ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.12.2023
Просмотров: 952
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Руководство администратора
49
Глава 4: Начало работы
Агент Dr.Web для Windows
Настройки шифрования и сжатия могут быть заданы при установке Агента:
·
При дистанционной установке из Центра управления режим шифрования и сжатия задается непосредственно в настройках раздела Установка по сети.
·
При локальной установке графический инсталлятор не предоставляет возможность изменять режим шифрования и сжатия, однако данные настройки могут быть заданы при помощи ключей командной строки при запуске инсталлятора (см. документ
Приложения, п.
З1. Сетевой инсталлятор
).
После установки Агента возможность локально изменять настройки шифрования и сжатия на станции не предоставляется. По умолчанию установлен режим Возможно
(если в процессе установки не было задано другое значение), т. е. использование шифрования и сжатия зависит от настроек со стороны Сервера. Однако, настройки на стороне Агента могут быть изменены через Центр управления (см. выше
).
Антивирус Dr.Web для Android
Антивирус Dr.Web для Android не поддерживает ни шифрование, ни сжатие.
Подключение будет невозможно, если задано значение Да для шифрования и/или сжатия на стороне Сервера или Прокси-сервера (в случае соединения через Прокси- сервер).
Антивирус Dr.Web для Linux
При установке антивируса изменение режима шифрования и сжатия не предоставляется. По умолчанию установлен режим Возможно.
После установки антивируса возможность локально изменять настройки шифрования и сжатия на станции предоставляется только в консольном режиме. Описание консольного режима работы и соответствующих ключей командной строки приведено в
Руководстве пользователя Dr.Web для Linux.
Также настройки на стороне станции могут быть изменены через Центр управления (см.
выше
).
Антивирус Dr.Web для macOS
Возможность локально изменять настройки шифрования и сжатия на станции не предоставляется. По умолчанию установлен режим Возможно, т. е. использование шифрования и сжатия зависит от настроек со стороны Сервера.
Настройки на стороне станции могут быть изменены через Центр управления (см.
выше
).
Руководство администратора
50
Глава 4: Начало работы
4.3.2. Инструменты для обеспечения безопасного соединения
При установке Сервера Dr.Web создаются следующие инструменты, обеспечивающие безопасное соединение между компонентами антивирусной сети:
1. Закрытый ключ шифрования Сервера drwcsd.pri.
Хранится на Сервере и не передается другим компонентам антивирусной сети.
При утере закрытого ключа соединение между компонентами антивирусной сети необходимо восстанавливать вручную (создавать все ключи и сертификаты, а также распространять их на все компоненты сети).
Закрытый ключ используется в следующих случаях:
a) Создание открытых ключей и сертификатов.
Открытый ключ шифрования и сертификат создаются автоматически из закрытого ключа в процессе установки Сервера. Закрытый ключ при этом может быть как создан новый, так и использован существующий (например, от предыдущей установки Сервера). Также ключи шифрования и сертификаты могут быть созданы в любое время при помощи серверной утилиты drwsign (см. документ
Приложения, п.
З7.1. Утилита генерации цифровых ключей и сертификатов
).
Информация об открытых ключах и сертификатах приведена далее.
b) Аутентификация Сервера.
Аутентификация Сервера удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения).
Сервер осуществляет цифровую подпись сообщения закрытым ключом и отправляет сообщение на сторону клиента. Клиент проверяет подпись полученного сообщения при помощи сертификата.
c) Расшифровка данных.
При шифровании трафика между Сервером и клиентами расшифровка данных,
отправленных клиентом, осуществляется на Сервере при помощи закрытого ключа.
2. Открытый ключ шифрования Сервера drwcsd.pub.
Доступен всем компонентам антивирусной сети. Открытый ключ всегда может быть сгенерирован из закрытого ключа (см. выше
). При каждой генерации из одного и того же закрытого ключа получается один и тот же открытый ключ.
Начиная с 11 версии Сервера открытый ключ используется для связи с клиентами предыдущих версий. Остальной функционал перенесен на сертификат, который, в том числе, содержит в себе открытый ключ шифрования.
Руководство администратора
51
1 2 3 4 5 6 7 8 9 ... 38
Глава 4: Начало работы
3. Сертификат Сервера drwcsd-certificate.pem.
Доступен всем компонентам антивирусной сети. Сертификат содержит в себе открытый ключ шифрования. Сертификат может быть сгенерирован из закрытого ключа (см. выше
). При каждой генерации из одного и того же закрытого ключа получается новый сертификат.
Клиенты, подключенные к Серверу, привязаны к конкретному сертификату, поэтому при утере сертификата на клиенте его возможно восстановить только в том случае,
если тот же самый сертификат используется каким-либо другим компонентом сети: в таком случае сертификат можно скопировать на клиента с Сервера или другого клиента.
Сертификат используется в следующих случаях:
a) Аутентификация Сервера.
Аутентификация Сервера удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения).
Сервер осуществляет цифровую подпись сообщения закрытым ключом и отправляет сообщение на сторону клиента. Клиент проверяет подпись полученного сообщения при помощи сертификата (в частности, открытого ключа,
указанного в сертификате). В предыдущих версиях Сервера для этого использовался открытый ключ непосредственно.
Для этого необходимо наличие на клиенте одного или нескольких доверенных сертификатов от Серверов, к которым может подключаться клиент.
b) Зашифровка данных.
При шифровании трафика между Сервером и клиентами зашифровка данных осуществляется клиентом при помощи открытого ключа.
c) Реализация TLS-сессии между Сервером и удаленными клиентами.
d) Аутентификация Прокси-сервера.
Аутентификация Прокси-серверов Dr.Web удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения).
Прокси-сервер подписывает свои сертификаты закрытым ключом и сертификатом
Сервера Dr.Web. Клиент, который доверяет сертификату Сервера Dr.Web,
автоматически будет доверять сертификатам, которые им подписаны.
4. Закрытый ключ веб-сервера.
Хранится на Сервере и не передается другим компонентам антивирусной сети.
Подробности использования приведены далее.
5. Сертификат веб-сервера.
Доступен всем компонентам антивирусной сети.
Руководство администратора
52
Глава 4: Начало работы
Используется для реализации TLS-сессии между веб-сервером и браузером (по
HTTPS).
При установке Сервера на основе закрытого ключа веб-сервера генерируется самоподписанный сертификат, который не будет принят веб-браузерами, поскольку не был выпущен общеизвестным центром сертификации.
Чтобы защищенное соединение (HTTPS) было доступно, необходимо выполнить одно из следующих действий:
·
Добавить самоподписанный сертификат в доверенные, либо в исключения для всех станций и веб-браузеров, на которых открывается Центр управления.
·
Получить сертификат, подписанный общеизвестным центром сертификации.
4.3.3. Подключение клиентов к Серверу Dr.Web
Для возможности подключения к Серверу Dr.Web на стороне клиента должен присутствовать сертификат Сервера вне зависимости от того, будет ли трафик между
Сервером и клиентом шифроваться.
К Серверу Dr.Web могут подключаться следующие клиенты:
·
Агенты Dr.Web.
Для работы Агентов в централизованном режиме с подключением к Серверу Dr.Web необходимо наличие на станции одного или нескольких доверенных сертификатов от
Серверов, к которым может подключаться Агент.
Сертификат, использованный при установке, а также сертификаты, полученные через централизованные настройки с Сервера, хранятся в реестре, но сами файлы сертификатов не используются.
Файл сертификата в единственном экземпляре может быть добавлен при помощи ключа командной строки в каталог установки Агента (но не в реестр) и в общий список используемых сертификатов. Такой сертификат будет использоваться, в том числе, для возможности подключения к Серверу на случай ошибки в централизованных настройках.
При отсутствии сертификата или недействительном сертификате Агент не сможет подключиться к Серверу, но продолжит функционирование и обновление в
Мобильном режиме
, если он разрешен для данной станции.
·
Инсталляторы Агентов Dr.Web.
При установке Агента на станции вместе с выбранным файлом инсталляции должен присутствовать сертификат Сервера.
При запуске инсталляционного пакета, созданного в Центре управления, сертификат входит в состав инсталляционного пакета, и дополнительное указание файла сертификата не требуется.
Руководство администратора
53
Глава 4: Начало работы
После установки Агента данные сертификата заносятся в реестр, сам файл сертификата в дальнейшем не используется.
При отсутствии сертификата или недействительном сертификате инсталлятор не сможет установить Агент (относится ко всем типам инсталляционных файлов Агента).
·
Соседние Серверы Dr.Web.
При настройке соединения между соседними Серверами Dr.Web версии 11 и позднее необходимо на каждом из настраиваемых Серверов указать сертификат Сервера, с которым устанавливается связь (см. п.
Настройка связей между Серверами Dr.Web
).
При отсутствии хотя бы одного сертификата или его недействительности установка межсерверной связи будет невозможна.
·
Прокси-серверы Dr.Web.
Для подключения Прокси-сервера к Серверу Dr.Web с возможностью удаленного конфигурирования через Центр управления необходимо наличие сертификата на станции с установленным Прокси-сервером. При этом Прокси-сервер также сможет поддерживать шифрование.
При отсутствии сертификата Прокси-сервер продолжит свое функционирование,
однако удаленное управление, а также шифрование и кеширование будут недоступны.
В случае штатного обновления всей антивирусной сети с предыдущей версии, которая использовала открытые ключи, на новую версию, которая использует сертификаты,
никаких дополнительных действий не требуется.
Установка Агента, поставляемого с Сервером 11 версии, с подключением к Серверу 10
версии или наоборот не рекомендуется.
4.4. Интеграция Dr.Web Enterprise Security Suite с Active
Directory
Если в защищаемой локальной сети используется служба Active Directory, вы можете настроить интеграцию компонентов Dr.Web Enterprise Security Suite с данной службой.
Все приведенные далее методы являются независимыми друг от друга и могут использоваться как по отдельности, так и в совокупности.
Интеграция Dr.Web Enterprise Security Suite с Active Directory осуществляется на основе следующих методов:
Руководство администратора
54
Глава 4: Начало работы
1. Регистрация Сервера Dr.Web в домене Active Directory для обращения к Серверу
по протоколу SRV
При установке Сервера Dr.Web предоставляется возможность зарегистрировать
Сервер в домене Active Directory средствами установщика. В процессе регистрации на
DNS-сервере создается SRV-запись, соответствующая Серверу Dr.Web. В дальнейшем возможно обращение клиентов к Серверу Dr.Web через данную SRV-запись.
Подробнее см. разделы Руководства по установке
Установка Сервера Dr.Web для ОС
Windows и
Использование протокола SRV
2. Синхронизация структуры антивирусной сети с доменом Active Directory
Возможна настройка автоматической синхронизации структуры антивирусной сети со станциями в домене Active Directory. При этом контейнеры Active Directory,
содержащие компьютеры, становятся группами антивирусной сети, в которые помещаются рабочие станции.
Для этого предоставляется задание Синхронизация с Active Directory в расписании
Сервера. Данное задание администратор должен создать самостоятельно при помощи Планировщика заданий Сервера Dr.Web.
Подробнее см. раздел
Настройка расписания Сервера Dr.Web
3. Аутентификация пользователей Active Directory на Сервере Dr.Web в качестве
администраторов
Предоставляется возможность аутентификации на Сервере Dr.Web пользователей под учетными записями Active Directory для управления антивирусной сетью. Для этого необходимо использовать один из следующих методов:
·
LDAP/AD-аутентификация. Доступна для Серверов на всех поддерживаемых ОС.
Настройка доступа к Серверу для пользователей по соответствующим атрибутам
Active Directory осуществляется через Центр управления. Непосредственный доступ к контроллеру домена и оснастке Active Directory не требуется — дополнительная настройка со стороны Active Directory не осуществляется.
·
Microsoft Active Directory. Доступна только для Серверов на ОС Windows, входящих в целевой домен. Настройка пользователей и групп пользователей, имеющих доступ к Серверу, осуществляется в оснастке Active Directory непосредственно. Требуется первичная настройка с помощью дополнительных утилит. Пакеты drweb-
<версия_пакета>-<сборка>-esuite-modify-ad-schema-<версия_ОС>.exe и drweb-
<версия_пакета>-<сборка>-esuite-aduac-<версия_ОС>.msi доступны в репозитории Сервера в Корпоративных продуктах Dr.Web.
Выбор метода зависит от операционной системы Сервера Dr.Web и способа настройки разрешенных пользователей.
Подробнее см. раздел
Аутентификация администраторов
Руководство администратора
55
Глава 4: Начало работы
4. Удаленная установка Агентов Dr.Web на станции в домене Active Directory
Возможна дистанционная установка Агента Dr.Web на станции в домене Active
Directory. Для этого необходимо:
a) Произвести административную установку на целевом разделяемом ресурсе при помощи специального установщика Агента для Active Directory. Пакет drweb-
<версия_пакета>-<сборка>-esuite-agent-activedirectory.msi доступен в репозитории Сервера в Корпоративных продуктах Dr.Web.
b) Настроить соответствующие политики Active Directory для автоматической установки пакета на станции в домене.
Подробнее см. раздел Руководства по установке
Установка Агента Dr.Web с использованием службы Active Directory
5. Поиск станций домена Active Directory
Предоставляется возможность поиска станций домена Active Directory через Сканер сети. При этом возможно определить наличие Агента Dr.Web на найденных станциях и при его отсутствии дистанционно установить Агент через Центр управления.
Данный подход для дистанционной установки Агентов может использоваться наряду с автоматической установкой пакетов через политики Active Directory, описанной в п.
4.
Подробнее см. раздел
Сканер сети
6. Поиск пользователей домена Active Directory
Предоставляется возможность поиска пользователей домена Active Directory для создания их персональных профилей и более тонкой настройки Офисного контроля и
Контроля приложений.
Подробнее см. Руководство по управлению станциями для Windows.
Руководство администратора
56
Глава 5: Компоненты антивирусной сети и их интерфейс
Глава 5: Компоненты антивирусной сети и их интерфейс
5.1. Сервер Dr.Web
Антивирусная сеть, построенная на основе Dr.Web Enterprise Security Suite должна иметь в своем составе хотя бы один Сервер Dr.Web.
Для повышения надежности и продуктивности антивирусной сети, а также для распределения нагрузки, Dr.Web Enterprise Security Suite позволяет создать антивирусную сеть с несколькими Серверами. В таком случае, серверное ПО
устанавливается на несколько компьютеров одновременно.
Сервер Dr.Web — служба, постоянно находящаяся в оперативной памяти. ПО Сервера
Dr.Web разработано для различных ОС (полный список поддерживаемых ОС см. в документе Приложения, в
Приложении А
).
Основные функции
Сервер Dr.Web реализует следующие функции:
·
инициализация установки антивирусных пакетов на выбранный компьютер или группу компьютеров,
·
запрос номера версии антивирусного пакета, а также дат создания и номеров версий вирусных баз на каждом защищаемом компьютере,
·
обновление содержимого каталога централизованной установки и каталога обновлений,
·
обновление вирусных баз и исполняемых файлов антивирусных пакетов, а также исполняемых файлов компонентов антивирусной сети на защищаемых компьютерах.
Сбор информации о состоянии антивирусной сети
Сервер Dr.Web обеспечивает сбор и протоколирование информации о работе антивирусных пакетов, передаваемой ему посредством ПО на защищаемых компьютерах (Агентами Dr.Web, подробнее см. ниже). Протоколирование производится в общем журнале событий, реализованном в виде базы данных. В сети небольшого размера (не более 200–300 компьютеров) для ведения общего журнала событий может использоваться встроенная база данных. Для обслуживания больших сетей рекомендуется использовать внешнюю базу данных.
Использование встроенной БД допустимо при подключении к Серверу не более 200–
300 станций. Если позволяет аппаратная конфигурация компьютера, на котором