Сразу после установки dr web atm shield необходимо
В версиях Dr.Web 9-11.5 этот модуль назывался Превентивная защита.
Благодаря модулю Поведенческий анализ Dr.Web способен:
- защищать от проникновения новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, — объектов, знания о которых не поступили в систему защиты (например, в связи с тем, что не были загружены последние обновления)
- распознавать нежелательные изменения пользовательских файлов, отслеживая работу всех процессов системы в поисках действий, характерных для процессов вредоносных программ (например, действий троянцев-шифровальщиков), не позволяя вредоносным объектам внедриться в процессы других программ
- обнаруживать и нейтрализовать новейшие, еще не известные угрозы: троянцев-вымогателей (шифровальщиков), инжекторы, удаленно управляемые вредоносные объекты (распространяемые для организации ботнетов и шпионажа), а также вирусные упаковщики
Настройки
Рассмотрим подробнее, что дает пользователю включение каждой настройки.
Файл HOSTS
Этот файл позволяет определить соответствие между доменным именем хоста и его IP-адресом. Приоритет обработки файла HOSTS выше, чем приоритет обращения к DNS-серверу.
Файл HOSTS позволяет злоумышленникам блокировать доступ к сайтам антивирусных компаний и перенаправлять пользователей на поддельные сайты.
Dr.Web не дает возможности вредоносным программам вносить изменения в файл HOSTS и перенаправлять пользователей на фишинговые ресурсы.
Целостность запущенных приложений
Процесс — это набор ресурсов и данных, которые находятся в оперативной памяти компьютера. Процесс, принадлежащий одной программе, не должен изменять процесс другой программы. Но вредоносные программы, например, Trojan.Encoder.686 (CTB-Locker). нарушают это правило.
Dr.Web не позволяет вредоносным программам внедряться в процессы других программ (например, запрещает троянцам изменять процесс браузера для получения доступа к системе ДБО), тем самым не давая им реализовать свой функционал полностью или частично.
Низкоуровневый доступ к диску
При штатной работе операционной системы Windows доступ к файлам происходит путем обращения к файловой системе, которая подконтрольна ОС. Троянцы-буткиты, изменяющие загрузочные области диска, обращаются к диску напрямую, минуя файловую систему Windows — обращаясь к определенным секторам диска.
Внедрение троянца в загрузочную область существенно затрудняет как его обнаружение, так и процесс обезвреживания.
Dr.Web блокирует возможность изменения вредоносными программами загрузочных областей диска и предотвращает запуск троянцев на компьютере.
Загрузка драйверов
Многие руткиты скрытно запускают свои драйверы и службы для маскировки своего присутствия на компьютере и выполнения несанкционированных пользователем действий, например отправки логинов и паролей, а также иных идентификационных сведений злоумышленникам.
Dr.Web не дает возможности загрузки новых или неизвестных драйверов без ведома пользователя.
Параметры запуска приложений
В реестре ОС Windows существует ключ (entry) Image File Execution Options, с помощью которого для любого приложения Windows можно назначить отладчик —программу, которая помогает программисту в отладке написанного кода, в том числе позволяя модифицировать данные отлаживаемого процесса. С помощью данного ключа вредоносное ПО, будучи назначенным отладчиком какого-нибудь системного процесса или приложения (например, того же Internet Explorer или проводника), получает полный доступ к тому, что интересует злоумышленников.
Dr.Web блокирует доступ к ключу реестра Image File Execution Options.
Реальной необходимости отлаживать приложения на лету у обычных пользователей нет, а риск от использования ключа Image File Execution Options вредоносными программами очень высок.
Драйверы мультимедийных устройств
Известны некоторые вредоносные программы, которые создают исполняемые файлы и регистрируют их как виртуальные устройства.
Dr.Web блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможным установку нового виртуального устройства.
Параметры оболочки Winlogon, Нотификаторы Winlogon
Интерфейс Winlogon notification package реализует возможность обрабатывать события, назначаемые на вход и выход пользователей, включение и выключение операционной системы, и некоторые другие. Вредоносные программы, получив доступ к Winlogon notification package, могут перезагружать ОС, выключать компьютер, препятствовать входу пользователей в рабочую среду ОС. Так поступают, например, Trojan.Winlock.3020, Trojan.Winlock.6412.
Dr.Web запрещает изменение веток реестра, отвечающих за Winlogon notification package, и не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы.
Автозапуск оболочки Windows
Опция блокирует сразу несколько параметров в реестре Windows в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: например, AppInit_DLLs (заставляет Windows загружать указанные DLL каждый раз, когда запускается какая-либо программа), AppInit_DLLs (может использоваться для внедрения руткита в Windows), Run (необходим для запуска программ в минимизированном виде после запуска операционной системы), IconServiceLib (отвечает за загрузку библиотеки IconCodecService.dll, которая необходима для нормального отображения рабочего стола и значков на экране).
Dr.Web блокирует ряд параметров в реестре Windows, например, запрещая вирусам изменить нормальное отображение Рабочего стола или не позволяя руткиту скрыть присутствие троянца в системе.
Ассоциации исполняемых файлов
Некоторые вредоносные программы нарушают ассоциации исполняемых файлов, в результате чего программы не запускаются – или вместо нужной пользователю программы запускается программа, назначенная вредоносным ПО.
Dr.Web не позволяет вредоносному ПО изменить правила запуска программ.
Политики ограничения запуска программ (SRP)
В Windows можно настроить систему ограничения запуска программ (SRP) таким образом, чтобы разрешить запуск программ только из определенных папок (например, Program Files) и запретить выполнение программ из прочих источников. Блокировка ветки реестра, отвечающей за настройку политик SRP, запрещает вносить изменения в уже настроенные политики, таким образом усиливая уже реализованную защиту.
Dr.Web позволяет защитить систему от вредоносного ПО, попадающего на компьютер через почту и съемные носители — и запускающегося, например, из временного каталога. Опция рекомендуется к использованию в корпоративной среде.
Плагины Internet Explorer (BHO)
С помощью данной настройки можно запретить установку новых плагинов для Internet Explorer путем блокирования соответствующей ветки реестра.
Dr.Web защищает браузер от вредоносных плагинов, например от блокировщиков браузера.
Автозапуск программ
Запрещает изменение нескольких веток реестра, ответственных за автозапуск приложений.
Dr.Web позволяет предотвратить автозапуск вредоносных программ, не давая им зарегистрироваться в реестре для последующего запуска.
Автозапуск политик
Опция блокирует ветку реестра, с помощью которой можно запустить любую программу при входе пользователя в систему.
Dr.Web позволяет предотвратить автозапуск определенных программ, например анти-антивирусов.
Конфигурация безопасного режима
Некоторые троянцы отключают безопасный режим Windows для затруднения лечения компьютера.
Dr.Web предотвращает отключение безопасного режима путем блокировки изменения реестра.
Параметры менеджера сессий
Опция защищает параметры диспетчера сеансов Windows – системы, от которой зависит стабильность работы операционной системы. При отсутствии такой блокировки вредоносные программы получают возможность инициализации переменных окружения, запуска ряда системных процессов, выполнения операций по удалению, перемещению или копированию файлов до полной загрузки системы и т. п.
Dr.Web защищает операционную систему от внедрения вредоносных программ, их запуска до полной загрузки операционной системы — и, следовательно, до завершения запуска антивируса.
Системные службы
Опция защищает изменение параметров реестра, отвечающих за нормальную работу системных служб.
Некоторые вирусы могут блокировать редактор реестра, затрудняя нормальную работу пользователя. Например, очищают Рабочий стол от ярлыков установленных программ или не дают перемещать файлы.
Dr.Web не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.
Режимы настроек
Пользователю предлагаются четыре режима настроек: оптимальный (включен разработчиками по умолчанию), средний, параноидальный и пользовательский.
В оптимальном режиме защищены только те ветки реестра, которые используются вредоносными программами и которые можно заблокировать (запретить их изменение) — без значительной нагрузки на ресурсы компьютера.
При повышении режима система более тщательно защищается от действий вредоносного ПО, еще неизвестного вирусной базе Dr.Web, но одновременно возрастает риск возникновения конфликтов между запретами Монитора активности и нуждами запущенных приложений.
Не знаю как классифицировать мою тему, посему решил написать сюдя так как DrWeb ES ближе к ATM Shield.
Ситуация. У меня на банкоматах стоит старенький ES 444. На сайте увидел что вышла специализированная версия ES для банкоматов DrWeb ATM Shield и решил сделать апгрейд.
Предварительно сделал копию старого сервака DrWeb на тестовую машину, подрубил пару тестовых клиентов, запустил drweb-esuite-atm-rel-500-200905310-windows-nt-x86 но он предлагает сделать новую установку, а не апгрейд старой версии.
Собственно сам вопрос, возможно ли сделать апгрейд DrWeb ES4.44.3 до версии DrWeb ATM Shield?
Собственно сам вопрос, возможно ли сделать апгрейд DrWeb ES4.44.3 до версии DrWeb ATM Shield?
А в документации процедура обновления сервера не описана разве?
Попробуйте документацию от обычного ES посмотреть.
Обновление Сервера версии 4.44, 4.70.
Будет выведено окно Dr.Web Enterprise Server примечания к обновлению, извещающее о наличии установленного ПО Сервера предыдущей версии. Инсталлятор автоматически определяет папку установки Сервера.
Так написано в документации по ES, но инсталяшка DrWeb ATM Shield не подхватывает старый сервак, а вот DrWeb ES 5.0 мне предложил апгрейд.
Вот почему у меня и возник вопрос как можно мягко апгрейдить 444 на ATM Shield.
Забанен за флуд
Вот почему у меня и возник вопрос как можно мягко апгрейдить 444 на ATM Shield.
Забанен за флуд
Я просто подумал может кто с таким встречался.
Оно-то спросить не повредит, вот только оборудование зело специфмчное.
Да собственно ничего такого, таже ХР стоит. Что специфичное для АТМ и вызывает подозрения просто в исключениях.
Вопрос скинул в саппорт, ждёмс ответа
Добрый день, DJRemedy.
ATM является основанным на ES, но все-таки отдельным продуктом. Автоматическое обновление с 4.44 в нем не реализовано.
Добрый!
К кому можно обратится с реализацией данного вопроса?
Та как имею коллег и в других банках у которых тоже стоит ES и думаю вопрос рано или поздно возникнет.
К кому можно обратится с реализацией данного вопроса?
Спасибо!
Буду пробовать
Спасибо!
Буду пробовать
Кому будет интересно, вот что ответил саппорт:
Но. ES и DrWeb ATM Shield - это совершенно разные продукты.
И возможность апгрэйда вида "стандартный ES 4.44" => "DrWeb ATM Shield" в проект последнего не закладывалась.
Увы, такой переход с одного продукта на другой вы сможете сделать, только если сначала полностью деинсталлируйете ES, а затем с нуля, заново развернете ATM Shield
Возможно, вам имеет смысл рассмотреть вариант обновления версии ES 4.44 => ES 5.0
Если действовать так: отключить на сервере протокол Agent, обновить версию ES-сервера, для группы everyone убрать все лишнее (SpIdere Mail, SpIDer Gate, etc) в настройках "Устанавливаемые компоненты", включить назад протокол Agent - то так можно получить ES-клиентов практически аналогичных по составу клиентам ATM Shield
С уважением, Колядко Михаил,
служба технической поддержки компании "Доктор Веб".
Так как продукты разные и "мягкий" переход c "ES 4.44" => "DrWeb ATM Shield" не возможен, думаю тему можно закрыть.
Спасибо Всем!
Согласно Положению Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» наиболее критичными для функционирования банковского учреждения и других операторов платежных услуг являются несанкционированные переводы денежных средств, нарушения бесперебойности оказания платежных услуг, несанкционированный доступ к устройству, эксплуатация уязвимости, вредоносный код, DDoS-атака, подбор паролей, фишинг и другие противоправные действия, производимые в том числе в ходе вирусозависимых компьютерных инцидентов (ВКИ) с помощью вредоносного ПО (ВПО).
Требование 5: Должно использоваться и регулярно обновляться антивирусное программное обеспечение.
5.1. Антивирусное программное обеспечение должно быть установлено на всех системах, подверженных воздействию вредоносных программ (особенно на персональных компьютерах и серверах).
5.2. Механизмы антивирусной защиты должны регулярно обновляться, постоянно работать и поддерживать ведение журналов аудита.
Применение Dr.Web ATM Shield позволяет полностью выполнить требования стандартов PCI-DSS v2 и v3, Федерального закона № 161-ФЗ «О национальной платежной системе», а также иных законодательных актов в области антивирусной защиты.
Надежная защита от вредоносного ПО
Непревзойденное качество лечения и высокий уровень самозащиты Dr.Web не дают вирусам и другим вредоносным объектам шанса проникнуть в защищаемую сеть.
Использование новейших технологий и наличие глобальной системы вирусного мониторинга обеспечивает надежную защиту всех компонентов сети.
Dr.Web ATM Shield обеспечивает надежную защиту сетей любого размера и типа, в том числе и без доступа в Интернет.
Использование Dr.Web ATM Shield позволяет минимизировать возможность проникновения вирусов на защищаемые устройства.
Это является возможным благодаря:
- наличию технологий, позволяющих минимизировать время проверки и загрузку рабочей станции (в том числе за счет многопоточного сканирования и отложенной проверки файлов, открываемых «на чтение»), что обеспечивает стабильную работу системы даже на компьютерах с устаревшей конфигурацией;
- проверке файлов до начала использования их в соответствующих приложениях, что не дает возможности хакерам воспользоваться уязвимостями программного обеспечения;
- наличию современного антивирусного ядра, позволяющего находить и обезвреживать новейшие вирусы, еще не занесенные в вирусные базы, в том числе и скрытые под неизвестными упаковщиками;
- реализации мощной системы самозащиты, что не дает возможности вирусам вывести средства безопасности из строя.
Dr.Web ATM Shield не позволяет злоумышленникам получить контроль над устройством в результате его заражения с целью блокировки или вывода денежных средств.
Легкая интеграция
- Использование уникальных технологий Dr.Web и наличие подробной документации позволяют провести развертывание антивирусного сервера и всей антивирусной сети в минимальные сроки. Продукт легко интегрируется в сети банкоматов и кассовых устройств.
- Особенностью Dr.Web ATM Shield является возможность установки на устройства с небольшим объемом оперативной памяти и управления защитой из любой точки мира с одного компьютера, вне зависимости от используемой на нем операционной системы.
- Развертывание продукта проводится удобным для администратора способом — через политики Active Directory, стартовые скрипты, механизмы удаленной установки.
- Установка возможна, даже если узел сети является закрытым и недоступным для системы управления.
- Система защиты может быть развернута практически в любой сети, вне зависимости от ее размера и особенностей — общего количества устройств и филиалов, используемой топологии, наличия сервера Active Directory, качества каналов связи.
Компоненты продукта
Dr.Web ATM Shield включает все необходимые элементы защиты и единый центр управления. Системным администраторам не придется устанавливать множество различных программ, а сбор статистики происходит практически «одним кликом».
Dr.Web ATM Shield содержит средства централизованного управления всеми компонентами антивирусной защиты встроенных систем, включая развертывание, обновление вирусных баз и программных модулей компонентов, мониторинг состояния всех защищенных узлов сети, получение уведомлений о вирусных инцидентах и настройки автоматической реакции на них, а также сбора статистики.
-
Веб-интерфейс администратора
Веб-интерфейс администратора позволяет управлять защитой из любой точки Интернета или локальной сети, с любого компьютера. Он содержит средства планирования регулярных сканирований и обновлений вирусных баз и программных модулей, позволяет производить повседневную работу за считанные минуты: регулировать ключевые параметры антивирусных серверов и защищаемых объектов, изменять настройки и запускать задания на выполнение. Имеются возможности реализации политик безопасности, необходимых для конкретной сети и отдельных групп компьютеров, и назначения отдельных администраторов для различных групп. При необходимости можно сгруппировать несколько серверов Dr.Web ATM Shield с комплексной структурой взаимодействия между ними.
Не знаю как классифицировать мою тему, посему решил написать сюдя так как DrWeb ES ближе к ATM Shield.
Ситуация. У меня на банкоматах стоит старенький ES 444. На сайте увидел что вышла специализированная версия ES для банкоматов DrWeb ATM Shield и решил сделать апгрейд.
Предварительно сделал копию старого сервака DrWeb на тестовую машину, подрубил пару тестовых клиентов, запустил drweb-esuite-atm-rel-500-200905310-windows-nt-x86 но он предлагает сделать новую установку, а не апгрейд старой версии.
Собственно сам вопрос, возможно ли сделать апгрейд DrWeb ES4.44.3 до версии DrWeb ATM Shield?
Собственно сам вопрос, возможно ли сделать апгрейд DrWeb ES4.44.3 до версии DrWeb ATM Shield?
А в документации процедура обновления сервера не описана разве?
Попробуйте документацию от обычного ES посмотреть.
Обновление Сервера версии 4.44, 4.70.
Будет выведено окно Dr.Web Enterprise Server примечания к обновлению, извещающее о наличии установленного ПО Сервера предыдущей версии. Инсталлятор автоматически определяет папку установки Сервера.
Так написано в документации по ES, но инсталяшка DrWeb ATM Shield не подхватывает старый сервак, а вот DrWeb ES 5.0 мне предложил апгрейд.
Вот почему у меня и возник вопрос как можно мягко апгрейдить 444 на ATM Shield.
Забанен за флуд
Вот почему у меня и возник вопрос как можно мягко апгрейдить 444 на ATM Shield.
Забанен за флуд
Я просто подумал может кто с таким встречался.
Оно-то спросить не повредит, вот только оборудование зело специфмчное.
Да собственно ничего такого, таже ХР стоит. Что специфичное для АТМ и вызывает подозрения просто в исключениях.
Вопрос скинул в саппорт, ждёмс ответа
Добрый день, DJRemedy.
ATM является основанным на ES, но все-таки отдельным продуктом. Автоматическое обновление с 4.44 в нем не реализовано.
Добрый!
К кому можно обратится с реализацией данного вопроса?
Та как имею коллег и в других банках у которых тоже стоит ES и думаю вопрос рано или поздно возникнет.
К кому можно обратится с реализацией данного вопроса?
Спасибо!
Буду пробовать
Спасибо!
Буду пробовать
Кому будет интересно, вот что ответил саппорт:
Но. ES и DrWeb ATM Shield - это совершенно разные продукты.
И возможность апгрэйда вида "стандартный ES 4.44" => "DrWeb ATM Shield" в проект последнего не закладывалась.
Увы, такой переход с одного продукта на другой вы сможете сделать, только если сначала полностью деинсталлируйете ES, а затем с нуля, заново развернете ATM Shield
Возможно, вам имеет смысл рассмотреть вариант обновления версии ES 4.44 => ES 5.0
Если действовать так: отключить на сервере протокол Agent, обновить версию ES-сервера, для группы everyone убрать все лишнее (SpIdere Mail, SpIDer Gate, etc) в настройках "Устанавливаемые компоненты", включить назад протокол Agent - то так можно получить ES-клиентов практически аналогичных по составу клиентам ATM Shield
С уважением, Колядко Михаил,
служба технической поддержки компании "Доктор Веб".
Так как продукты разные и "мягкий" переход c "ES 4.44" => "DrWeb ATM Shield" не возможен, думаю тему можно закрыть.
Спасибо Всем!
Для встраиваемых устройств характерны следующие пути заражения:
- проникновение вредоносных программ из зараженной внутренней сети компании — в случае наличия из нее доступа к встраиваемым системам;
- проникновение через уязвимости — в связи с отсутствием необходимых обновлений безопасности;
- заражение со сменных носителей обслуживающего персонала (в том числе в связи с использованием этих сменных носителей для иных целей, кроме обслуживания встраиваемых устройств);
- заражение со сменных носителей, принадлежащих злоумышленникам, если они имеют несанкционированный доступ к аппаратному отсеку банкомата;
- заражение с сайтов сети Интернет, посещаемых обслуживающим персоналом в период проведения регламентных работ.
В связи с этим необходимым условием нормального функционирования встраиваемого устройства является антивирусная защита, имеющая в своем составе модули контроля трафика, ограничения доступа к сменным носителям и ресурсам сети Интернет.
Может ли Dr.Web ATM Shield использоваться на Embedded операционных системах?
Да. Dr.Web ATM Shield может использоваться не только на обычных операционных системах — таких как Windows® XP Professional, Windows® Vista, Windows® 7 и Windows® 8, но и на Windows® XP Embedded, Windows® 7 Embedded, Windows® 8 Embedded.
Необходимо помнить, что особенностью Embedded операционных систем является возможность отсутствия на ряде устройств тех или иных компонентов операционной системы.
Может ли Dr.Web ATM Shield работать на слабых и устаревших конфигурациях встраиваемых систем?
Dr.Web ATM Shield специально разработан для использования на платформах, имеющих малое количество аппаратных ресурсов. Для работы Dr.Web ATM Shield достаточно наличия во встраиваемом устройстве 512 МБ оперативной памяти.
Необходимо отметить, что особенностью продуктов Dr.Web, в том числе и Dr.Web ATM Shield, являются компактные вирусные базы и малый размер обновлений, что позволяет защищать удаленные устройства, имеющие «узкий» канал выхода в Интернет или сеть компании.
Когда требуется использовать Dr.Web ATM Shield?
Dr.Web ATM Shield требуется использовать во всех встраиваемых устройствах, подпадающих под требования PCI DSS и СТО БР РФ, а также во всех системах, имеющих возможность заражения через неизвестные уязвимости.
Достаточно ли Dr.Web ATM Shield для защиты встраиваемых устройств?
Особенностью работы встраиваемых устройств (в том числе банкоматов) является невозможность проведения на них обновлений (в частности, обновлений операционной системы и используемых на них приложений), которые могут в тот или иной момент потребовать перезагрузки устройства по мере поступления данных обновлений — в том числе в момент выполнения устройством той или иной работы.
В связи с этим для Dr.Web ATM Shield реализованы два типа обновления: обновления вирусных баз (не требующие перезагрузок ОС) и обновления базовых компонентов Dr.Web ATM Shield, в том числе драйверов. Обновления базовых компонентов, проводящиеся в связи с появлением новых типов вредоносных программ, могут потребовать перезагрузки защищаемого устройства.
В связи с тем, что обновления, потенциально требующие перезагрузки, могут проводиться только в период регламентных работ, необходимо обеспечение антивирусной защитой домашних и рабочих компьютеров обслуживающего персонала с целью недопущения проникновения новейших вредоносных программ на сменные носители, используемые для проведения регламентных работ.
Cоответствует ли Dr.Web ATM Shield требованиям регуляторов?
Dr.Web ATM Shield полностью соответствует требованиям, предъявляемым Федеральным законом № 152-ФЗ «О персональных данных», приказам ФСТЭК России № 17 и 21, а также иным требованиям регуляторов в области защиты персональных данных.
Применение Dr.Web ATM Shield позволяет полностью выполнить требования стандартов PCI DSS v2 и PCI DSS v3 в области антивирусной защиты.
Имеет ли ваш антивирус сертификат соответствия PCI DSS?
Стандарты PCI DSS требуют лишь факта использования антивируса и не выдвигают никаких требований к функционалу и возможностям используемого решения. Более того, эти стандарты оговаривают требования к защите устройства в целом, а не отдельного его компонента. Таким образом, сертификат для антивируса не предусмотрен.
« А вот Symantec имеет сертификат PCI DSS! »
Компания Symantec имеет в своем портфеле не только антивирусы. И упоминаемый вами сертификат принадлежит не антивирусному продукту.
Читайте также: