Принципы работы

В этом разделе:

•Общие сведения.

•Определение областей файловой системы, подлежащих наблюдению.

Общие сведения

Монитор SpIDer Guard для SMB работает в режиме демона (обычно запускается демоном управления конфигурацией Dr.Web ConfigD при запуске системы). После запуска он работает в качестве сервера, к которому подключаются специальные плагины (модули VFS SMB), работающие на стороне сервера Samba и контролирующие активность пользователей в разделяемых каталогах. При обнаружении новых или измененных файлов монитор запрашивает их проверку компонентом проверки файлов Dr.Web File Checker.

Когда в файле, проверенном по запросу от монитора, обнаруживается неизлечимая угроза, или если для данного типа угрозы в настройках было указано действие «Блокировать» (Block) монитор дает команду модулю VFS SMB, контролирующему разделяемый каталог, блокировать этот файл для пользователей (т. е. запретить чтение файла, запись в него и его исполнение). Также, если это не отключено в настройках, рядом с заблокированным файлом создается специальный текстовый файл, содержащий описание причины блокировки файла. Это делается для того, чтобы предотвратить для пользователя эффект «неожиданного исчезновения файла», который мог бы возникать в случае, если к файлу было автоматически применено действие «Удалить» (Delete) или «В карантин» (Quarantine). Это позволяет предотвратить множественные попытки пользователя (или программы-червя, заразившей компьютер пользователя) заново создать перемещенный или удаленный файл. Кроме того, это действие является способом проинформировать пользователя, что его компьютер, возможно, инфицирован какой-либо вредоносной программой. Получив такую информацию, пользователь может выполнить антивирусную проверку своего компьютера, обнаружить и обезвредить свои локальные угрозы. Дополнительно файл (в зависимости от значения соответствующего параметра конфигурации) может быть заблокирован при ошибке проверки, в том числе, если отсутствует активная лицензия, обеспечивающая работу SpIDer Guard для SMB.

Определение областей файловой системы, подлежащих наблюдению

Имеется возможность запретить компоненту наблюдать за указанными каталогами и файлами, находящимися внутри контролируемых разделяемых каталогов сервера Samba. Это может быть необходимо, если некоторые файлы изменяются слишком часто, что заставляет монитор столь же часто их проверять. Частая проверка файлов в хранилище может привести к большой нагрузке на систему. Если при этом точно известно, что для некоторых файлов в хранилище частое изменение — это нормальное поведение, то рекомендуется исключить такие файлы из-под наблюдения монитора. В этом случае он не будет реагировать на их изменение и не будет инициировать их проверку компонентом проверки файлов.

Для определения каталогов, подлежащих и не подлежащих наблюдению, монитор файловых хранилищ Samba SpIDer Guard для SMB использует два параметра конфигурации:

•IncludedPath — содержит список путей, подлежащих мониторингу («область наблюдения»).

•ExcludedPath — содержит список путей, которые требуется исключить из мониторинга («область исключения»).

Стандартно в качестве области наблюдения рассматривается весь разделяемый каталог. В случае указания областей наблюдения и исключения, наблюдению подвергаются только те файлы из разделяемого каталога, пути к которым не принадлежат исключения, определяемой списком ExcludedPath, или принадлежат области наблюдения, определяемой списком IncludedPath. При этом, если один и тот же путь указан в обоих списках, то параметр IncludedPath имеет приоритет: объекты, расположенные по данному пути, будут находиться под контролем монитора SpIDer Guard для SMB. Таким образом, параметр IncludedPath имеет смысл использовать для включения в область наблюдения отдельных каталогов и файлов, находящихся внутри области исключения.

Имеется возможность задать различные параметры защиты для различных разделяемых каталогов Samba, находящихся под защитой монитора SpIDer Guard для SMB, включая различные области наблюдения и исключения, а также реакции на обнаруженные угрозы. Это достигается заданием в секции конфигурации монитора SpIDer Guard для SMB индивидуальных настроек для модулей VFS SMB, контролирующих эти разделяемые каталоги.