Domande frequenti per argomento

SAM Dr.Web — nome generale del SAM Dr.Web — nome generale del dei prodotti Dr.Web. SAM è basato sui principi di geolocalizzazione.

Aggiornamenti sempre rapidi

L'indirizzo virtuale SAM (esuite.geo.drweb.com) distribuisce automaticamente gli utenti sui server più vicini a loro.

È esclusa l'inaccessibilità dell'aggiornamento

Anche se uno dei server va in crash, i suoi client riceveranno l'aggiornamento da un altro server.

Centinaia di nuovi tipi di minacce appaiono giornalmente. Arriva per l'analisi al laboratorio Doctor Web circa un milione di file sospetti al giorno. Ogni giorno i metodi di hacking vengono migliorati, vengono creati nuovi virus, trojan e altri programmi malevoli. Anche il programma antivirus deve ricevere aggiornamenti costanti, altrimenti non sarà in grado di resistere agli attacchi.

Migliorare l'antivirus e i suoi algoritmi di cura è un processo continuo, e il rilascio di nuove firme antivirali si effettua costantemente. Come il risultato di tale processo vengono rilasciati gli aggiornamenti.

L'antivirus deve essere aggiornato immediatamente dopo l'arrivo di un aggiornamento. Solo un antivirus regolarmente e frequentemente aggiornato può fornire la protezione massimamente affidabile della rete informatica aziendale.

Tutti gli aggiornamenti che l'antivirus Dr.Web può ricevere possono essere divisi in tre categorie principali:

Aggiornamenti dei database dei virus

I record aggiunti al database dei virus vengono consegnati nel sistema protetto.

Tali aggiornamenti non richiedono mai il riavvio del computer.

Aggiornamenti dei componenti

Tali aggiornamenti vengono rilasciati quando viene rilevata una nuova minaccia o dopo significativi miglioramenti dei moduli antivirus.

Se questo richiede il riavvio del computer, non è consigliabile posticiparlo!

Aggiornamenti della versione dell'antivirus

Sostituzione della vecchia versione con una nuova. Ogni nuova versione contiene numerosi miglioramenti nel funzionamento dell'antivirus.

Il riavvio dopo tale aggiornamento è fondamentale! Infatti, senza riavvio le modifiche non avranno effetto.

Una delle tecnologie di scansione antivirus è l'analisi basata sulle firme antivirali, quando il file scansionato viene confrontato con i record dei virus (le cosiddette "firme") disponibili nel database dei virus.

Più record ci sono in un database, più tempo è necessario per analizzare un file. Deve essere "confrontato" con ciascuno di essi per assicurarsi che sia pulito. Il carico sul computer durante la ricerca di una firma antivirale è direttamente correlato alla dimensione del database dei virus.

Le firme antivirali Dr.Web sono diverse da altri antivirus. Un record nel database dei virus Dr.Web corrisponde non a un singolo virus, ma a un'intera famiglia di virus simili, di cui il numero totale può raggiungere centinaia o addirittura migliaia (!!!) per una firma. Tale struttura del database dei virus consente all'antivirus Dr.Web non solo di occupare meno spazio sul disco rigido, ma anche di utilizzare meno risorse di elaborazione del sistema.

L'uso del server proxy di aggiornamento integrato in Dr.Web Enterprise Security Suite consente di risparmiare banda in modo significativo durante l'aggiornamento. In tale caso solo il server proxy riceve gli aggiornamenti da SAM, mentre tutti i Server Dr.Web connessi ad esso ricevono gli aggiornamenti dal server proxy sulla rete locale.

Il server proxy in Dr.Web Enterprise Security Suite svolge le seguenti funzioni:

1. è in ascolto sulla rete e accetta connessioni sul protocollo e sulla porta impostati al fine di fornire un unico punto di accesso alla rete per tutti i Server Dr.Web;
2. traslazione dei protocolli (sono supportati i protocolli TCP/IP);
3. trasmissione dei dati tra il Server Dr.Web e gli Agent Dr.Web secondo le impostazioni del server proxy;
4. memorizza nella cache gli aggiornamenti dell'Agent e del pacchetto antivirus, trasmessi dal Server. Se gli aggiornamenti vengono rilasciati dalla cache del server proxy, questo permette di:
   • diminuire il traffico di rete,
   • diminuire il tempo di ricevimento degli aggiornamenti da parte degli Agent.

Schema della rete antivirus con utilizzo del Server proxy:

• Server Dr.Web
• Server proxy
• Computer protetto
• Rete locale
• Internet
• Router

Postazioni completamente isolate possono essere aggiornate in due modi:

Modo consigliato

Utilizzare Dr.Web Desktop Security Suite.

Dopo aver installato il prodotto, configurare su ciascun PC protetto un mirror di aggiornamento e in seguito aggiornare l'antivirus manualmente da un dispositivo collegabile o un CD.

Modo alternativo

Utilizzare il Server Dr.Web su un PC server e gli Agent Dr. Web (diversi da Dr.Web Desktop Security Suite) su postazioni.

Effettuare l'aggiornamento tramite un repository ottenuto dal sito dell'azienda Doctor Web o da un altro Server Dr.Web.

È possibile configurare un calendario di esecuzione dei task sul Server Dr.Web per aggiornare il software a cadenze regolari. Ulteriori informazioni su come fare sono ritrovabili qui.

Ma dovrebbe essere chiaro che il calendario di aggiornamento predefinito fornisce la massima protezione antivirus, quindi non è consigliabile cambiarlo senza estrema necessità!

Ha senso impostare un calendario di aggiornamento manualmente solo quando l'aggiornamento dell'antivirus può disturbare un processo di business dell'azienda che ha una priorità elevata e crea un carico elevato sulla rete e sulla potenza di calcolo delle macchine incluse nella rete. Per esempio, sincronizzazione dei dati o archiviazione generale.

Ma anche quando un calendario di aggiornamento viene configurato manualmente, si raccomanda che il nuovo calendario sia il più "avvicinato" possibile a quello inizialmente impostato.

Gli avvisi inviati dal sistema antivirus all'amministratore possono essere configurati nella sezione corrispondente del Pannello di controllo del Server Dr.Web.

Per questo scopo, è necessario selezionare nel menu principale del Pannello di controllo la voce Amministrazione → Configurazione degli avvisi ed indicare quali avvisi si vogliono ricevere e su quali eventi.

Maggiori informazioni sulla configurazione di avviso nel Pannello di controllo del Server Dr.Web sono ritrovabili qui.

Nelle aziende è consigliato l'utilizzo di un sistema di gestione centralizzata della protezione antivirus il quale dovrebbe:

• Assicurare la consegna più veloce possibile degli aggiornamenti dei database dei virus su tutte le postazioni e i server protetti — tra l'altro, secondo una decisione dell'amministratore, a scapito delle prestazioni complessive della rete locale protetta. La minimizzazione del tempo di ricezione di un aggiornamento dovrebbe, in particolare, essere assicurata dalla minimizzazione della dimensione degli aggiornamenti stessi, e inoltre da una continua comunicazione delle postazioni e dei server protetti con il server di aggiornamento.
• Assicurare l'impossibilità della disattivazione dell'aggiornamento da parte degli utenti. L'opinione del personale di qualsiasi carica sulla frequenza di esecuzione dell'aggiornamento dovrebbe essere IGNORATA.

Dr.Web consente di amministrare in modo centralizzato la protezione delle postazioni e dei server della rete locale, e inoltre dei dispositivi personali dei dipendenti, compresi i dispositivi mobili.

Le funzionalità del sistema di protezione antivirus Dr.Web consentono di:

• escludere la possibilità di disattivazione dell'aggiornamento della postazione da parte del dipendente;
• disconnettere dalla rete un agent non aggiornato e quindi prevenire la diffusione di epidemie all'interno della rete locale e oltre i suoi confini;
• impostare la modalità richiesta di aggiornamento dei componenti Dr.Web sulle postazioni protette, distribuendo il carico in intervalli di tempo diversi;
• fare monitoraggio dei database dei virus e dello stato delle postazioni.

Per nessun altro tipo di applicazione sono così importanti gli aggiornamenti che per l'antivirus. Gli avvisi tengono l'utente al corrente dello stato di aggiornamento.

• L'avviso di aggiornamento riuscito — si può stare tranquilli.
• L'avviso di errore di aggiornamento o la richiesta di riavvio — si devono adottare le misure necessarie: riavviare il PC o trovare ed eliminare la causa che ostacola l'aggiornamento.

Nella rete antivirus Dr.Web il lasso di tempo di mancanza dell'aggiornamento critico è un giorno.

Dopo questo tempo tutte le postazioni (server, postazioni di lavoro e altri nodi) che non sono riuscite a ricevere l'aggiornamento ricevono lo stato "Errore di aggiornamento". Quando nella rete appaiono dei nodi con tale stato, si verificano i seguenti eventi:

1. Nell'area di notifica del Pannello di controllo del Server Dr.Web appare l'avviso critico di mancato aggiornamento delle postazioni.

2. Tutte le postazioni che non hanno ricevuto l'aggiornamento vengono automaticamente inserite nel gruppo di sistema Rete antivirus → Status → Update Errors. In modalità normale questa cartella deve essere vuota.

   Di default è nascosta, e per vederla, nelle impostazioni della vista ad albero è necessario contrassegnare con il flag la casella di controllo Mostra gruppi nascosti.

L'uso dell'aggiornamento multicast ha senso in grandi reti antivirus con un numero totale di Agent da 1000. Quando in tali reti si utilizza l'aggiornamento standard attraverso il protocollo TCP, non sono escluse interruzioni di rete a causa di un forte aumento del carico.

Questo è dovuto al principio di funzionamento del protocollo TCP — durante l'aggiornamento il server comunica "personalmente" con ciascuno degli Agent, e gli aggiornamenti vengono scaricati su ciascun Agent tramite il proprio canale. Se in questo caso i canali di comunicazione utilizzati non sono sufficientemente stabili o hanno una larghezza di banda ridotta, o il Server Dr.Web è dispiegato su hardware non troppo potenti, c'è il rischio che la rete antivirus "cada" al momento del carico di picco creato da un massiccio aggiornamento tramite il protocollo TCP.

Nel caso di utilizzo dell'aggiornamento multicast, avviene un massiccio invio dell'aggiornamento unidirezionale dal Server Dr.Web attraverso il protocollo UDP, il quale viene ricevuto da tutti gli Agent che sono online. E il carico sulla rete non aumenta drasticamente.

Il test degli aggiornamenti è un processo importante ad alta intensità di lavoro. Prima di essere rilasciato ogni aggiornamento dell'antivirus Dr.Web viene accuratamente testato in termini di corretto funzionamento e di interazione con l'ambiente di lavoro in una varietà di sistemi. Gli aggiornamenti rilasciati sono già testati dall'azienda Doctor Web.

Inoltre, provare a fare un test "faidate" è una perdita di tempo in quanto anche una piccola rete ha PC con configurazioni diverse e più server utilizzati per vari scopi, una cosa che non può essere riprodotta su una postazione separata o in una rete virtuale.

Per assicurare l'aggiornamento di Dr.Web Enterprise Security Suite in reti con canali di comunicazione deboli, è consigliabile usare la compressione del traffico — se questa funzionalità è attivata, tutto il traffico tra il Server Dr.Web e gli Agent viene compresso, il che riduce drasticamente il carico sul canale di comunicazione.

Ma va tenuto presente che l'uso della compressione del traffico, pur risparmiando le risorse di rete, aumenta il carico sulle risorse di calcolo dei PC Agent in quanto richiede la decompressione degli aggiornamenti sul lato Agent. Ciò potrebbe causare il rallentamento del PC durante l'installazione degli aggiornamenti, se l'hardware installato corrisponde ai requisiti di sistema minimi per il funzionamento dell'antivirus Dr.Web.

Per ricevere aggiornamenti quando un Agent mobile si trova all'esterno della rete antivirus locale (cioè non ha accesso al Server Dr.Web), è necessario configurare la ricezione dell'aggiornamento attraverso l'SAM Dr.Web. Per fare questo, è necessario impostare la modalità mobile di funzionamento di Agent. Nel menu contestuale di Agent nell'area di notifica della Barra delle applicazioni selezionare la Modalità mobile e contrassegnare con il flag la casella di controllo Consentito. Il colore dell'icona Agent cambierà in giallo.

In modalità mobile l'Agent cerca di connettersi al Server Dr.Web e, se non è riuscito, esegue un aggiornamento HTTP dai server SAM. I tentativi di trovare il Server Dr.Web si susseguono continuamente a intervallo di circa un minuto. In questa modalità vengono aggiornati solo i database dei virus.

Importante! L'opzione Modalità mobile sarà disponibile nel menu contestuale della postazione a condizione che sul Server Dr.Web nei permessi di questa postazione sia consentita la modalità mobile di utilizzo di SAM Dr.Web.

Durante il funzionamento dell'Agent in modalità mobile la comunicazione dell'Agent con il Server Dr.Web si interrompe, e tutte le modifiche impostate nel frattempo sul Server per tale postazione entreranno in vigore solo dopo che la modalità mobile di funzionamento dell'Agent verrà disattivata e verrà ripresa la connessione al Server Dr.Web.

Nota. Se il Server Dr.Web ha un indirizzo IP esterno statico, gli Agent mobile possono ricevere da esso gli aggiornamenti attraverso Internet ovunque nel mondo. In questo caso è necessario configurare l'aggiornamento sull'Agent, non è richiesto l'utilizzo della modalità mobile in tale caso.

РNon ci sono differenze tra l'aggiornamento degli Agent sulle postazioni e sui server LAN.

La principale differenza tra gli Agent sulle postazioni e sui server LAN è la versione della guardia antivirus SpIDer Guard che ha una versione server e una versione per postazioni.

Ma per l'amministratore della rete antivirus non c'è alcuna differenza tra le postazioni e i server LAN per quanto riguarda l'installazione e aggiornamento degli Agent in quanto tutte le azioni necessarie verranno eseguite dal Server Dr.Web automaticamente secondo il seguente algoritmo:

1. quando vengono ricevute informazioni su un PC (o quando viene preparato un pacchetto di installazione), viene determinato il sistema operativo in uso;
2. se è installata una versione server di un sistema operativo, verrà installato l'Agent che contiene la versione server di SpIDer Guard, altrimenti — la versione per postazioni;
3. una volta installato, l'Agent durante l'aggiornamento riceverà automaticamente proprio la versione del componente SpIDer Guard che utilizza.