсeManager. По умолчанию используетсязначение переменной "/Application Status/InstanceName".

В разделе настроек самой службы Dr.Web SSM могутсодержаться следующие переменные:

KeepAlivePeriod (UInt32) – время проверки сервиса (всекундах). По умолчанию установлено значение 60 секунд.

RestartCMSPause (UInt32) – время задержки передперезапуском CMS (в секундах). По умолчанию установленозначение 5 секунд.



Приложение Г. Удаление АнтивирусаDr.Web Light вручную

При возникновении сбоев в работе межсетевого экрана вы можетеудалить Антивирус Dr.Web Light вручную. Для этого выполнитеследующие действия:


2. Запустите командную консоль (cmd) от имениадминистратора.

3. Удалите регистрацию веб-фильтра с помощью команды:

regsvr32 /u /s "C:\ProgramFiles\Microsoft Forefront ThreatManagementGateway\DrWeb\DrWebHttpMonitor.dll" (в

случае использования межсетевого экрана MicrosoftForefront TMG);

regsvr32 /u /s "C:\ProgramFiles\Microsoft ISAServer\DrWeb\DrWebHttpMonitor.dll" (в

случае использования межсетевого экрана Microsoft ISAServer).

3. Остановите службы приложения в указанном порядке:

net stop "Dr.Web SSM"

net stop "Dr.Web for MSP ComponentsHost"

net stop "Dr.Web for MSP Requests Queue"

net stop "Dr.Web CMS Web Console"

net stop "Dr.Web CMS"

4. Запустите стандартную утилиту Windows Installer CleanupUtility (msicuu.exe) и с ее помощью удалите приложение изсистемы.

5. Удалите службы приложения:

sc delete "Dr.Web SSM"



sc delete "Dr.Web for MSP ComponentsHost"

sc delete "Dr.Web for MSP RequestsQueue"

sc delete "Dr.Web CMS Web Console"

sc delete "Dr.Web CMS"

6. Удалите следующие каталоги:

в случае использования Microsoft ISA Server

rd /S /Q "C:\Program Files\DrWeb for ISAServer"

rd /S /Q "C:\Documents and Settings\AllUsers\Application Data\Doctor Web"

rd /S /Q "C:\Program Files\DrWeb for ISAServer\DrWeb"

в случае использования Microsoft Forefront TMG

rd /S /Q "C:\Program Files\DrWeb for ISAServer"

rd /S /Q "C:\Program Files (x86)\DrWebfor ISA Server"

rd /S /Q "C:\ProgramData\Doctor Web"

rd /S /Q "C:\Program Files\MicrosoftForefront Threat ManagementGateway\DrWeb"



Приложение Д. Работа в режимецентрализованной защиты

Антивирус Dr.Web Light может функционировать в сети,контролируемой Центром Управления Dr.Web. Организацияцентрализованной антивирусной защиты позволяетавтоматизировать и упростить настройку и управлениеинформационной безопасностью компьютеров, объединенных вединую логическую структуру (например, компьютеры однойкомпании, расположенные как внутри локальной сети, так и внеее). Защищаемые компьютеры объединяются в единуюантивирусную сеть, безопасность которой контролируется иуправляется администраторами с центрального сервера (ЦентраУправления Dr.Web). Подключение к системамцентрализованной защиты позволяет получить гарантированновысокий уровень защиты компьютера при минимальных усилияхсо стороны конечных пользователей.

Взаимодействие компонентов антивируснойсети

Решения компании «Доктор Веб» по организациицентрализованной антивирусной защиты имеют клиент-сервернуюархитектуру (см. Рисунок 14).

Компьютеры компании или пользователей поставщика IT-услугзащищаются от угроз безопасности и спама локальнымиантивирусными компонентами (клиентами; в данном случае –Антивирусом Dr.Web Light), которые обеспечиваютантивирусную защиту и упрощают соединение с серверомцентрализованной защиты.

Обновление и конфигурация локальных компонентовпроизводится через центральный сервер. Весь поток команд,данных и статистической информации в антивирусной сети такжепроходит через сервер централизованной защиты. Объем трафикамежду защищенными компьютерами и антивирусным серверомможет быть весьма значительным, поэтому предусматривается



возможность его сжатия. Использование шифрования припередаче данных позволяет избежать разглашения ценныхсведений и подмены программного обеспечения, загружаемого назащищенные компьютеры.

Рисунок 14. Логическая структура антивирусной сети.



Все необходимые обновления загружаются на серверцентрализованной защиты с сервера Всемирной системыобновлений Dr.Web.

Изменения в конфигурации локальных антивирусных компонентови передача команд осуществляется антивирусным сервером поуказанию администраторов антивирусной сети.Администраторы управляют конфигурацией центрального сервераи формированием антивирусной сети (в частности, подтверждаютправомерность подключения локальной станции к сети), а такжепри необходимости задают настройки работы конкретныхлокальных антивирусных компонентов.

Работа Антивируса Dr.Web Light в режимецентрализованной защиты

Для работы Антивируса Dr.Web Light в режимецентрализованной защиты необходимо, чтобы в операционнойсистеме был установлен и корректно работал Dr.Web Agentверсии 6.

Антивирус Dr.Web Light версии 6.00.1 не совместим с Dr.Web Agent версии 5.

Для Антивируса Dr.Web Light реализованы следующиевозможности работы в режиме централизованной защиты:

регистрация запуска межсетевого экрана Microsoft ISA Serverи Microsoft Forefront TMG с установленнымАнтивирусом Dr.Web Light. События запуска будутотображаться в таблице Запуск/Завершение ЦентраУправления Dr.Web. Время остановки межсетевого экранаMicrosoft ISA Server и Microsoft Forefront TMG сустановленным приложением не регистрируется;

отправка статистики работы Антивируса Dr.Web Light.Статистика работы отображается в таблицах Статистика иСуммарная статистика Центра Управления Dr.Web;



отправка оповещений об обнаружении вирусов, а такжеинформации об угрозах и предпринятых действиях. Этисобытия отображаются в таблице Инфекции ЦентраУправления Dr.Web;

обновление антивирусных баз и антивирусного ядра изрепозитория Центра Управления Dr.Web. Это позволяетотключить стандартный модуль обновления Dr.WebUpdater, запускаемый по расписанию. В этом случаеобновление компонентов будет выполняться согласнорасписанию Центра Управления Dr.Web и из егорепозитория;

использование лицензионного ключевого файлаАнтивируса Dr.Web Light, зарегистрированного дляданной станции в антивирусной сети. Если на этапеустановки был выбран режим лицензирования Enterprise,то при запуске Microsoft ISA Server или Microsoft ForefrontTMG с установленным Антивирусом Dr.Web Light будетпредпринята попытка использовать лицензионный ключ дляданной станции в антивирусной сети. Если ключ недействителен, то антивирусная проверка производиться небудет.



Приложение Е. Техническаяподдержка

Страница службы технической поддержки «Доктор Веб»находится по адресу http://support.drweb.com/.

При возникновении проблем с установкой или работой продуктовкомпании, прежде чем обращаться за помощью в отделтехнической поддержки, рекомендуется попробовать найтирешение одним из следующих способов:

ознакомиться с последними версиями описаний и руководствпо адресу http://download.drweb.com/;

прочитать раздел часто задаваемых вопросов по адресуhttp://support.drweb.com/;

попытаться найти ответ в базе знаний Dr.Web по адресуhttp://wiki.drweb.com/;

посетить форум Dr.Web по адресу http://forum.drweb.com/.

Если после этого вам не удалось решить проблему, то вы можетезаполнить веб-форму вопроса в соответствующей секции разделаhttp://support.drweb.com/.

Найти ближайшее к вам представительство «Доктор Веб» и всюконтактную информацию, необходимую пользователю, вы можетепо адресу http://company.drweb.com/contacts/moscow.

http://support.drweb.com/

http://download.drweb.com/


http://wiki.drweb.com/

http://forum.drweb.com/


http://company.drweb.com/contacts/moscow


83

Предметный Указатель

D

Dr.Web CMS Web Console 50

добавление администратора 53

пароль администратора 53

создание кластеров 54

Dr.Web for ISA Web Console 31, 33,35, 38, 39, 41, 43

Dr.Web HTTP Web Filter 19

Dr.Web SSM 74

E

event log 57

А

административная консоль CMS 50




администрирование

веб-консоль 31

консоль CMS 50

платформа CMS 72

Антивирус Dr.Web Light 9

Dr.Web for ISA Web Console 31

Dr.Web HTTP Web Filter 19

административная консоль CMS 50, 53, 54

администрирование 31

диагностика 61

лицензия 12

назначение 9

обновление 49

принципы работы 16

проверяемые объекты 11

регистрация событий 57

системные требования 25

службы 21

статистика работы 39

техническая поддержка 82

удаление 23, 29

удаление вручную 76

установка 23, 27

фильтры 16, 19

функции 9

централизованная защита 78

Б

база данных CMS 68

белый список адресов 35

В

веб-консоль администрирования 31, 33, 35, 38, 39, 41, 43

вирусные базы 49

вирусные события 41

статистика 39

Д

диагностика 61, 63


84



Ж

журнал отладки 59

журнал программы установки 58

журнал событий 38


журнал событий CMS 59

операционной системы 57


К

карантин 42

действия 43, 47

менеджер карантина 45, 47,48

настройка 43

настройка свойств 48

управление 47

ключевой файл

действительность 12


получение 13

контроль приложений CMS 69

Л

лицензия

действительность 12

ключевой файл 12


получение 13

М

менеджер карантина 45, 47, 48

модуль обновления 49, 65

проверка 62

Н

настройка

карантина 43

офисного контроля 35

сканирования 33

уведомлений 38

О

обновление

вирусные базы 49

диагностика 62

лицензии 15

модуль обновления 62

параметры командной строки 65

офисный контроль


списки адресов 35

П



администирование 72

база данных 68


85



контроль приложений 69

статистика приложений 71

получение ключевого файла 13

проверка

детектирования вирусов 63

модуля обновления 62

работоспособности 61

установки 61

фильтры 19

проверяемые объекты 11

программа установки


установка программы 27

просмотр статистики 39

Р


журнал операционной системы 57



режим работы 78

С

сервисы 21

системные требования 25

сканирование

действия 33


службы 21

Dr.Web CSM 50

Dr.Web SSM 74

события 41

статистика 39


сокращения 7

статистика

приложений 71

просмотр 39

события 39

Т

тестовый файл EICAR 63

техническая поддержка 82

требования 25

У

уведомления

журнал событий 38


типы 38

удаление Антивируса Dr.Web 23,29

условные обозначения 7

установка Dr.Web 25

установка Антивируса Dr.Web 23

проверка 61

программа установки 27


86


установка Антивируса Dr.Web 23

установочный файл 27

установочный файл 27

Ф

фильтры

веб-фильтр 16

проверка 19

Ц

централизованная защита 78

Ч

черный список адресов 35

Э

эвристический анализатор 33

© 2003-2012 «Доктор Веб»