ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.12.2023
Просмотров: 1018
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Руководство администратора
92
Глава 5: Компоненты антивирусной сети и их интерфейс
·
Руководство по базе данных Сервера Dr.Web — открыть документацию с описанием внутренней структуры базы данных Сервера Dr.Web.
·
Примечания к выпуску — открыть раздел примечаний к выпуску Dr.Web Enterprise
Security Suite для установленной у вас версии.
·
Руководства администратора по управлению станциями — открыть документацию администратора в формате HTML по управлению станциями для соответствующей операционной системы, представленной в списке.
В данных руководствах приведена информация о централизованной настройке антивирусного ПО рабочих станций, осуществляемой администратором антивирусной сети через Центр управления безопасностью Dr.Web. Руководства описывают настройки соответствующего антивирусного решения и особенности централизованного управления данным ПО.
3. Документация пользователя — открыть документацию пользователя в формате
HTML для соответствующей операционной системы, представленной в списке.
5.4. Компоненты Центра управления безопасностью Dr.Web
5.4.1. Сканер сети
Функции Сканера сети
·
Сканирование сети с целью обнаружения рабочих станций.
·
Определение наличия Агента Dr.Web на станциях.
·
Установка Агента Dr.Web на обнаруженные станции по указанию администратора.
Установка Агента Dr.Web подробно описана в Руководстве по установке, п.
Установка
Агента Dr.Web с использованием Центра управления безопасностью Dr.Web
Принцип работы Сканера сети
Сканер сети поддерживает следующие режимы поиска:
1. Поиск в Active Directory.
2. Поиск по NetBIOS.
3. Поиск по ICMP.
4. Поиск по TCP.
5. Дополнительный режим: определение наличия Агента.
Принцип действий, если все режимы включены:
1. Первые три режима запускаются параллельно. Повторный опрос уже опрошенных станций не осуществляется.
Руководство администратора
93
Глава 5: Компоненты антивирусной сети и их интерфейс
2. После окончания поиска по ICMP, включается поиск по TCP для не ответивших адресов. Если поиск по ICMP отключен, сразу включается поиск по TCP параллельно с первыми двумя режимами.
Поиск по ICMP осуществляется на основе рассылки ping-запросов, которые могут блокироваться из-за сетевых политик (в частности, из-за настроек брандмауэра).
Например:
Если в ОС Windows (Vistа и позднее) в настройках сети была задана Общедоступная
сеть, то ОС будет блокировать все ping-запросы.
3. Для станций, обнаруженных в результате поиска по первым четырем режимам,
запускается опрос с целью обнаружения Агентов.
Сканер сети способен определить наличие на станции Агента только версии 4.44 и позднее, но не способен взаимодействовать с Агентами более ранних версии.
Установленный на защищаемой станции Агент осуществляют обработку соответствующих запросов Сканера сети, поступающих на определенный порт. По умолчанию используется порт udp/2193. Соответственно, этот же порт по умолчанию предлагается опрашивать и в Сканере сети. Сканер сети делает вывод о наличии или отсутствии Агента на станции исходя из возможности обмена информацией (запрос- ответ) через вышеуказанный порт.
Если на станции установлен запрет (например, посредством файервола) приема пакетов на udp/2193, то Агент не может быть обнаружен, а, следовательно, с точки зрения Сканера сети, считается, что Агент на станции не установлен.
Запуск Сканера сети
Чтобы провести сканирование сети
1. Откройте окно Сканера сети. Для этого выберите пункт Администрирование в главном меню Центра управления, в открывшемся окне выберите пункт управляющего меню Сканер Сети. Откроется окно Сканера сети.
2. Установите флаг Включить поиск по ICMP, чтобы осуществлять поиск станций через протокол ICMP в пределах заданных IP-адресов.
3. Установите флаг Включить поиск по TCP, чтобы осуществлять поиск станций через протокол TCP в пределах заданных IP-адресов.
Задайте настройки для данного режима:
·
Быстрое сканирование. В режиме быстрого сканирования сети осуществляется опрос только основных портов на станциях: 445, 139, 22, 80.
Руководство администратора
94
Глава 5: Компоненты антивирусной сети и их интерфейс
·
Расширенное сканирование. В режиме расширенного сканирования сети осуществляется проверка множества часто используемых портов. Порты сканируются в строго указанном порядке: 445, 139, 135, 1025, 1027, 3389, 22, 80, 443,
25, 21, 7, 19, 53, 110, 115, 123, 220, 464, 465, 515, 873, 990, 993, 995, 1194, 1433, 1434,
2049, 3306, 3690, 4899, 5222, 5269, 5432, 6000, 6001, 6002, 6003, 6004, 6005, 6006, 6007,
6446, 9101, 9102, 9103, 10050, 10051, 8080, 8081, 98, 2193, 8090, 8091, 24554, 60177,
60179.
·
Адреса IPv4 — список адресов IPv4:
ъ одиночные адреса: 10.4.0.10
ъ диапазон через дефис: 172.16.0.1-172.16.0.123
ъ диапазон с использованием префикса сети: 192.168.0.0/24
При задании нескольких адресов используйте “;” или “,” в качестве разделителя.
·
Адреса IPv6 — список адресов IPv6:
ъ одиночные адреса: fe80::9109:1808:8e44:735b%3
ъ диапазон через дефис: [FC00::0001]-[FC00::ffff]
ъ диапазон с использованием префикса сети: [::ffff:10.0.0.1]/7
При задании нескольких адресов используйте “;” или “,” в качестве разделителя.
4. Установите флаг Включить поиск по NetBIOS, чтобы осуществлять поиск станций через протокол NetBIOS.
Задайте настройки для данного режима:
·
Домены — список доменов, в которых будет осуществляться поиск станций. В
качестве разделителя для нескольких доменов используйте запятую.
·
Установите флаг Расширенное сканирование, чтобы осуществлять расширенное сканирование с использованием информации от обозревателей сети.
5. Установите флаг Включить поиск в Active Directory, чтобы осуществлять поиск станций в домене Active Directory.
Для поиска станций в домене Active Directory при помощи Сканера сети необходимо,
чтобы веб-браузер, в котором открыт Центр управления, был запущен от имени доменного пользователя с правами на поиск объектов в домене Active Directory.
Поиск станций в домене Active Directory осуществляется только по защищенному протоколу ldaps.
Задайте настройки для данного режима:
·
Контроллер Active Directory — контроллер Active Directory, например,
dc.example.com
·
Регистрационное имя — регистрационное имя пользователя Active Directory.
·
Пароль — пароль пользователя Active Directory.
Руководство администратора
95
1 ... 4 5 6 7 8 9 10 11 ... 38
Глава 5: Компоненты антивирусной сети и их интерфейс
Для Серверов под ОС Windows настройки поиска в Active Directory являются необязательными. В качестве регистрационных данных по умолчанию используются данные пользователя, от имени которого запущен процесс Сервера (как правило
LocalSystem).
Для Серверов под ОС семейства UNIX настройки должны быть обязательно заданы.
·
В выпадающем списке Защита соединения выберите тип шифрованного обмена данными:
ъ STARTTLS — переключение на защищенное соединение осуществляется через команду STARTTLS. По умолчанию для соединения предусматривается использование 25 порта.
ъ SSL/TLS — открыть отдельное защищенное шифрованное соединение. По умолчанию для соединения предусматривается использование 465 порта.
ъ Нет — не использовать шифрование. Обмен данными будет происходить по незащищенному соединению.
6. В разделе Общие параметры задайте настройки, используемые всеми режимами поиска:
·
Тайм-аут (сек.) — максимальное время ожидания ответа от станции в секундах.
·
Количество обращений к одной станции — максимальное количество обращений к одной станции в ожидании ответа.
·
Количество одновременных обращений — максимальное количество станций, к которым осуществляется одновременное обращение.
·
Установите флаг Показывать названия станций, чтобы для найденных станций отображался не только их IP-адрес, но и доменное имя. Если станция не зарегистрирована на DNS-сервере, то будет выводится только ее IP-адрес.
·
Установите флаг Определять наличие Агента, чтобы определять наличие установленного на станции Агента.
Если опция Определять наличие Агента отключена, для всех найденных станций будет отображаться статус
, т. е. состояние антивирусного ПО на станции неизвестно.
·
Порт — номер порта протокола UDP по которому следует обращаться к Агентам при поиске. Диапазон значений 1-65535. По умолчанию используется порт 2193.
7. Нажмите кнопку Сканировать. После этого начнется сканирование сети.
8. В процессе сканирования сети в окно будет загружаться список компьютеров с указанием наличия на них Агента Dr.Web.
Разверните элементы каталога, соответствующие рабочим группам (доменам). Все элементы каталога, соответствующие рабочим группам и отдельным станциям помечаются различными значками, значение которых приведено ниже:
Руководство администратора
96
Глава 5: Компоненты антивирусной сети и их интерфейс
Значок
Описание
Рабочие группы
Рабочие группы, содержащие в числе прочих компьютеры, на которые можно установить антивирус Dr.Web Enterprise Security Suite.
Остальные группы, включающие компьютеры с установленным антивирусным ПО или недоступные по сети.
Рабочие станции
Активная станция с установленным антивирусным ПО.
Активная станция с неподтвержденным статусом антивирусного ПО: на компьютере нет антивирусного ПО, либо наличие ПО не проверялось.
Элементы каталога, соответствующие станциям со значками , можно дополнительно развернуть и ознакомиться с составом установленных компонентов.
5.5. Схема взаимодействия компонентов антивирусной сети
На рисунке 5-2
представлена общая схема фрагмента антивирусной сети.
Данная схема отображает антивирусную сеть, в состав которой входит только один
Сервер. В крупных компаниях предпочтительно разворачивать антивирусную сеть с несколькими Серверами для распределения нагрузки между ними.
В данном примере антивирусная сеть развернута в пределах одной ЛВС, однако для установки и работы Dr.Web Enterprise Security Suite и антивирусных пакетов нахождение компьютеров в пределах какой-либо ЛВС необязательно, достаточно доступа в интернет.
Руководство администратора
97
Глава 5: Компоненты антивирусной сети и их интерфейс
Сервер Dr.Web
HTTP/HTTPS
Центр управления безопасностью
Dr.Web
Сеть на основе TCP/IP
Защищенный локальный компьютер
Незащищенный локальный компьютер
Рисунок 5-2. Структура антивирусной сети
При запуске Сервера Dr.Web выполняется следующая последовательность действий:
1. Загрузка файлов Сервера Dr.Web из каталога bin.
2. Загрузка Планировщика заданий Сервера.
3. Загрузка каталога централизованной установки и каталога обновления,
инициализация системы сигнального информирования (системы оповещений).
4. Проверка целостности БД Сервера.
5. Выполнение заданий Планировщика заданий Сервера.
6. Ожидание информации от Агентов Dr.Web и команд от Центров управления.
Весь поток команд, данных и статистической информации в обязательном порядке проходит через Сервер Dr.Web. Центр управления также обменивается информацией только с Сервером; изменения в конфигурации рабочей станции и передача команд
Агенту Dr.Web осуществляется Сервером на основе команд Центра управления.
Таким образом, логическая структура фрагмента антивирусной сети имеет вид,
представленный на рисунке 5-3
Руководство администратора
98
Глава 5: Компоненты антивирусной сети и их интерфейс
Сервер Dr.Web
HTTP/HTTPS
Центр управления безопасностью
Dr.Web
Сеть на основе TCP/IP
Защищенный локальный компьютер
Передача обновлений через
HTTP/HTTPS
ВСО Dr.Web
Рисунок 5-3. Логическая структура антивирусной сети
Между Сервером и рабочими станциями (сплошная тонкая линия на рисунке 5-3
)
передаются:
·
запросы Агента на получение централизованного расписания и централизованное расписание данной рабочей станции,
·
настройки Агента и антивирусного пакета,
·
запросы на очередные задания, подлежащие выполнению (сканирование,
обновление вирусных баз и т. п.),
·
файлы антивирусных пакетов — при получении Агентом задания на их установку,
·
обновления ПО и вирусных баз — при выполнении задания на обновление,
·
сообщения Агента о конфигурации рабочей станции,
Руководство администратора
99
Глава 5: Компоненты антивирусной сети и их интерфейс
·
статистика работы Агента и антивирусных пакетов для включения в централизованный журнал,
·
сообщения о вирусных событиях и других подлежащих фиксации событиях.
Объем трафика между рабочими станциями и Сервером, в зависимости от настроек рабочих станций и их количества, может быть весьма значительным. Поэтому антивирусная сеть Dr.Web Enterprise Security Suite предусматривает возможность компрессии трафика. Описание использования этого факультативного режима см. ниже,
п.
Использование шифрования и сжатия трафика
Трафик между Сервером и рабочей станцией можно зашифровать. Это позволяет избежать разглашения сведений, передаваемых по описываемому каналу, а также подмены ПО, загружаемого на рабочие станции. По умолчанию эта возможность включена. Описание использования этого режима см. ниже, п.
Использование шифрования и сжатия трафика
От веб-сервера обновлений к Серверу Dr.Web (сплошная толстая линия на рисунке 5-3
)
передаются, с использованием протокола HTTP, файлы, необходимые для репликации централизованных каталогов установки и обновления, и служебная информация о ходе этого процесса. Целостность передаваемой информации (файлов ПО Dr.Web Enterprise
Security Suite и антивирусных пакетов) обеспечивается использованием механизма контрольных сумм: поврежденный при пересылке или подмененный файл не будет принят Сервером.
Между Сервером и Центром управления (пунктирная линия на рисунке 5-3
) передаются сведения о конфигурации Сервера (включая информацию о топологии сети) и настройки рабочих станций. Эта информация визуализируется в Центре управления, и, в случае изменения пользователем (администратором антивирусной сети) каких-либо настроек, информация о внесенных изменениях передается на Сервер.
Установление соединения Центра управления с выбранным Сервером производится только после аутентификации администратора антивирусной сети посредством ввода его регистрационного имени и пароля на данном Сервере.
Руководство администратора
100
Глава 6: Администраторы антивирусной сети
Глава 6: Администраторы антивирусной сети
Рекомендуется назначать администратором антивирусной сети надежного,
квалифицированного работника, имеющего опыт администрирования локальной сети и компетентного в вопросах антивирусной защиты. Такой сотрудник должен иметь полный доступ к каталогам установки Сервера Dr.Web. В зависимости от политики безопасности в организации и кадровой ситуации, администратор антивирусной сети либо должен получать полномочия администратора локальной сети, либо работать в тесном контакте с таким лицом.
Администратору антивирусной сети для текущего управления антивирусной сетью не требуются административные полномочия на компьютерах, включенных в эту антивирусную сеть. Однако удаленная установка и деинсталляция ПО Агента возможна только в локальной сети и требует полномочий администратора в этой сети, а отладка
Сервера Dr.Web — полного доступа к каталогу его установки.
При планировании антивирусной сети рекомендуется также сформировать перечень лиц, которые должны иметь доступ к Центру управления по своим должностным обязанностям, и подготовить перечень ролей со списком функциональных обязанностей, закрепленных за каждой ролью. Для каждой роли необходимо создать административную группу
. Ассоциация конкретных администраторов с ролями осуществляется путем размещения их учетных записей в административных группах.
При необходимости административные группы (роли) можно иерархически группировать в многоуровневую систему с возможностью индивидуальной настройки административных прав доступа для каждого уровня.
6.1. Аутентификация администраторов
Аутентификация администратора для подключения к Серверу Dr.Web возможна
следующими способами:
·
С хранением данных об администраторах в БД Сервера.
·
С помощью настроек LDAP/AD, позволяющих подключение к серверам LDAP и Active
Directory.
·
С использованием RADIUS-протокола.
·
С использованием PAM (только под ОС семейства UNIX).
При обновлении Сервера с предыдущей версии также могут быть доступны следующие типы аутентификации (если они были включены в предыдущей версии):
·
С помощью Active Directory (в версиях Сервера для ОС Windows).
·
С использованием LDAP-протокола.
Руководство администратора
101
Глава 6: Администраторы антивирусной сети
После отключения данных типов аутентификации их разделы будут исключены из настроек Центра управления.
При первичной установке Сервера данные разделы не предоставляются.
Методы аутентификации используются последовательно согласно следующим
принципам:
1. Первой всегда осуществляется попытка аутентификации администратора из БД
Сервера.
2. Порядок использования методов аутентификации через внешние системы зависит от порядка их следования в настройках, задаваемых в Центре управления.
3. Методы аутентификации через внешние системы по умолчанию отключены.
Чтобы изменить порядок использования методов аутентификации
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В управляющем меню выберите раздел Аутентификация.
3. В открывшемся окне представлен список типов аутентификации в том порядке, в котором они используются. Для изменения порядка следования методов аутентификации в списке разместите их путем перетаскивания мышью в таком порядке, в каком необходимо проводить аутентификацию.
4. Для принятия изменений перезагрузите Сервер.
Регистрационное имя администратора должно быть уникальным.
Подключение администраторов через внешние системы аутентификации будет невозможно, если на Сервере уже существует администратор с таким же регистрационным именем.
При каждом сохранении изменений раздела Аутентификация автоматически сохраняется резервная копия предыдущей версии конфигурационного файла с параметрами аутентификации администраторов. Хранению подлежат 10 последних копий.
Резервные копии располагаются в том же каталоге, что и сам конфигурационный файл,
и называются в соответствии со следующим форматом:
<имя_файла>_<время_создания>
где <имя_файла> зависит от системы аутентификации: auth-ads.conf, auth- ldap.conf
, auth-radius.conf, auth-pam.conf.
Вы можете использовать созданные резервные копии, в частности, для восстановления конфигурационного файла в случае, если интерфейс Центра управления недоступен.