Часто задаваемые вопросы по темам
Работа ОС Windows
Настройка аудита безопасности
Чтобы вовремя выявить попытки несанкционированного доступа на конечных устройствах (в том числе и успешные) и принять соответствующие меры, рекомендуется использовать аудит безопасности.
Для этого:
Войдите в Панель управления → Администрирование → Локальная политика безопасности → Конфигурация расширенной политики аудита → Доступ к объектам → Аудит файловой системы. Включите аудит файловой системы на успех и отказ.
Далее включите аудит на необходимую папку:
откройте свойства папки общего доступа → вкладка Безопасность → Дополнительно → вкладка Аудит → Изменить → Добавить;
укажите пользователей, для которых необходимо вести аудит. Установите Все, уровень применения – Для этой папки и ее подпапок и файлов;
укажите действия, аудит которых будет вестись: Создание файлов/дозапись данных, Создание папок/дозапись данных, Удаление подпапок и файлов и просто Удаление. Для всех действий выберите аудит и на успех, и на отказ.
После этого в журнале событий безопасности будут появляться события доступа к файлам и папкам.
Если в системе с уже настроенным аудитом антивирус сработает на какие-либо изменения в файловой системе, обязательно запомните время срабатывания и сопоставьте его с событиями в журнале безопасности.
Ознакомиться с кодами событий безопасности можно на официальном сайте Microsoft.
Обновления, обеспечивающие поддержку SHA-256 для корректной работы Dr.Web на устаревших версиях Windows
Наиболее подробно тема необходимости поддержки SHA-256 на пользовательских ОС раскрыта на этой странице, а также в нашей новости. Здесь можно ознакомиться с официальной информацией от Microsoft.
Какие версии Windows считаются устаревшими и требуют установки указанных обновлений?
Речь идет об ОС Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2.
Почему обновления системы безопасности Microsoft необходимы для корректной работы обновлений ПО Dr.Web?
Необходимость обновления связана с политикой компании Microsoft, которая более не позволяет сторонним центрам сертификации (DigiCert, COMODO и др.) выпускать сертификаты, которыми можно подписывать модули для работы в ядре ОС Windows. Только Microsoft может подписывать модули для ядра своим WHQL-сертификатом, который существует только в виде версии SHA256. Более подробная информация приведена в документации Microsoft.
Dr.Web продолжает планомерно поддерживать устаревшие версии Windows.
Какие конкретно обновления требуются для моей ОС?
Если при установке или обновлении Dr.Web появляется сообщение о том, что ваша операционная система не поддерживает алгоритм хеширования SHA-256, установите нужное обновление из списка ниже.
- Для Windows Vista установите последовательно пакеты обновлений SP1 и SP2, затем установите обновление KB4090450.*
- Для Windows 7 установите пакет обновлений SP1, затем - KB3033929 или KB4474419 или KB4054518.
- Для Windows Server 2008 установите пакет обновлений SP2, затем обновление KB4474419 или KB4039648 или KB3033929.
- Для Windows Server 2008 R2 установите пакет обновлений SP1, затем - KB4474419.
Обновления для работы с SHA-256 могут также содержаться в других обновлениях Windows.
Я не буду устанавливать обновления для своей ОС и согласен получать только обновления вирусных баз Dr.Web. Как мне отключить уведомление?
Для отключения уведомления:
- Откройте меню Dr.Web
и выберите пункт Центр безопасности. - Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт»
). В противном случае нажмите на замок 
. - В верхней части окна программы нажмите
. - Откроется окно с основными настройками программы. В левой части окна выберите пункт Обновление.
- Для перехода к дополнительным настройкам в окне Обновление (см. рисунок Настройки обновления) нажмите ссылку Дополнительные настройки.
- В разделе Обновляемые компоненты выберите «Только вирусные базы».
Проблема производительности при интеграции AMSI в Microsoft Exchange Server 2016/2019
Компания Microsoft выпустила обновления для Microsoft Exchange Server 2016 (KB5003611) и Microsoft Exchange Server 2019 (KB5003612), позволяющие почтовым серверам Exchange указанных версий работать с интерфейсом AMSI (Antimalware Scan Interface). Теперь антивирусное ПО, работающее с интерфейсом AMSI и установленное на одном компьютере с сервером Microsoft Exchange, сканирует все HTTP-запросы до того, как они будут обработаны самим почтовым сервером.
В связи с этим работа антивируса Dr.Web для серверов Windows и Агентов Dr.Web для Windows с включенной поддержкой AMSI может значительно уменьшать скорость работы сервера и вызывать проблемы с производительностью антивирусного ПО. Релиз с обновлением, решающим указанную проблему, был выпущен 17 января 2022 года. До установки указанного обновления разработчики "Доктор Веб" рекомендуют отключить поддержку интерфейса AMSI в почтовых серверах Exchange.
Для отключения AMSI в продуктах Microsoft Exchange Server воспользуйтесь интерфейсом Exchange Server PowerShell:
- Откройте Exchange Server PowerShell.
- Последовательно выполните следующие команды:
[PS] C:\>New-SettingOverride -Name DisablingAMSIScan -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing" [PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh [PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Важно: перед выполнением команд убедитесь, что все данные сохранены, так как указанные действия приведут к перезапуску служб Internet Information Services (IIS) и прерыванию соединения.
Мы рекомендуем повторно включить поддержку интерфейса AMSI на почтовом сервере, когда указанная проблема будет устранена с выходом соответствующего обновления. Для этого необходимо выполнить следующие команды с помощью Exchange Server PowerShell:
[PS] C:\>Remove-SettingOverride -Identity DisablingAMSIScan -Confirm:$false
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Важно: перед выполнением команд убедитесь, что все данные сохранены, так как указанные действия приведут к перезапуску служб Internet Information Services (IIS) и прерыванию соединения.
Вы также можете отключить AMSI с помощью готового скрипта PowerShell:
- Загрузите скрипт Test-AMSI.ps1 из репозитория Microsoft по ссылке.
- Поместите скрипт в папку C:\scripts, где установлен Microsoft Exchange Server. Если папка scripts отсутствует, создайте ее. Обязательно проверьте, разблокирован ли файл, чтобы избежать ошибок при запуске скрипта.
- Последовательно выполните следующие команды:
[PS] C:\scripts>.\Test-AMSI.ps1 -DisableAMSI [PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Для повторного включения AMSI на сервере Microsoft Exchange последовательно выполните следующие команды:
[PS] C:\scripts>.\Test-AMSI.ps1 -EnableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Нет совпадений
