Перейти к содержимому


Фото
- - - - -

Вопросы новичка по Dr.Web Enterprise Suite.

Защищать настройки drweb паро удаленный клиентб доступк карантину

  • Please log in to reply
20 ответов в этой теме

#1 mehovoy

mehovoy

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 19 Ноябрь 2020 - 10:21

Отрабатываю  переход на Dr.Web Enterprise Suite с NOD32 business с ERA.

 

Документацию перелопатил,

Поставил демо - версию.

В основном все понятно.

Не могу найти ответ на несколько вопросов:

1. Как централизованно задать пароль защиты настроек DR-WEB на клиентах?

Локально - пожалуйста, но не задавать же пароль ручками на каждом клиенте!

2. Как дать  доступ к карантину локально на клиенте, не давая прав на конфигурацию?

Тут помог бы пароль, но - см вопрос 1!

Далеко не всегда удобно использовать удаленную. работу с карантином, и удаленное конфигурирование! Часто надо работать прямо на клиенте.

3. Как работать с удаленными клиентами через Интернет?

Публикация портов сервера поможет?

Не будет конфликта с сертификатом сервера?

Адрес и имя  сервера не соответствуют сертификату.

4. Функционал групп и политик дублируется.

Что рекомендуют использовать разработчики?

Группы или политики?

 



#2 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 640 Сообщений:

Отправлено 19 Ноябрь 2020 - 11:31

1. Как централизованно задать пароль защиты настроек DR-WEB на клиентах?

Локально - пожалуйста, но не задавать же пароль ручками на каждом клиенте!

Пока что никак, в 14 версии ожидается.

На данный момент концепция такова, что пользователи на станциях прав на настройку по умолчанию не имеют, всеми настройками занимается администратор через центр управления.

2. Как дать  доступ к карантину локально на клиенте, не давая прав на конфигурацию?

Емнип, доступ к карантину и не должен никак ограничиваться. Собственно, и в правах это никак не регулируется, потому что не должно ограничиваться.

3. Как работать с удаленными клиентами через Интернет?

Публикация портов сервера поможет?

Не будет конфликта с сертификатом сервера?

Адрес и имя  сервера не соответствуют сертификату.

Серверу в общем-то всё равно, через интернет или через интранет к нему обращаются (если конечно администратором не были заданы соответствующие ACL).

Несоответствия сертификата обрабатывается браузером, и он позволяет эти несоответствия игнорировать. Опять же, серверу всё равно, он работает на том сертификате, который ему дали, даже если он просрочен и вообще не от этого сервера, лишь бы был сертификатом и соответствовал закрытому ключу.

4. Функционал групп и политик дублируется.

Что рекомендуют использовать разработчики?

Группы или политики?

Не дублируется. "Политики" – сущность, которая аккумулирует в себя строго все настройки, ни от чего их не наследуя. При этом с версионностью. "Группы" – наследуют настройки от родительских элементов (и в конечном счёте от Everyone) и перекрывают их покомпонентно.

Например, есть иерархия: Everyone → Group1 →Group2 → Station. В Group1 заданы персональные настройки spider guard и офисного контроля, в Group2 – офисного контроля и контроля приложений. Тогда Station получит настройки офисного контроля и контроля приложений от Group2, spider guard – от Group1, все остальные настройки – от Everyone.

Другой пример. На эту же станцию в этой же иерархии назначена политика. Тогда абсолютно все настройки (кроме персональных настроек самой станции) будут наследоваться от политики и ни от чего более, ни от каких групп.

Чем пользоваться – решать в зависимости от поставленных задач.


Семь раз отрежь – один раз проверь

#3 mehovoy

mehovoy

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 19 Ноябрь 2020 - 12:29

Спасибо большое!

 

Документация обширна, но ...

 

Наверное удобнее была бы жесткая  инструкцию - делай так и так...

 

Спрашивая про несоответствие имени сервера  сертификату  для удаленного клиента, я и мел ввиду связь сервера DR-web и клиента DR-web. Тут проблем не будет?

Просто публикую сервер в Интернет, а на клиенте - пишу URL корпоративного шлюза и номер порта?

Смутило наличие ПО - прокси DR-web.

По картинкам, прокси  - для работы с удаленными клиентов и нужен?:

Или ошибаюсь?

Как шифрованный канал сервер-клиент будет работать при несоответсвии данных сертификата?

(И на кой черт все втыкают везде шифрование ? Это же сугубо специальный технический контент, это не почта.)

Мне надо за неделю на демке отладить все моменты, а их немало.

На eset  у меня реализовано ограничение доступа в Интернет  для пользователей и программ, доступ к устройствам.

Все - через политики.

Либо продлевать ESET (последняя версия сервера кошмарна), либо .....



#4 Madnesz

Madnesz

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 19 Ноябрь 2020 - 12:53

Пароль для настроек DrWeb нужен только для (от) пользователей с правами администратора. Во всех остальных случаях при попытке входа в настройки спрашивает пароль администратора.



#5 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 640 Сообщений:

Отправлено 19 Ноябрь 2020 - 13:15

Спрашивая про несоответствие имени сервера  сертификату  для удаленного клиента, я и мел ввиду связь сервера DR-web и клиента DR-web. Тут проблем не будет?

Нет, там subject в сертификате просто игнорируется.

Смутило наличие ПО - прокси DR-web.

По картинкам, прокси  - для работы с удаленными клиентов и нужен?:

Или ошибаюсь?

По большому счёту, он нужен для кэширования апдейтов. Например, есть сервер в центральном подразделении, есть несколько десятков-сотен удалённых филиалов. Дабы каждый агент не качал обновления с сервера по отдельности, ставится прокси на филиал, который будет каждую обнову скачивать однократно и раздавать всем подопечным агентам.

Хотя есть варианты, когда прокси ставят между шлюзом и сервером, но какой извлекается при этом профит – не вспомню с ходу. Кроме того, что сервер напрямую не смотрит в интернеты, но с этим сложностей никаких и нет.

Как шифрованный канал сервер-клиент будет работать при несоответсвии данных сертификата?

Никак, не поднимется такое соединение. Если клиент "знает" один сертификат сервера, а работать ему предлагают с другим, который при этом не подписан тем "известным" сертификатом.

(И на кой черт все втыкают везде шифрование ? Это же сугубо специальный технический контент, это не почта.)

Чтобы нельзя было влезть в соединение между агентом и сервером и начать управлять этим агентом. Скажем так, у злоумышленника будет слишком много возможностей, если он сможет влезть в канал между агентом и сервером.

На eset  у меня реализовано ограничение доступа в Интернет  для пользователей и программ, доступ к устройствам.

Все - через политики.

У нас оно тоже настраивается, но наверняка совершенно по-другому, и наверняка всё называется совсем не так. И наверняка у каждого вендора в названиях и подходах будет куча отличий.


Семь раз отрежь – один раз проверь

#6 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 640 Сообщений:

Отправлено 19 Ноябрь 2020 - 13:16

Пароль для настроек DrWeb нужен только для (от) пользователей с правами администратора. Во всех остальных случаях при попытке входа в настройки спрашивает пароль администратора.

Жизненный опыт показывает, что права администратора у пользователя встречаются достаточно часто, чтоб на их отсутствие нельзя было рассчитывать.


Семь раз отрежь – один раз проверь

#7 mehovoy

mehovoy

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 19 Ноябрь 2020 - 14:17

 

Пароль для настроек DrWeb нужен только для (от) пользователей с правами администратора. Во всех остальных случаях при попытке входа в настройки спрашивает пароль администратора.

Жизненный опыт показывает, что права администратора у пользователя встречаются достаточно часто, чтоб на их отсутствие нельзя было рассчитывать.

 

Либо я что-то не понял, но..

Если  не разрешена конфигурация drweb (  в сервера Dr-web  - в группе, персонасльно, или в политике) то пароль не запрашивается, вне зависимости от прав пользователя  ОС.

Просто - отказ.

Если разрешено конфигурирование - защита паролем отключена , пароль пустой.

Вводоится только локально на каждом клиенте.



#8 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 500 Сообщений:

Отправлено 19 Ноябрь 2020 - 14:29

mehovoy, да, пароль централизованно не устанавливается. Можно отобрать права на конфигурирование, можно дать, но пароль на настройки централизованно не управляется.



#9 mehovoy

mehovoy

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 19 Ноябрь 2020 - 15:01

Спрашивая про несоответствие имени сервера  сертификату  для удаленного клиента, я и мел ввиду связь сервера DR-web и клиента DR-web. Тут проблем не будет?

Нет, там subject в сертификате просто игнорируется.

Как шифрованный канал сервер-клиент будет работать при несоответсвии данных сертификата?

Никак, не поднимется такое соединение. Если клиент "знает" один сертификат сервера, а работать ему предлагают с другим, который при этом не подписан тем "известным" сертификатом.

 

 

 

Тогда я опять ничего не понял!

Я опубликую в Интернет (проброшу) порт 2193 сервера DRWEB,

и пропишу не удаленных клиентах -  WAN -адрес моего корпоративного шлюза.

Этого достаточно , или нет ? 

Удаленные клиенты будут обновляться и  управляться с моего сервера DRWEB?



#10 mehovoy

mehovoy

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 19 Ноябрь 2020 - 15:07

mehovoy, да, пароль централизованно не устанавливается. Можно отобрать права на конфигурирование, можно дать, но пароль на настройки централизованно не управляется.

Да, понял.

Получается, что для управления DRWEB на конкретном клиенте мне надо либо бежеть к своей машине, либо давать для клиента все права, а защищаться паролем, вводимым локально.



#11 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 640 Сообщений:

Отправлено 19 Ноябрь 2020 - 15:14

Тогда я опять ничего не понял!

Я опубликую в Интернет (проброшу) порт 2193 сервера DRWEB,

и пропишу не удаленных клиентах -  WAN -адрес моего корпоративного шлюза.

Этого достаточно , или нет ?

Удаленные клиенты будут обновляться и  управляться с моего сервера DRWEB?

Да, достаточно.


Получается, что для управления DRWEB на конкретном клиенте мне надо либо бежеть к своей машине, либо давать для клиента все права, а защищаться паролем, вводимым локально.

Предполагается просто, что администратор не бегает по машинам самостоятельно, работает удалённо, потому пароль не имеет великого смысла.

Но в будущих версиях возможность такая ожидается.


Семь раз отрежь – один раз проверь

#12 VVS

VVS

    The Master

  • Moderators
  • 18 040 Сообщений:

Отправлено 19 Ноябрь 2020 - 15:14

 

mehovoy, да, пароль централизованно не устанавливается. Можно отобрать права на конфигурирование, можно дать, но пароль на настройки централизованно не управляется.

Да, понял.

Получается, что для управления DRWEB на конкретном клиенте мне надо либо бежеть к своей машине, либо давать для клиента все права, а защищаться паролем, вводимым локально.

 

А зачем так сложно-то?

Просто в браузере открываете интерфейс центра управления и настраиваете для этого клиента всё, что Вам нужно.

И да - всё это не отходя от клиентского компа.
 


Сообщение было изменено VVS: 19 Ноябрь 2020 - 15:17

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#13 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 640 Сообщений:

Отправлено 19 Ноябрь 2020 - 15:54

Кстати минус настройки непосредственно из интерфейса агента в корпоративе.

Если проблема решается не единичной станции, а системная, то фокус либо придётся повторять на куче станций, либо повторять его в центре управления. Просто потому, что настройки будут изменены только для этой станции (хоть и сохранены на сервере), когда системные проблемы лучше таки решать для всей сети или подсети сразу.


Семь раз отрежь – один раз проверь

#14 mehovoy

mehovoy

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 19 Ноябрь 2020 - 15:57

 

 

mehovoy, да, пароль централизованно не устанавливается. Можно отобрать права на конфигурирование, можно дать, но пароль на настройки централизованно не управляется.

Да, понял.

Получается, что для управления DRWEB на конкретном клиенте мне надо либо бежеть к своей машине, либо давать для клиента все права, а защищаться паролем, вводимым локально.

 

А зачем так сложно-то?

Просто в браузере открываете интерфейс центра управления и настраиваете для этого клиента всё, что Вам нужно.

И да - всё это не отходя от клиентского компа.
 

 

И в броузере на клиенте сохраняется пароль администратора сервера ...... B)



#15 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 640 Сообщений:

Отправлено 19 Ноябрь 2020 - 16:25

 

 

 

mehovoy, да, пароль централизованно не устанавливается. Можно отобрать права на конфигурирование, можно дать, но пароль на настройки централизованно не управляется.

Да, понял.

Получается, что для управления DRWEB на конкретном клиенте мне надо либо бежеть к своей машине, либо давать для клиента все права, а защищаться паролем, вводимым локально.

 

А зачем так сложно-то?

Просто в браузере открываете интерфейс центра управления и настраиваете для этого клиента всё, что Вам нужно.

И да - всё это не отходя от клиентского компа.
 

 

И в броузере на клиенте сохраняется пароль администратора сервера ...... B)

 

В браузерах же везде уже есть приватный режим. =)

Там емнип не должно ничего сохраняться вне зависимости от настроек.


Семь раз отрежь – один раз проверь

#16 VVS

VVS

    The Master

  • Moderators
  • 18 040 Сообщений:

Отправлено 19 Ноябрь 2020 - 16:32

В браузерах же везде уже есть приватный режим. =)
Там емнип не должно ничего сохраняться вне зависимости от настроек.

Ну FF пишет: "Приватный просмотр позволяет вам сёрфить без сохранения паролей, куков и истории просмотра в приватном окне".

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#17 mehovoy

mehovoy

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 19 Ноябрь 2020 - 16:36

Спасибо!

Три вопроса прояснил.

Остался вопрос с удаленными клиентами. Достfочно ли опубликовать порт сервера DR-WEB, и прописать на клиентах

IP-адрес WAN порта щлюза, для работы удаленных клиентов DR-web?



#18 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 640 Сообщений:

Отправлено 19 Ноябрь 2020 - 16:41

Остался вопрос с удаленными клиентами. Достfочно ли опубликовать порт сервера DR-WEB, и прописать на клиентах

IP-адрес WAN порта щлюза, для работы удаленных клиентов DR-web?

https://forum.drweb.com/index.php?showtopic=333968&p=886614


Семь раз отрежь – один раз проверь

#19 mehovoy

mehovoy

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 19 Ноябрь 2020 - 18:10

Удаленный клиент установлися, и вроде как все работает.

Завтра докую.  Спасибо!

Жалко , что нельзя сразу в инсталляторе указать параметры подсоединения к серверу.

Ни в группах, ни в политиках, ни в настройках станции  этого не нашел.



#20 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 640 Сообщений:

Отправлено 19 Ноябрь 2020 - 18:15

Жалко , что нельзя сразу в инсталляторе указать параметры подсоединения к серверу.

Можно. Емнип, берётся отсюда: Администрирование – Конфигурация Сервера – Сеть – Загрузка.

Если речь про его адрес.


Семь раз отрежь – один раз проверь


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых