7 ответов в этой теме

[VladimirN]

Добрый день.

 

Тема уже обсуждалась, но хотелось бы некоторых уточнений.

Есть установленный и настроенный сервер Drweb версии 13.00.1

Имеется задача по установке антивируса на большое количество компьютеров. Планируется сделать один эталонный компьютер, а затем "снять" образ и "залить" его на остальные ПК. Если я правильно понимаю, то у всех компьютеров сделанных таким образом будет одинаковый идентификатор и возникнет проблема с подключением к антивирусному серверу.

Про команду "C:\Program Files\DrWeb\es-service.exe --newbie=once" знаю.

Читал темы на форуме:

https://forum.drweb.com/index.php?showtopic=336869

https://forum.drweb.com/index.php?showtopic=336140

https://forum.drweb.com/index.php?showtopic=299518

 

Вопросы:

1. В случае если запустить команду "es-service.exe --newbie=once", то изменение идентификатора происходит моментально или после перезагрузки компьютера? 

2. Есть ли возможность смены идентификатора удалением ветки/ключа реестра, как это было в версии 6.0, вроде тут: HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Settings\Es\Id ? Если это сработает, то изменение идентификатора происходит моментально или после перезагрузки компьютера?

[Afalin]

1. В случае если запустить команду "es-service.exe --newbie=once", то изменение идентификатора происходит моментально или после перезагрузки компьютера?

Емнип, должно быть моментально.

2. Есть ли возможность смены идентификатора удалением ветки/ключа реестра, как это было в версии 6.0, вроде тут: HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Settings\Es\Id ? Если это сработает, то изменение идентификатора происходит моментально или после перезагрузки компьютера?

Тут как минимум не даст это делать самозащита.

 

Но вообще, в документации описан иной способ достижения этой цели. Он, правда, до сих пор не предполагает периодическое обновление "золотого образа", а предполагает удаление его учётной записи сразу после настройки.

[VladimirN]

Про самозащиты я не подумал, Вы совершенно правы.

 

Вариант с VDI не совсем подходит, к сожалению. Эталонный образ будет периодически обновляться и, если я правильно понял, нужно будет каждый раз править процедуру. 

Пока склоняюсь к единоразовому запуску команды после развёртывания образа ОС.

[Afalin]

Вот под периодическое обновление в описанной методике не хватает двух вещей:

1) некого признака, чтобы отличить эталон от клонов (правда, на данный момент что-то лучше сетевого имени или адреса протащить вряд ли удастся);

2) второго хука, который будет эталон подключать как есть, а клонов переводить в новичков.

Т.е. сделать это можно, описать тоже можно, только пока что оно отсуствует в доке.

 

Вариант с --newbie once тоже имеет право на жизнь, но у меня есть подозрение, что это будет приводить к лишним шумовым эффектам из-за логинов не тех станций не туда. Впрочем, шум с "Station authorization failed" всё равно имеет место при любой схеме.

[VladimirN]

Добрый день.

 

Спасибо за полезную информацию, остановлюсь пока на "--newbie once" . Буду периодически мониторить документацию на обновление информации в ней.

[Afalin]

Да если надо – я тут могу вкратце описать отличия от опубликованной методики. Оно в общем-то несложно.

[VladimirN]

Да если надо – я тут могу вкратце описать отличия от опубликованной методики. Оно в общем-то несложно.

Если будет возможность, то напишите пожалуйста

[Afalin]

Там нужно добавить ещё один хук "Станция в процессе авторизации" приблизительно такого вида:

local args = ...
if args.id == '<идентификатор_эталонной_станции>' and
 ( args.new_name ~= '<имя_эталонной_станции>' or
   args.new_address ~= '<сетевой_адрес_эталонной_станции>' )
then
  return 'newbie'
end

Т.е., если пришло нечто с id эталона, но именем или адресом не эталона, то считать его клоном и отправлять в новички. И там уже сработает хук, который предлагает использовать дока.

Ограничение в том, что в качестве отличительного признака эталона от клона может выступать сетевое имя или сетевой адрес.

Если достаточно, можно оставить какой-то один признак и проверку второго из кода выкинуть.