Поширені запитання за темами
Работа ОС Windows
Настройка аудита безопасности
Чтобы вовремя выявить попытки несанкционированного доступа на конечных устройствах (в том числе и успешные) и принять соответствующие меры, рекомендуется использовать аудит безопасности.
Для этого:
Войдите в Панель управления → Администрирование → Локальная политика безопасности → Конфигурация расширенной политики аудита → Доступ к объектам → Аудит файловой системы. Включите аудит файловой системы на успех и отказ.
Далее включите аудит на необходимую папку:
откройте свойства папки общего доступа → вкладка Безопасность → Дополнительно → вкладка Аудит → Изменить → Добавить;
укажите пользователей, для которых необходимо вести аудит. Установите Все, уровень применения – Для этой папки и ее подпапок и файлов;
укажите действия, аудит которых будет вестись: Создание файлов/дозапись данных, Создание папок/дозапись данных, Удаление подпапок и файлов и просто Удаление. Для всех действий выберите аудит и на успех, и на отказ.
После этого в журнале событий безопасности будут появляться события доступа к файлам и папкам.
Если в системе с уже настроенным аудитом антивирус сработает на какие-либо изменения в файловой системе, обязательно запомните время срабатывания и сопоставьте его с событиями в журнале безопасности.
Ознакомиться с кодами событий безопасности можно на официальном сайте Microsoft.
Обновления, обеспечивающие поддержку SHA-256 для корректной работы Dr.Web на устаревших версиях Windows
Наиболее подробно тема необходимости поддержки SHA-256 на пользовательских ОС раскрыта на этой странице, а также в нашей новости. Здесь можно ознакомиться с официальной информацией от Microsoft.
Какие версии Windows считаются устаревшими и требуют установки указанных обновлений?
Речь идет об ОС Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2.
Почему обновления системы безопасности Microsoft необходимы для корректной работы обновлений ПО Dr.Web?
Необходимость обновления связана с политикой компании Microsoft, которая более не позволяет сторонним центрам сертификации (DigiCert, COMODO и др.) выпускать сертификаты, которыми можно подписывать модули для работы в ядре ОС Windows. Только Microsoft может подписывать модули для ядра своим WHQL-сертификатом, который существует только в виде версии SHA256. Более подробная информация приведена в документации Microsoft.
Dr.Web продолжает планомерно поддерживать устаревшие версии Windows.
Какие конкретно обновления требуются для моей ОС?
Если при установке или обновлении Dr.Web появляется сообщение о том, что ваша операционная система не поддерживает алгоритм хеширования SHA-256, установите нужное обновление из списка ниже.
- Для Windows Vista установите последовательно пакеты обновлений SP1 и SP2, затем установите обновление KB4090450.*
- Для Windows 7 установите пакет обновлений SP1, затем - KB3033929 или KB4474419 или KB4054518.
- Для Windows Server 2008 установите пакет обновлений SP2, затем обновление KB4474419 или KB4039648 или KB3033929.
- Для Windows Server 2008 R2 установите пакет обновлений SP1, затем - KB4474419.
Обновления для работы с SHA-256 могут также содержаться в других обновлениях Windows
Я не буду устанавливать обновления для своей ОС и согласен получать только обновления вирусных баз Dr.Web. Как мне отключить уведомление?
Для отключения уведомления:
- Откройте меню Dr.Web
и выберите пункт Центр безопасности. - Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт»
). В противном случае нажмите на замок 
. - В верхней части окна программы нажмите
. - Откроется окно с основными настройками программы. В левой части окна выберите пункт Обновление.
- Для перехода к дополнительным настройкам в окне Обновление (см. рисунок Настройки обновления) нажмите ссылку Дополнительные настройки.
- В разделе Обновляемые компоненты выберите «Только вирусные базы».
Проблема продуктивності при інтеграції AMSI в Microsoft Exchange Server 2016/2019
Компанія Microsoft випустила оновлення для Microsoft Exchange Server 2016 (KB5003611) та Microsoft Exchange Server 2019 (KB5003612), які дозволяють поштовим серверам Exchange вказаних версій працювати з інтерфейсом AMSI (Antimalware Scan Interface). Тепер антивірусне програмне забезпечення, що працює з інтерфейсом AMSI та встановлене на одному комп'ютері з сервером Microsoft Exchange, сканує всі HTTP-запити до того, як вони будуть оброблені самим поштовим сервером.
Через це робота антивірусу Dr.Web для серверів Windows і Агентів Dr.Web для Windows із включеною підтримкою AMSI може значно зменшувати швидкість роботи сервера та викликати проблеми з продуктивністю антивірусного програмного забезпечення.
Реліз із оновленням, що розв'язує вказану проблему, вийшов 17 січня 2022 року. Розробники «Доктор Веб» рекомендують відключити підтримку інтерфейсу AMSI в поштових серверах Exchange до встановлення цього оновлення.
Щоб відключити AMSI в продуктах Microsoft Exchange Server, скористайтеся інтерфейсом Exchange Server PowerShell:
- Відкрийте Exchange Server PowerShell.
- Послідовно виконайте такі команди:
[PS] C:\>New-SettingOverride -Name DisablingAMSIScan -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing"
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Важливо: перед виконанням команд переконайтеся, що всі дані збережені, оскільки зазначені дії призведуть до перезапуску служб Internet Information Services (IIS) та переривання з'єднання.
Ми рекомендуємо повторно включити підтримку інтерфейсу AMSI на поштовому сервері, коли вказана проблема буде розв'язана після виходу відповідного оновлення. Для цього виконайте такі команди за допомогою Exchange Server PowerShell:
[PS] C:\>Remove-SettingOverride -Identity DisablingAMSIScan -Confirm:$false
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Важливо: перед виконанням команд переконайтеся, що всі дані збережені, оскільки зазначені дії призведуть до перезапуску служб Internet Information Services (IIS) та переривання з'єднання.
Ви також можете відключити AMSI за допомогою готового скрипту PowerShell:
- Завантажте скрипт Test-AMSI.ps1 із репозиторію Microsoft.
- Cтворіть каталог C:\scripts та помістіть у нього цей скрипт. Обов'язково перевірте, чи розблокований файл, щоб уникнути помилок під час запуску скрипту.
- Послідовно виконайте такі команди:
[PS] C:\scripts>.\Test-AMSI.ps1 -DisableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Щоб повторно включити AMSI на сервері Microsoft Exchange, послідовно виконайте такі команди:
[PS] C:\scripts>.\Test-AMSI.ps1 -EnableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Немає збігів
