Настройка антивирусного сервера для работы с внешней БД PostgreSQL
Необходимо разрешить антивирусному серверу доступ к БД, для чего нужно отредактировать файл конфигурации БД PosgreSQL, который в зависимости от семейства ОС и настроек располагается:
во FreeBSD: /usr/local/pgsql/data/pg_hba.conf
в Linux: /etc/postgresql/8.3/main/pg_hba.conf
также конфигурационный файл можно найти командой: # find / -name 'pg_hba.conf'
Откройте этот файл в текстовом редакторе и добавьте в него строку:
host drwcs_db drwcs 127.0.0.1/32 md5
Следует обратить особое внимание на режим доступа к серверу БД, он должен иметь вид:
# «local» is for Unix domain socket connections only
local all all trust
# IPv4 local connections:
host all all 127.0.0.1/32
В редких случаях бывает необходимо отредактировать основной конфигурационный файл PostgreSQL postgresql.conf, расположенный в зависимости от ОС:
во FreeBSD: /usr/local/pgsql/data/postgresql.conf
в Debian Linux: /etc/postgresql/9.2/main/postgresql.conf
который также можно найти командой: # find / -name 'postgresql.conf'
В файле следует раскомментировать строки, чтобы получилось:
listen_addresses = 'localhost'
port = 5432
После того как БД сконфигурирована, нужно перезапустить ее командой:
для FreeBSD: # /usr/local/etc/rc.d/postgresql restart
для Linux: # /etc/init.d/postgresql restart
Необходимо убедиться, что сервер БД запустился без ошибок, для чего проверим системный лог:
# less /var/log/messages
Для того чтобы сконфигурировать антивирусный сервер для работы с внешней БД вместо используемой по умолчанию внутренней, необходимо внести изменения в конфигурационный файл drwcsd.conf. В зависимости от используемой ОС он расположен:
во FreeBSD: /var/drwcs/etc/drwcsd.conf
в Linux: /var/opt/drwcs/etc/drwcsd.conf
также его можно найти командой: # find / -name 'drwcsd.conf'
После того как сервер Enterprise Suite был перенастроен на использование внешней БД, необходимо инициализировать ее командой:
для FreeBSD: # /usr/local/etc/rc.d/drwcsd.sh initdb
для Linux: # /etc/init.d/drwcsd initdb
Внимание! После инициализации БД пароль доступа администратора сбрасывается в значение по умолчанию, а именно root.
Для того чтобы убедиться, что все операции были выполнены верно, следует проверить лог антивирусного сервера. Код завершения процесса должен быть 0x00, что явно отображено в последних строках лога.
Развертывание антивирусной сети
Перед первой установкой Агентов необходимо обязательно обновить репозиторий антивирусного сервера (см. «Проведение обновлений автоматически и вручную», а также соответствующие разделы документации).
Установка Агента должна выполняться пользователем с правами администратора данного компьютера.
Если на рабочей станции уже установлен Агент, то перед началом новой инсталляции необходимо удалить установленный Агент. Для этого запустите команду drwinst с ключом
-uninstall.
Если сетевой инсталлятор запущен в режиме нормальной инсталляции (т. е. без ключа
-uninstall) на станции, на которой уже была проведена установка, это не приведет к выполнению каких-либо действий. Инсталлятор завершит работу и отобразит окно со списком допустимых ключей.
Установка при помощи Сетевого инсталлятора возможна в двух основных режимах:
В графическом режиме.
В фоновом режиме.
Внимание! При установке Агентов на серверы ЛВС и компьютеры кластера необходимо учесть:
В случае установки на терминальные серверы Windows (в ОС Windows установлены службы Terminal Services), для обеспечения работы Агентов в терминальных сессиях пользователей установка Агентов должна осуществляться только локально с помощью мастера установки и удаления программ на Панели управления ОС Windows.
На серверы, выполняющие важные сетевые функции (домен-контроллеры, серверы раздачи лицензий и т. д.), а также на узлы кластера не рекомендуется устанавливать компоненты SpIDer Gate, SpIDer Mail и Dr.Web Firewall во избежание возможных конфликтов сетевых сервисов и внутренних компонентов антивируса Dr.Web.
Установка Агента на кластер должна выполняться отдельно на каждый узел кластера.
Если доступ к кворум-ресурсу кластера строго ограничен, рекомендуется исключить его из проверки сторожем SpIDer Guard и ограничиться регулярными проверками ресурса при помощи Сканера, запускаемого по расписанию или вручную.
Внимание! С помощью сетевого инсталлятора можно проводить установку Агентов на операционные системы Windows XP Home Edition, Vista Starter, Home Basic, Home Premium; Windows 7 Начальная, Домашняя, Домашняя расширенная.
Внимание! Состав и последовательность шагов установки могут несколько различаться в зависимости от версии дистрибутива.
Установка с использованием Центра управления Dr.Web Enterprise Security Suite
Центр управления предоставляет возможность выявлять компьютеры, на которые еще не установлена антивирусная защита Dr.Web ES, и удаленно устанавливать такую защиту. Удаленная установка Агентов возможна только на рабочие станции, работающие под управлением ОС семейства Windows 2000 и выше, за исключением редакций Starter и Home.
Для того чтобы удаленно установить Агент на рабочие станции, вы должны иметь права администратора соответствующих рабочих станций. Удаленная установка не требует дополнительной настройки удаленной станции, если она входит в домен и используется доменная учетная запись администратора. В случае если удаленная машина не входит в домен или используется локальная учетная запись для установки, то для ряда версий ОС Windows необходима дополнительная настройка удаленной машины.
Внимание! Настройка для удаленной установки может снизить безопасность удаленной машины. Настоятельно рекомендуется ознакомиться с назначением указанных настроек перед внесением изменений в систему либо отказаться от использования удаленной установки и установить Агент вручную на рабочую станцию вне домена или с использованием локальной учетной записи.
При удаленной установке Агента на рабочую станцию вне домена и/или с использованием локальной учетной записи необходимо на компьютере, на который будет удаленно устанавливаться Агент, выполнить следующие действия:
Для Windows 2000, Windows Server 2000, Windows Server 2003 дополнительная настройка не требуется.
Для Windows XP:
рекомендуется настроить режим доступа к общим файлам: Панель управления → Свойства папки → Вкладка Вид → снять флаг Использовать простой общий доступ к файлам;
необходимо установить в локальных политиках режим сетевой модели аутентификации: Панель управления → Администрирование → Локальная политика безопасности → Параметры безопасности → Локальные политики → Параметры безопасности → Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей → Обычная → локальные пользователи удостоверяются как они сами.
Для Windows Vista, Windows 7, Windows Server 2008
Включить опцию Общий доступ к файлам: Панель управления → Сеть и Интернет → Центр управления сетями и общим доступом → Общий доступ и сетевое обнаружение → Общий доступ к файлам → Включить.
Включить встроенную локальную учетную запись администратора и установить на нее пароль. При установке использовать эту учетную запись: Панель
управления → Система и ее обслуживание → Администрирование → Управление компьютером → Локальные пользователи и группы → Пользователи. Щелчок левой кнопкой по записи Администратор → снять флаг Заблокировать учетную запись → OK. Щелчок правой кнопкой по записи → Задать пароль → задайте пароль.
Создайте ключ LocalAccountTokenFilterPolicy:
В редакторе реестра откройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Если записи LocalAccountTokenFilterPolicy не существует, в меню Правка выберите Создать и задайте значение DWORD. Введите значение LocalAccountTokenFilterPolicy и нажмите ENTER.
В контекстном меню пункта LocalAccountTokenFilterPolicy выберите Изменить.
В поле Значение задайте значение 1 и нажмите OK.
Перезагрузка не требуется.
В случае если учетная запись на удаленной машине имеет пустой пароль, нужно установить в локальных политиках политику доступа с пустым паролем: Панель управления → Администрирование → Локальная политика безопасности → Параметры
безопасности → Локальные политики → Параметры безопасности → Учетные записи: ограничить использование пустых паролей только для консольного входа → Отключить.
В случае установки через обозреватель сети, как и при установке вручную, необходимо, чтобы на антивирусном сервере был открыт для общего доступа каталог %DrWeb_ES%\Installer (по умолчанию в ОС Windows это каталог C:\Program Files\DrWeb Server\Installer, его сетевое имя по умолчанию DRWESI$), содержащий два файла: drwcsd.pub и drwinst.exe. Данный каталог с указанными файлами создается автоматически в процессе инсталляции ES-сервера.
Внимание! В случае установки антивирусного сервера не на серверную операционную систему, общая папка может быть не видна по сети. В этом случае можно скопировать папку в какое-нибудь другое место и вручную сделать ее сетевой.
Для того чтобы соединиться с помощью Центра управления с антивирусным сервером, необходимо в адресной строке браузера ввести имя или адрес антивирусного сервера и указать порт 9080 (9081 в случае использования протокола HTTPS).
Пример: http://192.168.100.66:9080. В нашем примере в качестве логина используется admin, в качестве пароля — пароль, указанный при установке ESS-сервера.
Внимание! Центр управления Dr.Web Enterprise Security Suite поддерживает браузеры Windows® Internet Explorer® 8 и выше, Mozilla® Firefox® 10 и выше. Также возможно использование веб-браузеров Opera® 10 и выше, Safari® 4 и выше, Chrome® 20 и выше. Однако возможность работы под данными веб-браузерами не гарантируется.
Прейдите в меню Администрирование и выберите пункт Сканер сети.
Внимание! Для отображения работы станции необходимо установить дополнительный плагин (Dr.Web Control Center Plugin) к используемому браузеру. Сообщение о необходимости установки появится автоматически. Подключаемый модуль Dr.Web Control Center Plugin необходим для полноценной работы с Центром управления. Модуль поставляется вместе с дистрибутивом Сервера и может быть установлен. До установки плагина разделы Центра управления, для которых требуется плагин (в частности, Сканер сети и Установка по сети — недоступны):
По запросу браузера в процессе работы с элементами Центра управления, требующими подгрузку модуля (для Сканера сети, при удаленной установке антивирусных компонентов), — особенности использования данного метода будут описаны ниже.
На появившейся странице предлагается начать скачивание плагина или (в случае, если тип плагина определен неверно) выбрать для скачивания необходимый тип плагина.
Запустить процесс установки можно сразу после окончания загрузки — кликнув по загруженному файлу в окне загрузки и подтвердив свое согласие.
После завершения установки рекомендуется обновить страницу браузера. Если была произведена не установка, а обновление ранее установленного плагина, необходимо перезапустить используемый браузер.
При использовании веб-браузеров Mozilla Firefox, Opera и Chrome подключаемый модуль Dr.Web Control Center Plugin доступен только для версий, работающих под ОС Windows и ОС семейства Linux. При использовании веб-браузера Safari подключаемый модуль Dr.Web Control Center Plugin доступен только для версий, работающих под ОС Windows.
Внимание! Dr.Web Control Center Plugin для Центра управления Dr.Web ES 10.x отличается от Dr.Web Control Center Plugin для Центра управления Dr.Web ES 6.x. В том случае, если на машине ранее был установлен Dr.Web Control Center Plugin предыдущей версии, необходимо заменить плагин браузера и после завершения установки выйти из программы и заново ее запустить.
В рамках одного браузера использование Dr.Web Control Center Plugin 10.х и Dr.Web Control Center Plugin 6.х невозможно.
Внимание! При использовании неанглоязычного браузера типа Firefox на англоязычной операционной системе Windows необходимо убедиться, что в названии папки загрузки по умолчанию не используются неанглийские символы (должна быть только латиница). Настройка папки скачивания производится на странице Основные меню Настройки браузера Mozilla Firefox.
Сканер сети выполняет следующие действия:
Сканирование (обзор) сети с целью обнаружения рабочих станций.
Определение наличия Агента на станциях. Сканер сети способен определить наличие на станции Агента только версии 4.44 и старше, но не способен взаимодействовать с Агентами более ранних версии. Установленный на защищаемой станции Агент версии 4.44 и старше осуществляют обработку соответствующих запросов Сканера сети, поступающих на определенный порт. По умолчанию используется порт udp/2193, ранее использовавшийся порт udp/2372 не поддерживается. Соответственно, эти же порты по умолчанию предлагается опрашивать и в Сканере сети. Сканер сети делает вывод о наличии или отсутствии Агента на станции исходя из возможности обмена информацией (запрос-ответ) через вышеуказанный порт.
Сканер сети может осуществлять поиск станций в Active Directory и LDAP, при этом поиск может осуществляться для станций, находящихся в разных доменах.
Внимание! Если на станции установлен запрет (например, посредством файервола) приема пакетов на udp/2193, то Агент не может быть обнаружен, а следовательно, с точки зрения Сканера сети, считается, что Агент на станции не установлен.
|
