Принципы работы |
Монитор SpIDer Guard для SMB работает в режиме демона (обычно запускается демоном управления конфигурацией Dr.Web ConfigD при запуске системы). После запуска он работает в качестве сервера, к которому подключаются специальные плагины (модули VFS SMB), работающие на стороне сервера и контролирующие активность пользователей в разделяемых каталогах. При обнаружении новых или измененных файлов монитор запрашивает их проверку компонентом проверки файлов Dr.Web File Checker. Схема работы монитора показана на рисунке ниже. Рисунок 13. Схема работы компонента Когда в файле, проверенном по запросу от монитора, обнаруживается неизлечимая угроза, или если для данного типа угрозы в настройках было указано действие «Блокировать» (Block) монитор дает команду модулю VFS SMB, контролирующему разделяемый каталог, блокировать этот файл для пользователей (т.е. запретить чтение файла, запись в него и его исполнение). Также, если это не отключено в настройках, рядом с заблокированным файлом создается специальный текстовый файл, содержащий описание причины блокировки файла. Это делается для того, чтобы предотвратить для пользователя эффект «неожиданного исчезновения файла», который мог бы возникать в случае, если к файлу было автоматически применено действие «Удалить» (Delete) или «Переместить в карантин» (Quarantine). Это позволяет предотвратить множественные попытки пользователя (или программы-червя, заразившей компьютер пользователя) заново создать перемещенный или удаленный файл. Кроме того, это действие является способом проинформировать пользователя, что его компьютер, возможно, инфицирован какой-либо вредоносной программой. Получив такую информацию, пользователь может выполнить антивирусную проверку своего компьютера, обнаружить и обезвредить свои локальные угрозы. Дополнительно файл (в зависимости от значения соответствующего параметра конфигурации) может быть заблокирован при ошибке проверки, в том числе, если отсутствует активная лицензия, обеспечивающая работу SpIDer Guard для SMB. Имеется возможность запретить компоненту наблюдать за указанными каталогами и файлами, находящимися внутри контролируемых разделяемых каталогов сервера . Это может быть необходимо, если некоторые файлы изменяются слишком часто, что заставляет монитор столь же часто их проверять. Частая проверка файлов в хранилище может привести к большой нагрузке на систему. Если при этом точно известно, что для некоторых файлов в хранилище частое изменение – это нормальное поведение, то рекомендуется исключить такие файлы из-под наблюдения монитора. В этом случае он не будет реагировать на их изменение и не будет инициировать их проверку компонентом проверки файлов. Для определения каталогов, подлежащих и не подлежащих наблюдению, монитор файловых хранилищ SpIDer Guard для SMB использует два параметра конфигурации: •IncludedPath – содержит список путей, подлежащих мониторингу («область наблюдения»). •ExcludedPath – содержит список путей, которые требуется исключить из мониторинга («область исключения»). Стандартно в качестве области наблюдения рассматривается весь разделяемый каталог. В случае указания областей наблюдения и исключения, наблюдению подвергаются только те файлы из разделяемого каталога, пути к которым не принадлежат исключения, определяемой списком ExcludedPath, или принадлежат области наблюдения, определяемой списком IncludedPath. При этом, если один и тот же путь указан в обоих списках, то параметр IncludedPath имеет приоритет: объекты, расположенные по данному пути, будут находиться под контролем монитора SpIDer Guard для SMB. Таким образом, параметр IncludedPath имеет смысл использовать для включения в область наблюдения отдельных каталогов и файлов, находящихся внутри области исключения. Имеется возможность задать различные параметры защиты для различных разделяемых каталогов , находящихся под защитой монитора SpIDer Guard для SMB, включая различные области наблюдения и исключения, а также реакции на обнаруженные угрозы. Это достигается заданием в секции конфигурации монитора SpIDer Guard для SMB индивидуальных настроек для модулей VFS SMB, контролирующих эти разделяемые каталоги. |