Файл: Руководство администратора Доктор Веб.pdf

Руководство администратора
145
Глава 7: Комплексное управление рабочими станциями
назначенных на данный профиль. Чтобы включить или отключить режим, а также настроить правила и доверенные приложения, нажмите на ссылку
Разрешающий режим для перехода в соответствующий раздел.
6. В разделе Запрещающий режим приведена общая сводка по настройкам режима:
количество созданных запрещающих правил. Чтобы включить или отключить режим,
а также настроить правила, нажмите на ссылку
Запрещающий режим для перехода в соответствующий раздел.
Обратите внимание на следующие особенности работы профиля Контроля
приложений:
·
Если не включен ни один критерий в разделе Критерии функционального анализа, то сам профиль будет отключен.
·
Если при задании настроек профиля ни для одного из критериев в разделе Критерии
функционального анализа не заданы расширенные настройки и отключены запрещающий и разрешающий режимы, то данная конфигурация настроек не будет сохранена.
·
Если не заданы ни разрешающие правила, ни доверенные приложения, разрешающий режим будет отключен.
·
Если не заданы запрещающие правила, запрещающий режим будет отключен.
7.4.2.1. Функциональный анализ
Функциональный анализ задает набор предустановленных условий, по которым приложения разрешаются или запрещаются для запуска в соответствии с выполняемыми функциями.
Редактирование настроек функционального анализа осуществляется в разделе свойств профиля Общие → Критерии функционального анализа.
Если не включен ни один критерий в разделе Критерии функционального анализа, то сам профиль будет отключен.
Если ни для одного из критериев в разделе Критерии функционального анализа не заданы расширенные настройки и отключены запрещающий и разрешающий режимы,
то сам профиль будет отключен.
Чтобы настроить функциональный анализ
1. В разделе Критерии функционального анализа установите флаги для категорий,
которые вы хотите использовать:
ъ Запуск приложений,
ъ Загрузка и исполнение модулей,
ъ Запуск скриптовых интерпретаторов,

Руководство администратора
146
Глава 7: Комплексное управление рабочими станциями
ъ Загрузка драйверов,
ъ Установка MSI-пакетов,
ъ Целостность исполняемых файлов.
Рекомендации по использованию критериев функционального анализа приведены в документе Приложения, в
Главе 3: Часто задаваемые вопросы. Критерии функционального анализа
Если вы настраиваете профиль впервые, то при включении каждого из критериев автоматически включаются его разрешающие категории в расширенных настройках.
Данный инструмент используется в качестве меры безопасности на случай, если после применения настроек разрешающего или запрещающего режимов окажутся заблокированы объекты операционной системы, необходимые для работы станции.
В дальнейшем при необходимости вы можете отключить эти разрешающие категории в расширенных настройках.
2. Для задания расширенных настроек по выбранному критерию нажмите
Редактировать напротив соответствующего критерия. Откроется окно со списком настроек.
Настройки функционального анализа могут быть как запрещающими, так и разрешающими запуск приложений.
Установите флаги для тех настроек, которые должны выполняться.
3. Если вы включите использование какого-либо из критериев, но не зададите его расширенные настройки, то контроль запуска будет производиться для всех объектов по этому критерию в соответствии с настройками разрешающего или запрещающего режимов.
Например:
·
Если задан критерий Запуск скриптовых интерпретаторов, но не заданы его расширенные настройки, то будет контролироваться запуск всех скриптовых интерпретаторов в соответствии с настройками, заданными для разрешающего или запрещающего режимов.
·
Если задан критерий Запуск скриптовых интерпретаторов и задана его расширенная настройка Запрещать запуск сценариев со сменных носителей, то будет запрещен только запуск сценариев со сменных носителей.
4. Если вы зададите расширенные настройки, но не включите использование самого критерия, то ни расширенные настройки, ни сам критерий выполняться не будут.
5. Для сохранения расширенных настроек нажмите Сохранить в окне со списком расширенных настроек.
6. Для сохранения настроек функционального анализа нажмите Сохранить в окне настроек профиля.

Руководство администратора
147
Глава 7: Комплексное управление рабочими станциями
7.4.2.2. Разрешающий режим
Разрешающий режим подразумевает, что на всех контролируемых станциях разрешается запуск только приложений из списка Доверенные приложения и приложений, которые соответствуют разрешающим правилам. Все остальные приложения блокируются.
Редактирование разрешающих правил и доверенных приложений осуществляется в свойствах профиля, на вкладке Разрешающий режим.
Чтобы использовать разрешающий режим
1. Установите флаг Использовать разрешающий режим на вкладке Разрешающий
режим.
2. Задайте настройки хотя бы в одном из его разделов:
·
Разрешающие правила
·
Доверенные приложения
3. Нажмите Сохранить.
Если не заданы ни разрешающие правила, ни доверенные приложения, разрешающий режим будет отключен.
Разрешающие правила
Редактирование разрешающих правил осуществляется в разделе свойств профиля
Разрешающий режим → Разрешающие правила.
Чтобы создать новое разрешающее правило
1. В разделе Разрешающие правила нажмите на панели инструментов кнопку
Создать правило.
2. В окне Добавление правила задайте Название правила и нажмите Сохранить.
3. В списке правил выберите созданное правило и задайте его настройки на открывшейся панели свойств:
a) Установите флаг Включить правило, чтобы начать использовать это правило.
b) Если вы хотите проверить работу правила, установите флаг Перевести правило в
тестовый режим. Приложения не будут контролироваться на станциях, однако будет осуществляться запись журнала активности как при включенных настройках.
Результаты запусков и блокировок приложений в тестовом режиме работы правила будут отображаться в разделе
События Контроля приложений
Если флаг Перевести правило в тестовый режим снят, правило будет работать в активном режиме с запуском приложений на станциях по заданным настройкам правила (см. также режимы работы профилей
).

Руководство администратора
148
Глава 7: Комплексное управление рабочими станциями
c) В разделе Разрешать запуск приложений по следующим критериям выберите опции, согласно которым запуск приложений на станциях будет разрешен.
Также вы можете создавать разрешающие правила из разделов
События Контроля приложений и
Справочник приложений на основе данных, полученных со станций. При этом параметры приложений в настройках правила буду заполнены автоматически согласно выбранному приложению.
4. Нажмите Сохранить.
Чтобы создать дубликат разрешающего правила
1. В разделе Разрешающие правила в таблице правил выберите правило, которое вы хотите продублировать для этого профиля.
2. Нажмите на панели инструментов кнопку
Дублировать правило.
3. В таблице правил появится новое правило, настройки которого будут полностью скопированы из правила, выбранного на шаге 1. В имени правила добавится цифра
1.
Чтобы удалить разрешающее правило
1. В разделе Разрешающие правила в таблице правил выберите правило, которое вы хотите удалить из профиля.
2. Нажмите на панели инструментов кнопку
Удалить правило.
Доверенные приложения
Чтобы использовать доверенные приложения, выполните одно из следующих
действий:
·
Если сбор доверенных приложений будет осуществляться на вашем Сервере (см. также
Репозиторий доверенных приложений
), активируйте сбор доверенных приложений в разделе Центра управления Администрирование → Контроль приложений →
Доверенные приложения.
·
Если доверенные приложения будут передаваться на ваш Сервер по межсерверной связи с соседнего Сервера, задайте соответствующие настройки в репозиториях
Серверов, отправляющих и получающих продукт Доверенные приложения.
Редактирование доверенных приложений для конкретного профиля осуществляется в разделе свойств профиля Разрешающий режим → Доверенные приложения.
Таблица раздела содержит список всех групп доверенных приложений, назначенных для данного профиля.
Группа доверенных приложений (или белый список приложений) представляет собой список приложений, собранных по заданным критериям с выбранной станции или

Руководство администратора
149
Глава 7: Комплексное управление рабочими станциями
группы станций. Эти приложения разрешены для запуска на станциях антивирусной сети, для которых назначен данный профиль при работе в разрешающем режиме.
Если ваш Сервер получает доверенные приложения по межсерверной связи с соседнего Сервера (см.
Репозиторий доверенных приложений
), то таблица групп может содержать записи со значком
Группа доверенных приложений отсутствует в
репозитории Сервера. Данные записи актуальны для групп приложений, которые были добавлены из предыдущей ревизии продукта Доверенные приложения, после чего была получена новая ревизия, в которую данная группа не входит. При этом,
приложения могут по-прежнему сохранить работоспособность на соответствующих станциях, но чтобы предотвратить нарушения работы профиля, рекомендуется удалить такие группы из его настроек.
Чтобы добавить группу доверенных приложений в профиль
1. В разделе Доверенные приложения нажмите на панели инструментов кнопку
Добавить группу доверенных приложений в профиль.
2. Откроется окно со списком всех доступных групп доверенных приложений.
При настройке разрешающего режима группы доверенных приложений выбираются из списка групп, доступных в репозитории для продукта Доверенные приложения.
3. Установите флаги напротив тех групп приложений, которые вы хотите добавить в профиль.
4. Нажмите Сохранить.
Чтобы удалить группу доверенных приложений из профиля
1. В разделе Доверенные приложения установите в таблице флаги для групп, которые вы хотите удалить из профиля.
2. Нажмите на панели инструментов кнопку
Удалить группу доверенных
приложений.
3. Приложения данной группы будут удалены из списка разрешенных для запуска на станциях, для которых назначен данный профиль.
При удалении из профиля сама группа доверенных приложений не удаляется. Группа остается доступна в репозитории и может быть добавлена как в данный, так и в другие профили.
7.4.2.3. Запрещающий режим
Запрещающий режим подразумевает, что на всех контролируемых станциях запрещается запуск только тех приложений, которые соответствуют запрещающим правилам. Все остальные приложения разрешаются.

Руководство администратора
150
Глава 7: Комплексное управление рабочими станциями
Редактирование запрещающих правил осуществляется в свойствах профиля, на вкладке
Запрещающий режим.
Чтобы использовать запрещающий режим
1. Установите флаг Использовать запрещающий режим на вкладке Запрещающий
режим.
2. Создайте запрещающие правила как описано ниже
3. Нажмите Сохранить.
Если не заданы запрещающие правила, запрещающий режим будет отключен.
Чтобы создать новое запрещающее правило
1. В разделе Запрещающие правила нажмите на панели инструментов кнопку
Создать правило.
2. В окне Добавление правила задайте Название правила и нажмите Сохранить.
3. В списке правил выберите созданное правило и задайте его настройки на открывшейся панели свойств:
a) Установите флаг Включить правило, чтобы начать использовать это правило.
b) Если вы хотите проверить работу правила, установите флаг Перевести правило в
тестовый режим. Приложения не будут контролироваться на станциях, однако будет осуществляться запись журнала активности как при включенных настройках.
Результаты запусков и блокировок приложений в тестовом режиме работы правила будут отображаться в разделе
События Контроля приложений
Если флаг Перевести правило в тестовый режим снят, правило будет работать в активном режиме с блокировкой приложений на станциях по заданным настройкам правила (см. также режимы работы профилей
).
c) В разделе Запрещать запуск приложений по следующим критериям выберите опции, согласно которым запуск приложений на станциях будет запрещен.
Также вы можете создавать запрещающие правила из разделов
События Контроля приложений и
Справочник приложений на основе данных, полученных со станций. При этом параметры приложений в настройках правила будут заполнены автоматически согласно выбранному приложению.
4. Нажмите Сохранить.
Чтобы создать дубликат запрещающего правила
1. В разделе Запрещающие правила в таблице правил выберите правило, которое вы хотите продублировать для этого профиля.

Руководство администратора
151
Глава 7: Комплексное управление рабочими станциями
2. Нажмите на панели инструментов кнопку
Дублировать правило.
3. В таблице правил появится новое правило, настройки которого будут полностью скопированы из правила, выбранного на шаге 1. В имени правила добавится цифра
1.
Чтобы удалить запрещающее правило
1. В разделе Запрещающие правила в таблице правил выберите правило, которое вы хотите удалить из профиля.
2. Нажмите на панели инструментов кнопку
Удалить правило.

Руководство администратора
152
Глава 8: Управление рабочими станциями
Глава 8: Управление рабочими станциями
Антивирусная сеть, работающая под управлением Dr.Web Enterprise Security Suite,
позволяет централизованно настраивать антивирусные пакеты на рабочих станциях.
Dr.Web Enterprise Security Suite позволяет:
·
настраивать конфигурационные параметры антивирусных средств,
·
настраивать расписание запуска заданий на сканирование,
·
запускать отдельные задания на рабочих станциях независимо от настроек расписания,
·
запускать процесс обновления рабочих станций, в том числе после ошибки обновления со сбросом состояния ошибки.
При этом администратор антивирусной сети может сохранить за пользователем рабочей станции права на самостоятельную настройку конфигурации и запуск заданий,
запретить эти действия или в значительной мере их ограничить.
Изменения в конфигурацию рабочей станции можно вносить даже тогда, когда она временно недоступна для Сервера. Эти изменения будут приняты рабочей станцией, как только ее связь с Сервером восстановится.
8.1. Управление учетными записями рабочих станций
8.1.1. Политика подключения станций
Процедура создания станции через Центр управления описана в Руководстве по
установке, п.
Создание новой учетной записи станции
Возможность управления авторизацией станций на Сервере Dr.Web зависит от следующих параметров:
1. Если при установке Агента на станции был снят флаг Ручная авторизация на сервере,
то режим доступа станций к Серверу будет определяться в соответствии с настройками, заданными на Сервере (используется по умолчанию), см. ниже
2. Если при установке Агента на станции был установлен флаг Ручная авторизация на
сервере и заданы параметры Идентификатор и Пароль, то при подключении к
Серверу станция будет авторизована автоматически вне зависимости от настроек
Сервера (используется по умолчанию при установке Агента через инсталляционный пакет drweb_ess_<ОС>_<станция>.exe — см. Руководство по установке, п.
Инсталляционные файлы
).
Задание типа авторизации Агента при его установке описано в Руководстве
пользователя.

Руководство администратора
153
Глава 8: Управление рабочими станциями
Чтобы изменить режим доступа станций к Серверу Dr.Web
1. Откройте настройки конфигурации Сервера. Для этого выберите пункт
Администрирование главного меню, в открывшемся окне выберите пункт управляющего меню
Конфигурация Сервера Dr.Web.
2. На вкладке Общие в выпадающем списке Режим регистрации новичков выберите одно из следующих значений:
·
Подтверждать доступ вручную (режим устанавливается по умолчанию, если не был изменен при установке Сервера),
·
Всегда отказывать в доступе,
·
Автоматически разрешать доступ.
Ручное подтверждение доступа
В режиме Подтверждать доступ вручную новые станции помещаются в системную подгруппу Newbies группы Status до их непосредственного рассмотрения администратором.
Чтобы изменить режим доступа неподтвержденных станций
1. Выберите пункт Антивирусная сеть в главном меню Центра управления. В дереве антивирусной сети выберите станции в группе Status → Newbies.
Группа Status → Newbies в дереве антивирусной сети доступна только при выполнении следующих условий:
1. В разделе Администрирование → Конфигурации Сервера Dr.Web → Общие для параметра Режим регистрации новичков задано значение Подтверждать доступ
вручную.
2. Для администратора разрешено право
Подтверждение новичков.
2. Для задания доступа к Серверу на панели инструментов в разделе
Неподтвержденные станции задайте действие, которое будет применено для выбранных станций:
Разрешить доступ выбранным станциям и назначить первичную группу —
подтвердить доступ станции к Серверу и задать для нее первичную группу из предложенного списка.
Отменить действие, заданное для выполнения при подключении — отменить действие над неподтвержденной станцией, которое было ранее назначено для выполнения в момент, когда станция подключится к Серверу.
Отказать в доступе выбранным станциям — запретить доступ станции к Серверу.

Руководство администратора
154
Глава 8: Управление рабочими станциями
Автоматический отказ в доступе
В режиме Всегда отказывать в доступе Сервер отказывает в доступе при получении запросов от новых станций. Администратор должен вручную создавать записи о станциях и присваивать им пароли доступа.
Автоматическое разрешение доступа
В режиме Автоматически разрешать доступ все станции, которые запрашивают доступ к Серверу, подключаются автоматически без дальнейших запросов администратору. При этом в качестве первичной группы назначается группа, заданная в выпадающем списке
Первичная группа в разделе Конфигурация Сервера Dr.Web на вкладке Общие.
8.1.2. Удаление и восстановление станции
Удаление станций
Чтобы удалить запись о рабочей станции
1. Выберите пункт главного меню Антивирусная сеть.
2. В открывшемся окне в иерархическом списке выберите станцию или несколько станций, которые вы хотите удалить.
3. На панели инструментов нажмите
Общие →
Удалить выбранные объекты.
4. Откроется окно подтверждения удаления станции. Нажмите ОК.
После удаления станций из иерархического списка, они помещаются в таблицу удаленных станций, из которой возможно восстановление объектов при помощи
Центра управления.
Восстановление станций
Чтобы восстановить запись о рабочей станции
1. Выберите пункт главного меню Антивирусная сеть, в открывшемся окне в иерархическом списке выберите удаленную станцию или несколько станций, которые вы хотите восстановить.
Все удаленные станции расположены в подгруппе Deleted группы Status.