На этом уроке мы рассмотрим работу с антивирусом Sophos, который был установлен на рабочую станцию локальной сети администратором при помощи программы управляющего центра Sophos Control Center пакета Sophos Small Business Edition.
Предполагается, что при установке антивируса в сети администратор настраивает параметры работы антивируса централизованно. Обладая достаточной квалификацией, администратор настраивает эти параметры оптимальным образом, обеспечивая необходимый уровень защиты рабочих станций и сервера.
Однако пользователи рабочих станций тоже могут настраивать параметры антивируса Sophos, установленного администратором дистанционно.
Чтобы открыть главное окно антивируса Sophos, щелкните правой кнопкой мыши значок антивируса, расположенный на панели задач Windows (щит синего цвета), а затем выберите из контекстного меню строку Launch Sophos Anti-Virus.
В результате на экране появится окно Sophos Anti-Virus, показанное на рис. 23-1.
Рис. 23-1. Вкладка Immediate главного окна антивируса Sophos
В главном окне антивируса Sophos Anti-Virus есть три вкладки, открывающие доступ к самым нужным функциям программы.
На вкладке Immediate главного окна антивируса Sophos (рис. 23-1) можно выбрать диски и каталоги дисков для сканирования по запросу пользователя.
В верхней части вкладки расположен список доступных дисковых устройств, который можно редактировать при помощи кнопок Add, Remove и Edit.
По умолчанию в списке отмечена строка Local hard drives. При этом антивирусной проверке подвергаются все локальные диски рабочей станции.
Вы можете добавить в этот список новые объекты, такие как диски, и отдельные каталоги (папки), расположенные на различных дисках.
Если антивирус установлен на рабочую станцию администратором сети, рекомендуем оставить эти параметры без изменений.
На вкладке Scheduled главного окна антивируса Sophos (рис. 23-2) можно настроить расписание сканирования дисков и каталогов, заданных на вкладке Immediate.
Рис. 23-2. Вкладка Scheduled главного окна антивируса Sophos
Рекомендуется оставлять настройки, сделанные администратором локальной сети.
Для выполнения сканирования составляются задания, список которых отображается в окне Scheduled. При помощи кнопок Add, Remove и Edit можно, соответственно, добавлять, удалять и редактировать задания.
При добавлении и редактировании заданий на экране появляется диалоговое окно Scheduled Job Configuration.
При помощи вкладок этого окна можно определить, какие диски и каталоги должны сканироваться при выполнении задания, в какие дни недели и в какое время дня. Можно также задавать различные параметры сканирования, удаления вирусов и составления отчетов о выполненных действиях.
Используя технологию InterChek Technology, антивирус Sophos сканирует все файлы, открываемые пользователем рабочей станции на предмет поиска в них вирусов и других вредоносных программ.
На вкладке On-acccess (рис. 23-3) отображается ход этого процесса.
Рис. 23-3. Вкладка On-access главного окна антивируса Sophos
Если из меню Option выбрать строку Configuration, откроется диалоговое окно Immediate Scanning Configuration, показанное на рис. 23-4.
Рис. 23-4. Вкладка Scanning диалогового окна Immediate Scanning Configuration
По умолчанию используется стандартный режим сканирования, который включается флажком Normal. Для более глубокого тестирования рекомендуется отметить флажок Extensive. В этом случае проверке будет подвергаться все содержимое файла.
По умолчанию задача антивирусного сканирования выполняется на рабочей станции с нормальным приоритетом. Если антивирусная проверка сильно тормозит работу других приложений, отметьте флажок Low. В этом случае приоритет задачи сканирования по отношению к другим приложениям будет понижен.
Чтобы антивирус смог проверять содержимое архивов, отметьте флажок Scan inside archive files.
Для проверки содержимого ящиков электронной почты локальной почтовой программы отметьте флажок Scan mailboxes.
Если в локальной сети имеются компьютеры Macintosh, отметьте флажок Include Macintosh Viruses.
На вкладке Disinfection диалогового окна Immediate Scanning Configuration (рис. 23-5) можно настроить параметры удаления вирусов.
Рис. 23-5. Вкладка Disinfection диалогового окна Immediate Scanning Configuration
Флажки в поле Disinfection задают, в каких программных объектах выполняется удаление вирусов.
Если отметить флажок Disinfect boot sectors, антивирус будет удалять вредоносный программный код из загрузочных секторов диска.
Для удаления вирусов из документов и программ необходимо отметить, соответственно, флажки Disinfect documents и Disinfect programs.
Чтобы перед выполнением этих операция антивирус запрашивал разрешение у пользователя рабочей станции, отметьте флажок Request confirmation.
Отметив флажок Infected files, можно задать действие, выполняемое над зараженными файлами (при помощи расположенных флажков):
· None (только вывод сообщения)
· Rename (переименование)
· Delete (удаление)
· Shred (уничтожение перезаписью)
· Move (перемещение)
· Copy (копирование)
Для операций перемещения и копирования необходимо задать целевой каталог при помощи кнопки Browse.
По умолчанию для хранения зараженных файлов используется каталог C:\Program Files\Sophos\Sophos Anti-Virus\INFECTED.
Настройка параметров отчета доступна на вкладке Report диалогового окна Immediate Scanning Configuration (рис. 23-6).
Рис. 23-6. Вкладка Report диалогового окна Immediate Scanning Configuration
Здесь можно запретить или разрешить показ имен файлов в отчетах, отметив, соответственно, флажки Suppress filenames или List filenames.
Кроме того, в поле Report file можно посмотреть или изменить путь к файлу отчета.
По умолчанию антивирус Sophos проверяет на присутствие вирусов и вредоносных программ все файлы, которые находятся в списке исполнимых файлов.
Чтобы просмотреть или отредактировать этот список, выберите в главном окне из меню Option строку Executables. На экране появится диалоговое окно Executables File Extensions, показанное на рис. 23-7.
Рис. 23-7. Список расширений имен файлов, для которых выполняется антивирусная проверка
При помощи кнопок Add и Remove можно редактировать этот список, однако это должен делать специалист, хорошо понимающий, что и для чего он делает. Если удалить из этого списка, например, строку COM, антивирус не будет проверять COM-программы, что может заметно ослабить защиту.
Если отмечен флажок Files with no extension, то антивирус будет считать программами все файлы, имя которых не имеет расширение.
При помощи кнопки Default можно вернуть список в исходное состояние, каким он был на момент установки антивируса.
Выбрав из меню Option строку Exclusion List, Вы сможете отредактировать список файлов, которые не должны подвергаться антивирусной проверке (рис. 23-8).
Рис. 23-8. Список файлов, для которых не выполняется антивирусная проверка
В этот список можно добавлять файлы, про которые вы точно знаете, что они не содержат вредоносных программ. Учтите, однако, что к формированию этого списка нужно относиться осторожно, а лучше вообще оставить его пустым.
При обнаружении вирусов или других вредоносных программ антивирус Sophos может посылать сообщения пользователю рабочей станции, на которой произошло событие, и пользователям других рабочих станций локальной сети (например, администратору).
Кроме того, сообщение о событии может быть отправлено по электронной почте на заданные адреса.
Для настройки параметров передачи сообщений выберите из меню Options строку Alerts. На экране появится диалоговое окно с вкладками Notification configuration (рис. 23-9).
Рис. 23-9. Настройка локальных сообщений
Вы можете заблокировать выдачу сообщений о событиях на экран рабочей станции, если отметите флажок Disable Desktop Messaging. Однако, сделав это, вы можете пропустить важное сообщение об обнаружении вредоносной программы.
Как мы уже говорили, антивирус Sophos способен передавать сообщения об обнаружении вирусов и других вредоносных программ по локальной сети.
Когда антивирус Sophos устанавливается в локальной сети централизованно, эта возможность блокирована на вкладке Network Messaging (рис. 23-10).
Рис. 23-10. Настройка сетевых сообщений
Мы рекомендуем оставить эту настройку без изменений, так как рассылка сообщений находится под контролем управляющего центра Sophos Control Center.
Аналогично, на вкладке SMTP Email (рис. 23-11) отключена рассылка сообщений по электронной почте.
Рис. 23-11. Настройка отправки сообщений по электронной почте
Вы можете ее включить при необходимости.
Если рассылка включена, при помощи флажков группы Notification level выберите, какие сообщения должны отправляться по электронной почте.
Для максимального контроля состояния защиты рекомендуется отметить флажок Viruses and errors, при этом будут отправляться сообщения при обнаружении вирусов, а также при возникновении ошибок. Если же отметить флажок Viruses only, будут отправляться сообщения только об обнаружении вирусов.
Чтобы активировать отправку сообщений по электронной почте, отметьте флажок E-mail. Далее с помощью кнопки Add сформируйте список адресов электронной почты, по которым нужно отправлять сообщения.
Чтобы указать адрес сервера SMTP щелкните кнопку Configure SMTP. На экране появится диалоговое окно Configure SMTP, показанное на рис. 22-3.
Введите в поле SMTP server доменное имя или адрес IP сервера SMTP, через который будут отправляться сообщения электронной почте.
При необходимости в поле SMTP ‘Sender’ address укажите обратный адрес, на который будут приходить сообщения об ошибках доставки сообщений.
Антивирус Sophos сохраняет все события о вирусном заражении и ошибках в журнале.
Настройку параметров журнала можно выполнить на вкладке Event Logging (рис. 23-12).
Рис. 23-12. Настройка параметров локального журнала событий
Отметив флажок Disable Event Logging, можно отключить журнал. Мы не рекомендуем это делать, так как в противном случае при возникновении вирусного заражения будет трудно разобраться в причинах произошедшего.
С помощью флажков All job и Specify job можно записывать в журнал результаты выполнения всех или некоторых заданий на антивирусное сканирование.
При помощи флажков группы Notification level выберите, какие сообщения должны записываться в журнал.
Для максимального контроля состояния защиты рекомендуется отметить флажок Viruses and errors, при этом в журнал будут записываться сообщения при обнаружении вирусов, а также при возникновении ошибок. Если же отметить флажок Viruses only, в журнал попадут сообщения только об обнаружении вирусов.
Сайт компании Sophos, расположенный в Интернете по адресу http://www.sophos.com, содержит обширную базу данных по вирусам и другим вредоносным программам (рис. 23-13).
Рис. 23-13. Просмотр подробной информации о вирусе на сайте компании Sophos
При помощи поисковой системы, установленной на сайте, можно найти описание и инструкцию по удалению вредоносной программы по ее названию.
Мы также рекомендуем вам регулярно посещать этот сайт, а также сайты других антивирусных компаний, чтобы быть в курсе последних новостей и событий, имеющих отношение к защите от вирусов и других вредоносных программ.
На 23 уроке мы рассказали о работе с антивирусом Sophos на рабочей станции пользователя.
Мы описали главное окно антивируса и расположенные на нем вкладки, открывающие доступ к самым важным функциям программы.
Мы также рассмотрели настройку важнейших параметров работы антивируса, имеющих отношение к сканированию, обнаружению и удаления вирусов, к рассылке сообщений о вирусах и настройке журнала событий.