SHRIKE74
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Настройка сервера
Запускаем SSC. Раскрываем в левой части консоли Symantec System Center – System Hierar-chy. Должно появиться имена обнаруженных групп. Если их несколько – то в консоли отобразятся все найденные. Если этого не произошло, кликаем правой клавишей мыши по значку «System Hi-erarchy», из контекстного меню выбираем New – Server Group и вводим имя созданной нами группы, а также ее пароль. Будьте внимательны при конфигурировании целевой группы. Кликаем по требуемой группе правой клавишей и выбираем «Unlock Server Group». Потребуется ввести пароль. Если не хочется вводить его в будущем – установите флажок «Save this Password». В от-крывшемся иерархическом списке прежде всего кликаем по значку нашего сервера и в появив-шемся контекстном меню выбираем «Make Server a Primary Server» и подтверждаем смену роли. Если серверов антивируса несколько, то один из них будет Primary, а остальные – резервными для отказоустойчивости.
Изменения конфигурации как самого сервера, так и клиентов производятся путем вызова со-ответствующих консолей настройки. Все они сгруппированы в контекстное меню, вызываемое правой клавишей мыши – All Tasks. В дальнейшем описании словосочетание «кликните правой клавишей по объекту и выберите All Tasks – Symantec Antivirus» по умолчанию опускается – бу-дут указываться только пункты в этом меню. Все настройки в открываемых консолях относятся к тому объекту, по которому вы кликнули при выборе требуемой опции, поэтому клик правой кла-вишей мыши для вызова меню необходимо производить именно на указанном объекте.
Настраиваем наш основной сервер антивируса.
• Virus Definition Manager – настраиваем порядок и расписание получения обновлений нашим сервером. Выбираем «Update the Primary Server of this Server Group only» и нажи-маем «Configure». При такой настройке только Primary Server будет получать обновления из интернета, а все остальные сервера получат их от него. Таким образом мы экономим внешний трафик. Для получения обновлений сервер антивируса должен иметь доступ к Web-ресурсам Symantec Corporation по портам HTTP (80) и FTP (20,21), либо необходимо настроить подключение через прокси-сервер, нажав кнопку «Source». Для автоматическо-го обновления устанавливаем флажок «Schedule for automatic updates», и, нажав справа кнопку «Schedule» задаем расписание проверки обновлений. Устанавливаем «Daily» - At <требуемое время> и в «Advanced» указываем, время, через которое необходимо повто-рять неудачные попытки обновления (Handle missed events within), а также период слу-чайного смещения расписания обновления (Randomization Options – Perform Update within plus or minus). Выходим в меню Virus Definition Manager.
Задаем способ получения обновлений клиентами. Выбираем «Update virus definitions from parent server» и нажав «Settings», задаем период проверки клиентами обновлений на сер-вере. Значение 60 минут является гарантией того, что клиенты будут проверять наличие обновлений ежечасно. Поскольку при такой настройке клиенты проверяют обновления только на указанном внутреннем сервере, никакого трафика на внешнем канале они не создадут. Если в сети все компьютеры локальные, то устанавливаем флажок «Do not allow client to manually launch LiveUpdate», чтобы принудительно запретить клиентам запускать проверку обновлений через интернет. После того, как порядок обновлений сервера и кли-ентов настроен, подтверждаем изменения. Однако, если имеются пользователи с мобиль-ными компьютерами, то лучше выделить их в отдельную группу и создать персональные настройки для этой группы (в частности, разрешающие ручное обновление, чтобы со-трудник, уехавший в командировку смог при необходимости вручную обновить свой ан-тивирус). Даже если вы запретили клиенту запуск обновления через LiveUpdate, все равно имеется возможность добавить новые сигнатуры. Для этого необходимо скачать с сайта производителя универсальное обновление «Intelligent Updater» в виде exe-файла. После запуска программа сама найдет установленные компоненты и обновит их.
• Update Virus Defs now – выбираем данный пункт для немедленной проверки и закачки главным сервером обновлений антивирусных баз через интернет. Будет выведен запрос подтверждения и после этого базы начнут обновляться. Это может занять некоторое вре-мя в зависимости от скорости Вашего канала. Выделив нужный сервер, через некоторое время (первоначальное обновление имеет размер от 5 до 8 мегабайт) нажмите F5. Статус должен смениться на нормальный (синяя галочка). Если этого не произошло – проверьте в чем дело – вызовите свойства сервера и в закладке Symantec Antivirus проверьте дату обновления. Она должна быть близка к текущей дате (разница в несколько дней допуска-ются, так как SAV указывает только дату глобального обновления, не принимая в расчет добавления одиночных записей). Если обновление очень уж старое (больше 10 дней) – значит ваш сервер по каким-либо причинам не смог обновить базы. Проверьте настройки доступа вашего сервера в интернет, а также логи шлюза – была ли предпринята сервером попытка обновить базы. Для более подробного анализа можно просмотреть даты измене-ния файлов с базой вирусов – она должна показывать время последнего изменения, что позволит точнее проверить, когда произошло обновление.
• Server Auto-Protect options - настроим работу сервера антивируса в режиме online-мониторинга. Устанавливаем флаг «Enable Auto-Protect», выбираем типы файлов. Если выбрать «All types», то снижается быстродействие, но повышается защищенность. Для увеличения быстродействия опытные администраторы, способные совершенно точно предсказать, в каких файлах могут содержаться вирусы, могут установить флаг «Selected» и, нажав копку «Extensions» добавить необходимые типы файлов. Мастер позволяет ав-томатически добавить известные SAV типы «Programs» и «Documents», однако этого не всегда оказывается достаточно. Например, крайне рекомендуется добавить вручную к приведенному списку файлы с расширением TMP, так как многие программы перед тем, как создать окончательный файл или добавить в базу информацию, сначала создают вре-менный файл. Таким образом, имеется возможность сразу отловить вирусный файл. Крайне полезна данная опция, например, для почтового клиента The Bat!, который при получении письма сначала помещает его содержимое во временный файл. Если антивирус почтового сервера не смог обезвредить вирус (например, его описание еще не появилось в сигнатурах), то локальный монитор сможет предотвратить заражение – такое письмо про-сто не будет получено с POP3-сервера. Имеется в виду, что на почтовом сервере и на ло-кальных компьютерах установлены антивирусы РАЗНЫХ производителей – и если опи-сание вируса не успело появиться в сигнатурах на почтовом сервере, то есть надежда, что на локальных компьютерах оно уже есть. Правее настраиваются действия, которые необ-ходимо производить при обнаружении зараженного файла. Как правило, оптимальным является попытка вылечить объект, а если это не удалось – просто удалить файл. Если у Вас большая сеть, то помещать в карантин тысячи, скорее всего, бесполезных файлов как минимум нерационально.
В меню «Advanced» задаются дополнительные параметры сервера. «StartUp options» ус-танавливает порядок запуска (мы выбрали «System Start», однако при необходимости можно изменить этот параметр). «Changes requiring Auto-Protect reload» - действие, кото-рое необходимо совершать при изменении параметров, требующих перезагрузки сервера антивируса. Можно выбрать «Wait until system restart», однако лучше применять измене-ния сразу: «Stop and reload Auto-Protect», так как сервера могут не перезагружаться года-ми. В поле «Scan files when» указывается, когда именно необходимо сканировать требуе-мые файлы. Вариант «Accessed or modified» является наиболее разумным, так как подра-зумевает максимальную защиту – проверка будет осуществляться при любом обращении к файлу, а значит ни скопировать, ни запустить зараженный файл будет невозможно (при соответствующих настройках действий с зараженными объектами – см.выше).
В секции «Automatic enabler» задается время, через которое мониторинг будет автомати-чески включен, даже если его принудительно отключил администратор. Секция «Threat tracer» позволяет настраивать поиск и блокирование сетевой активности вирусов в случае обнаружения таковой (используется встроенный Client-Firewall). В секции «Additional ad-vanced options» задается уровень эвристики (средний – оптимален), а также контроль за флоппи-дисководами. Так, при попытке завершения работы антивирусный монитор про-веряет наличие дискеты в дисководе, и если она там есть – выдает соответствующее пре-дупреждение, которое очень часто вводит в ступор пользователей (особенно бухгалтеров, которые часто оставляют ключевые дискеты клиент-банка). Это проверку можно отклю-чить, установив флаг «Do not check floppies upon system shutdown» под кнопкой «Floppies».
Вернемся в основное окно «Server Auto-Protect options». В секции «Options» можно раз-решить или запретить выдачу сообщения при обнаружении вируса, а также отредактиро-вать текст этого сообщения. Как правило, в больших сетях проще это сообщение вообще отключить, иначе очень быстро надоест отвечать на тревожные звонки пользователей, ко-торые будут со страхом сообщать, что у них «обнаружен вирус!». Здесь же задаются типы и расположение файлов, которые проверять не нужно. При возможном сильном торможе-нии исключите из проверки файлы, которые скорее всего не будут содержать вирусов, но постоянно используются. Например, файлы БД. В противном случае вы получите резкое замедление работы в этих базах. Поэтому например при использовании систем «1С:Предприятие» файловых версий не забудьте исключить из проверки файлы следую-щих типов: dbf, cdx, md, dd, ert, log, mlg. То же касается работы дизайнеров (файлы tiff, cdr, psd и другие), архитекторов, инженеров видео монтажа и пр. В противном случае вам гарантированы жалобы на «торможение системы», так как постоянный мониторинг, на-пример, нескольких гигабайтных AVI-файлов почти завесит систему. Однако в последнее время обнаруживаются совершенно непредсказуемые уязвимости при обработке вроде бы «безвредных» файлов (например последние уязвимости, связанные с переполнением бу-фера в GDI с помощью безобидного JPG файла). Поэтому говорить о том, что в каком-то конкретном формате файла вирусы жить не могут, мы не имеем права. Можно лишь наде-яться, что не будет найдено новых ошибок в обработке этих «безопасных» форматов. Здесь необходимо руководствоваться отношением показателя надежности к получаемому быстродействию.
В опции «Drive types» снимите все галки, так как ни проверка сетевых дисков, ни скани-рование CD не даст вам ничего, кроме значительного замедления работы системы. Ак-центирую внимание, что отключение такой проверки абсолютно безопасно, если Вы про-веряете файлы при любом обращении к ним – при попытке скопировать или запустить та-кой файл он будет заблокирован. Таким образом оптимальное быстродействие достигает-ся за счет фоновой проверки только тех файлов, к которым осуществляется обращение.
На этом конфигурирование антивирусного монитора сервера завершено и можно перехо-дить к настройке клиентов. Конфигурация защиты клиентов аналогична серверной, за не-которыми исключениями и дополнительными возможностями, о которых будет особо сказано далее.
|
) 
... Легчн короче базы качать с симантека в виде exe..