Dr.Web Enterprise Security Suite用于组织和管理可靠的统一保护系统,为包括移动设备和员工家用电脑在内的公司局域网提供全面的反病毒保护。
安装有能够交互作用的Dr.Web Enterprise Security Suite组件的所有计算机和移动设备构成统一的反病毒网络。
|
Dr.Web服务器 |
|
HTTP/HTTPS |
|
Dr.Web安全管理中心 |
|
使用TCP/IP的网络 |
|
Dr.Web移动管理中心 |
|
使用HTTP/HTTPS传递更新 |
|
受保护工作站 |
|
Dr.Web GUS |
反病毒网络逻辑结构
Dr.Web Enterprise Security Suite反病毒网络为服务器-客户端结构。其组件安装到用户和管理员的电脑和移动设备,以及在局域网执行服务器功能的计算机。反病毒网络组件使用TCP/IP协议相互交换信息。 既可通过局域网,也可通过互联网将反病毒软件包安装到受保护工作站(并在安装后对其进行管理)。
统一保护服务器
统一保护服务器(以下简称Dr.Web服务器)安装于反病毒网络中的任何一台电脑,而且不一定要安装的在局域网执行服务器功能的计算机。对电脑的基本系统要求参见系统要求。
服务器软件支持多平台,可使用以下操作系统的计算机作为统一保护服务器:
•OS Windows,
•UNIX家族操作系统(Linux、FreeBSD)。
统一保护服务器保存用于受保护计算机各种操作系统的反病毒软件包、病毒库、反病毒软件包的更新以及用户密钥和受保护计算机软件包设置。统一保护服务器通过互联网从全球更新系统服务器获取反病毒组件和病毒库更新并将更新分发至受保护工作站。
可使用由多个统一保护服务器组成的集群管理反病毒网络中的受保护工作站。
统一保护服务器支持重要数据(数据库、配置文件等)备份功能。
统一保护服务器记录统一的反病毒网络事件日志。
统一数据库
统一数据库连接统一保护服务器,保存反病毒网络事件统计数据、服务器本身的设置、受保护工作站参数和安装于受保护工作站的反病毒组件的参数。
可使用以下类型的数据库:
内设数据库。是统一管理服务器内置的数据库SQLite3。
外设数据库。 内置驱动程序可理解以下数据库:
•MySQL,
•Oracle,
•PostgreSQL (包括Postgres Pro)、
•ODBC驱动程序:用于连接其它数据库,如Microsoft SQL Server/Microsoft SQL Server Express.
可使用任意一种能够满足需要的数据库。选择时应遵循对数据库的要求,如:可用于相应规模的反病毒网络;数据库软件使用特点;数据库本身的管理功能以及企业具体要求和标准。
统一保护管理中心
统一保护管理中心和统一保护服务器一起自动安装,是Web界面,通过编辑服务器设置以及保存于服务器和受保护计算机上的受保护计算机设置来对统一保护服务器和反病毒网络进行管理。
管理中心可在任何一台能够与统一保护服务器建立网络连接的计算机上打开。几乎所有操作系统下都可使用管理中心,可支持其所有功能的浏览器为:
•Windows Internet Explorer,
•Microsoft Edge,
•Mozilla Firefox,
•Google Chrome。
可能方案参见系统要求。
统一保护管理中心具有以下功能:
•便于将反病毒软件安装到受保护工作站,包括:预先在网络中搜索计算机后远程安装到工作站;创建带有独有识别码和统一保护服务器连接参数的软件版本,以简化管理员进行反病毒软件的安装或让用户能够将反病毒软件自行安装到工作站。
•利用组机制简化对反病毒网络工作站的管理 (详见第七章、工作站的综合管理)。
•对工作站上的反病毒软件包进行统一管理,包括删除OS Windows 工作站上的部分组件或整个反病毒软件;设置反病毒软件包组件运行参数;为工作站用户指定设置和管理受保护工作站的权限 (详见第八章、工作站的管理)。
•对工作站反病毒扫描进行统一管理,包括:按照日程或管理员从管理中心发出的指令远程启动反病毒扫描; 统一设置反病毒扫描参数,这些参数会发送到工作站并以指定参数启动本地扫描(详见工作站反病毒扫描)。
•获取受保护工作站状态统计信息、病毒统计信息、已安装的反病毒软件包状态、已启用的反病毒组件状态以及受保护工作站硬软件配置列表(详见查看工作站统计信息)。
•具备灵活的统一保护服务器和反病毒网络管理系统,可限定不同管理员的权限,且管理员可通过外部身份验证系统Active Directory、LDAP、RADIUS和PAM 登录(详见第六章、反病毒网络管理员)。
•管理工作站反病毒保护授权,可利用分支系统为工作站、工作站组指定授权,还可在多服务器反病毒网络中的不同统一保护服务器间传递授权(详见授权管理器)。
•利用设置选项可为统一保护服务器和其组件灵活指定配置,包括:指定维护日程;接入用户进程;灵活设置更新系统,从GUS获取反病毒网络所有组件的更新并将其传播到工作站;设置管理员反病毒网络事件通知系统,可选择不同方式送达通知;设置服务器间连接,管理多服务器反病毒网络的配置(详见第十章、Dr.Web服务器设置)。
|
将反病毒保护安装至工作站的详细信息参见安装手册。 |
Dr.Web安全管理中心的一个组成部分是与统一保护服务器一同自动安装的Web服务器。Web服务器的主要任务是保证运行管理中心页面和客户端网络连接。
统一保护移动管理中心
用于iOS和Android移动设备的单独组件是移动管理中心(Dr.Web Mobile Control Center)。使用此应用程序对设备的基本要求参见系统要求。
移动管理中心利用加密协议连接统一保护服务器,运行需使用反病毒网络管理员账户。移动管理中心具备 管理中心的基本功能:
1.管理反病毒网络工作站上安装的反病毒组件:
•在所选工作站或所选组的所有工作站启动快速扫描或完全扫描;
•设置Dr.Web扫描仪侦测到恶意对象时的反应;
•查看和管理所选工作站或所选组的所有工作站上隔离区文件。
2.收集反病毒网络状态信息:
•在Dr.Web服务器注册的工作站数量,其当前状态(在线/离线);
•受保护工作站感染统计信息。
3.管理工作站和工作站组:
•查看设置;
•查看和管理反病毒软件包组件;
•删除工作站和组;
•向工作站发送自定义内容的通知;
•重启OS Windows工作站;
•将工作站和组添加至快速访问收藏项。
4.通过Push及时对话系统查看并管理反病毒网络重要事件通知:
•在Dr.Web服务器显示所有通知;
•指定对通知事件的反应;
•按照指定的过滤参数搜索通知;
•删除通知;
•排除因自动删除丢失通知。
5.管理等待与Dr.Web服务器连接的新工作站:
•批准访问;
•拒绝工作站。
6.管理反病毒软件包更新出错的工作站:
•显示出错的工作站;
•在出错的工作站更新组件。
7.管理Dr.Web服务器库:
•查看库中产品状态;
•启动从Dr.Web全球更新系统进行库更新。
8.按名称、地址和ID在反病毒网络查找工作站和工作站组。
可从管理中心下载Dr.Web Mobile Control或直接在应用商店App Store和Google Play下载。
保护网络中的工作站
在网络中的受保护工作站和移动设备安装管理模块 (客户端)和用于相应操作系统的反病毒软件包。
软件支持多平台,可对以下操作系统的计算机和移动设备进行反病毒保护:
•OS Windows,
•UNIX家族操作系统,
•macOS,
•OS Android。
受保护工作站可以是用户电脑,也可以是局域网中的服务器,支持对Microsoft Outlook邮件系统的反病毒保护。
管理模块定期从统一保护服务器下载反病毒组件和病毒库更新,并向统一保护服务器发送受保护计算机上的病毒事件信息。
如统一保护服务器无法访问,可直接通过互联网从全球更新系统更新受保护工作站上的病毒库。
分别为不同操作系统的工作站提供的保护功能见下。
OS Windows工作站
反病毒扫描
按照用户调用或日程对计算机进行扫描。还可从管理中心远程启动工作站扫描,包括检查是否存在Rootkit。
文件监视器
实时模式下对文件系统进行不间断检查,检查所有启动的进程,以及在硬盘创建的文件和在移动设备打开的文件。
邮件监视器
使用邮件客户端时检查所有进出邮件。
还可进行垃圾邮件过滤(如授权允许使用这一功能)。
Web 监视器
检查所有使用HTTP协议对网站的访问。消除HTTP流量存在的威胁(如获取和发送的文件中存在的威胁),限制访问可疑的资源和错误资源 。
办公控制
控制对本地资源和网络资源的访问,包括控制对网站的访问。可监控重要文件的完整性,防止无意更改或病毒感染,禁止员工访问不需要的信息。
防火墙
保护计算机免于未经授权的外部访问,防止重要信息通过互联网泄露。控制互联网连接和数据传输,在数据包和应用程序层面阻止可疑的连接。
隔离区
将恶意对象和可疑对象隔离到专门的文件夹。
自我保护
保护Dr.Web Enterprise Security Suite文件和目录,防止未经授权进行删除、被用户无意间删除修改或被恶意软件修改。启用自我保护时只允许Dr.Web进程访问Dr.Web Enterprise Security Suite的文件和目录。
预防性保护
预防潜在危险。监控对操作系统重要对象的访问,监控驱动程序的加载以及自启动软件和系统服务的运行,并跟踪已启动进程,如发现病毒活动则阻断进程。
应用程序监控
对工作站所有进程的活动进行监控,可让反病毒网络管理员调整受保护工作站上的应用是否允许使用或禁止使用。
UNIX家族操作系统工作站
反病毒扫描
扫描引擎。执行数据(文件内容、磁盘设备启动记录、来自Dr.Web for UNIX其他组件的数据)的反病毒扫描。安排扫描次序。对可清除的威胁进行清除。
反病毒扫描、管理隔离区
文件系统对象扫描组件和隔离区管理器。接受来自Dr.Web for UNIX其他组件的文件扫描任务。按照日程巡视文件系统目录,将文件提交给扫描引擎进行扫描。删除已感染文件,隔离文件或从隔离区还原文件、管理隔离区目录。保证缓存保存的是已检查文件和已侦测到的威胁注册表的最新信息。
供所有检查文件需对象的组件使用,如SpIDer Guard(for Linux、SMB、NSS)。
扫描Web流量
ICAP服务器,对申请和经代理服务器的HTTP流量进行分析。阻断已感染文件的传输,阻止访问不良Web资源和系统管理员列入黑名单的网络节点。
用于GNU/Linux系统的文件监视器
Linux文件系统监视器。以背景模式运行,监控GNU/Linux文件系统中执行的文件操作(如创建文件,打开、关闭和启动文件)。向文件扫描组件申请对新创建文件和内容更改的文件以及软件启动时的执行文件进行扫描。
用于Samba目录的文件监视器
Samba共享文件监视器。以背景模式运行,监控文件系统中对划分给SMB服务器文件库Samba的目录的操作(如创建文,打开、关闭文件,只读和写入操作)。向文件扫描组件申请对新创建文件和内容更改的文件进行扫描。
NSS文件监视器
NSS卷(Novell Storage Services)监视器。以背景模式运行,监控文件系统指定节点的NSS卷中的操作(如创建文件,打开、关闭文件以及写入操作)。将新创建文件和内容更改的文件发送给文件扫描组件进行扫描。
检查网络连接
对网络流量和URL进行检查的组件。负责检查从网络加载到本地节点和从本地节点上传到外网的数据是否存在威胁,阻止访问不良Web资源和系统管理员列入黑名单的网络节点。
邮件监视器
对邮件进行检查的组件。分析邮件协议通知、解析电子邮件以备检查是否含有威胁。有两种运行模式:
1.邮件服务器(Sendmail, Postfix等等)过滤器,利用Milter、Spamd或Rspamd接口接入。
2.透明代理邮件协议(SMTP, POP3, IMAP)。这种模式下使用SpIDer Gate。
macOS工作站
反病毒扫描
按照用户调用或日程对计算机进行扫描。还可从管理中心远程启动工作站扫描。
文件监视器
实时模式下对文件系统进行不间断检查,检查所有启动的进程,以及在硬盘创建的文件和在移动设备打开的文件。
Web 监视器
检查所有使用http协议对网站的访问。消除http流量存在的威胁(如获取和发送的文件中存在的威胁),阻止访问可疑的资源和错误资源。
隔离区
将恶意对象和可疑对象隔离到专门的文件夹。
OS Android 移动设备
反病毒扫描
按照用户调用或日程对移动设备进行扫描。还可从管理中心远程启动工作站扫描。
文件监视器
实时模式下对文件系统进行不间断检查。在试图将文件保存到移动设备时对其进行检查。
来电和短信过滤
过滤SMS短信和电话可阻止不需要接听的电话和接收的短信,如广告短信和来自未知号码的电话和短信。
防盗器
在移动设备丢失或被窃时确定其所在地或及时上锁。
限制访问互联网资源
URL过滤器使移动设备用户远离不良网路资源。
防火墙
保护移动设备免于未经授权的外部访问,防止重要信息通过互联网泄露。控制互联网连接和数据传输,在数据包和应用程序层面阻止可疑的连接。
帮助解决安全问题
对移动设备安全状态进行诊断和发现,消除发现的问题和漏洞。
控制应用程序的启动
禁止在移动设备启动管理员允许启动列表中不包含的应用程序。
保证反病毒网络各组件间的连接
可利用以下功能保证反病毒网络各组件间的连接稳定、安全:
Dr.Web代理服务器
代理服务器可选择性加入反病毒网络。代理服务器的主要任务是在无法建立直接连接的情况下保证Dr.Web服务器与受保护工作站的连接。
通过代理服务器可将反病毒网络中的任意一台计算机作为:
•更新转发中心,这样可以降低Dr.Web服务器的网络负载和Dr.Web服务器与代理服务器的连接负载,利用缓存功能还可缩短受保护工作站获取更新的时间。
•将受保护工作站病毒事件转发给Dr.Web服务器的转发中心,这样也可以降低网络负载,并在Dr.Web服务器和受保护工作站处于不同的网络的情况下保证数据的传输。
流量压缩
可使用专门算法压缩反病毒网络组件间传输数据,以便将网络流量降至最低。
流量加密
可反病毒网络组件间传输数据时进行加密,已提高保护等级。
补充功能
NAP Validator
NAP Validator是补充组件,用于使用Microsoft Network Access Protection(NAP)技术检查受保护工作站软件运行能力。通过执行对网络工作站运行能力的要求达到提高安全级别的目的。
库加载器
Dr.Web库加载器是补充工具,用于从全球更新系统加载Dr.Web Enterprise Security Suite 产品。可用于加载Dr.Web Enterprise Security Suite产品更新,并在获取更新后将其转至没有接通互联网的Dr.Web服务器。
Dr.Web扫描服务器
Dr.Web扫描服务器为单独组件,用于在虚拟环境运行。扫描服务器安装于一个虚拟机,处理来自其他虚拟机的反病毒扫描申请。