Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Часто задаваемые вопросы по темам

Чтобы вовремя выявить попытки несанкционированного доступа на конечных устройствах (в том числе и успешные) и принять соответствующие меры, рекомендуется использовать аудит безопасности.

Для этого:

  1. Войдите в Панель управления → Администрирование → Локальная политика безопасности → Конфигурация расширенной политики аудита → Доступ к объектам → Аудит файловой системы. Включите аудит файловой системы на успех и отказ.

  2. Далее включите аудит на необходимую папку:

    1. откройте свойства папки общего доступа → вкладка Безопасность → Дополнительно → вкладка Аудит → Изменить → Добавить;

    2. укажите пользователей, для которых необходимо вести аудит. Установите Все, уровень применения – Для этой папки и ее подпапок и файлов;

    3. укажите действия, аудит которых будет вестись: Создание файлов/дозапись данных, Создание папок/дозапись данных, Удаление подпапок и файлов и просто Удаление. Для всех действий выберите аудит и на успех, и на отказ.

После этого в журнале событий безопасности будут появляться события доступа к файлам и папкам.

Если в системе с уже настроенным аудитом антивирус сработает на какие-либо изменения в файловой системе, обязательно запомните время срабатывания и сопоставьте его с событиями в журнале безопасности.

Ознакомиться с кодами событий безопасности можно на официальном сайте Microsoft.

Наиболее подробно тема необходимости поддержки SHA-256 на пользовательских ОС раскрыта на этой странице, а также в нашей новости. Здесь можно ознакомиться с официальной информацией от Microsoft.

Речь идет об ОС Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2.

Необходимость обновления связана с политикой компании Microsoft, которая более не позволяет сторонним центрам сертификации (DigiCert, COMODO и др.) выпускать сертификаты, которыми можно подписывать модули для работы в ядре ОС Windows. Только Microsoft может подписывать модули для ядра своим WHQL-сертификатом, который существует только в виде версии SHA256. Более подробная информация приведена в документации Microsoft.

Dr.Web продолжает планомерно поддерживать устаревшие версии Windows.

Если при установке или обновлении Dr.Web появляется сообщение о том, что ваша операционная система не поддерживает алгоритм хеширования SHA-256, установите нужное обновление из списка ниже.

  • Для Windows Vista установите последовательно пакеты обновлений SP1 и SP2, затем установите обновление KB4090450.*
  • Для Windows 7 установите пакет обновлений SP1, затем - KB3033929 или KB4474419 или KB4054518.
  • Для Windows Server 2008 установите пакет обновлений SP2, затем обновление KB4474419 или KB4039648 или KB3033929.
  • Для Windows Server 2008 R2 установите пакет обновлений SP1, затем - KB4474419.

Обновления для работы с SHA-256 могут также содержаться в других обновлениях Windows.

Для отключения уведомления:

  1. Откройте меню Dr.Web drweb и выберите пункт Центр безопасности.
  2. Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт» drweb ). В противном случае нажмите на замок drweb .
  3. В верхней части окна программы нажмите drweb .
  4. Откроется окно с основными настройками программы. В левой части окна выберите пункт Обновление.
  5. Для перехода к дополнительным настройкам в окне Обновление (см. рисунок Настройки обновления) нажмите ссылку Дополнительные настройки.
  6. В разделе Обновляемые компоненты выберите «Только вирусные базы».

Компания Microsoft выпустила обновления для Microsoft Exchange Server 2016 (KB5003611) и Microsoft Exchange Server 2019 (KB5003612), позволяющие почтовым серверам Exchange указанных версий работать с интерфейсом AMSI (Antimalware Scan Interface). Теперь антивирусное ПО, работающее с интерфейсом AMSI и установленное на одном компьютере с сервером Microsoft Exchange, сканирует все HTTP-запросы до того, как они будут обработаны самим почтовым сервером.

В связи с этим работа антивируса Dr.Web для серверов Windows и Агентов Dr.Web для Windows с включенной поддержкой AMSI может значительно уменьшать скорость работы сервера и вызывать проблемы с производительностью антивирусного ПО. Релиз с обновлением, решающим указанную проблему, был выпущен 17 января 2022 года. До установки указанного обновления разработчики "Доктор Веб" рекомендуют отключить поддержку интерфейса AMSI в почтовых серверах Exchange.

Для отключения AMSI в продуктах Microsoft Exchange Server воспользуйтесь интерфейсом Exchange Server PowerShell:

  1. Откройте Exchange Server PowerShell.
  2. Последовательно выполните следующие команды:
        
    [PS] C:\>New-SettingOverride -Name DisablingAMSIScan -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing"
    
    [PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
    
    [PS] C:\>Restart-Service -Name W3SVC, WAS -Force
    

Важно: перед выполнением команд убедитесь, что все данные сохранены, так как указанные действия приведут к перезапуску служб Internet Information Services (IIS) и прерыванию соединения.

Мы рекомендуем повторно включить поддержку интерфейса AMSI на почтовом сервере, когда указанная проблема будет устранена с выходом соответствующего обновления. Для этого необходимо выполнить следующие команды с помощью Exchange Server PowerShell:


[PS] C:\>Remove-SettingOverride -Identity DisablingAMSIScan -Confirm:$false

[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

[PS] C:\>Restart-Service -Name W3SVC, WAS -Force

Важно: перед выполнением команд убедитесь, что все данные сохранены, так как указанные действия приведут к перезапуску служб Internet Information Services (IIS) и прерыванию соединения.

Вы также можете отключить AMSI с помощью готового скрипта PowerShell:

  1. Загрузите скрипт Test-AMSI.ps1 из репозитория Microsoft по ссылке.
  2. Поместите скрипт в папку C:\scripts, где установлен Microsoft Exchange Server. Если папка scripts отсутствует, создайте ее. Обязательно проверьте, разблокирован ли файл, чтобы избежать ошибок при запуске скрипта.
  3. Последовательно выполните следующие команды:
        
    [PS] C:\scripts>.\Test-AMSI.ps1 -DisableAMSI
    
    [PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
    

Для повторного включения AMSI на сервере Microsoft Exchange последовательно выполните следующие команды:


[PS] C:\scripts>.\Test-AMSI.ps1 -EnableAMSI

[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS

Назад

Нет совпадений