KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
× Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Dr.Web - Enterprise Security Suite - Integrare in Active Directory

Integrare Dr.Web Enterprise Security Suite in Active Directory

Se nella rete locale protetta viene utilizzato il servizio Active Directory di Microsoft, è possibile configurare l'integrazione dei componenti di Dr.Web Enterprise Security Suite con esso.

L’integrazione di Dr.Web Enterprise Security Suite con Active Directory può essere effettuata con vari metodi che descriveremo in questo tutorial; i metodi sono indipendenti l'uno dall’altro e possono essere utilizzati sia individualmente che in combinazione con altri.

Il primo metodo consiste nella registrazione del Server Dr.Web nel dominio Active Directory per l’accesso al Server Dr.Web tramite il protocollo SRV

Durante l'installazione del Server Dr.Web è fornita la possibilità di registrare il Server Dr.Web nel dominio Active Directory tramite gli strumenti dell'installer. Nel corso della registrazione sul server DNS viene creato un record SRV corrispondente al Server Dr.Web e successivamente i client possono accedere al Server Dr.Web attraverso tale record.

 

Utilizzo del protocollo SRV

I client basati su sistema operativo Windows supportano il protocollo di rete client SRV e sono in grado di connettersi al Server Dr.Web tramite i record SRV nel seguente modo:

  1. durante l'installazione del Server Dr.Web, viene configurata la registrazione in dominio Active Directory, l'installer inserisce il record SRV corrispondente su server DNS (il record SRV viene inserito su server DNS in conformità a RFC2782);
  2. quando viene richiesta una connessione al Server Dr.Web, l’utente imposta la comunicazione attraverso il protocollo SRV; per esempio, l’esecuzione dell’installer di Agent può avvenire:
    1. con esplicita indicazione del nome del servizio myservice:
      drwinst /server "srv/myservice"
    2. senza esplicita indicazione del nome del servizio; in tal caso nei record SRV verrà cercato il nome predefinito drwcs:
      drwinst /server "srv/"
  3. il client utilizza le funzioni del protocollo SRV in modo trasparente all’utente per la comunicazione con il Server Dr.Web (se per la connessione il Server Dr.Web non è indicato in modo esplicito, come nome del servizio predefinito viene utilizzato drwcs).

 

Sincronizzazione della struttura della rete antivirus con il dominio Active Directory

Il secondo metodo di integrazione in Active Directory consiste nel sincronizzare la struttura della rete antivirus Dr.Web con il dominio Active Directory. È possibile configurare la sincronizzazione automatica della struttura della rete antivirus con le postazioni nel dominio Active Directory. In tale caso i container di Active Directory che contengono computer diventano gruppi della rete antivirus in cui vengono messe le postazioni.

Per questo scopo è fornito il task Sincronizzazione con Active Directory nel calendario di Server Dr.Web. L’amministratore deve creare questo task in autonomo tramite lo Scheduler del Server Dr.Web.

 

Autenticazione degli utenti di Active Directory sul Server Dr.Web come amministratore

Vediamo ora il terzo metodo per integrare la rete antivirus basata su Dr.Web in Actve Directory, che consiste nell’autentificazione sul Server Dr.Web degli utenti con gli account di Active Directory per la gestione della rete antivirus. Allo questo scopo è necessario optare per una delle seguenti soluzioni:

  • autenticazione LDAP/AD, la quale è disponibile per i Server Dr.Web su tutti i sistemi operativi supportati; l’accesso al Server Dr.Web viene configurato per gli utenti in base agli attributi di Active Directory corrispondenti tramite il Pannello di controllo; l’accesso diretto al controller di dominio e allo snap-in di Active Directory non è richiesto e non viene effettuata alcuna configurazione aggiuntiva da parte di Active Directory;
  • Microsoft Active Directory, soluzione disponibile solo per Server Dr.Web Windows inclusi nel dominio di destinazione; in questo caso gli utenti e i gruppi di utenti che hanno accesso al Server Dr.Web vengono configurati direttamente in base allo snap-in di Active Directory.

Per quest’ultima soluzione è richiesta la configurazione iniziale tramite le utility aggiuntive contenute nei seguenti pacchetti:

drweb-13.00.0--esuite-modify-ad-schema-.exe

drweb-13.00.0--esuite-aduac-.msi

i quali sono disponibili nel repository di Server Dr.Web nei Prodotti aziendali Dr.Web.

La scelta del metodo dipende dal sistema operativo di Server Dr.Web e dal modo di configurazione degli utenti autorizzati.

 

Installazione remota di Agent Dr.Web su una postazione nel dominio Active Directory

Come quarto metodo è possibile installare Agent Dr.Web in remoto su una postazione nel dominio Active Directory. Per fare questo è necessario:

  1. eseguire l’installazione da account amministratore sulla risorsa di destinazione condivisa utilizzando un installer di Agent speciale per Active Directory che è contenuto nel pacchetto drweb-13.00.0--esuite-agent-activedirectory.msi scaricabile dal repository del Server Dr.Web tra i prodotti del sito Doctor Web;
  2. configurare i criteri di Active Directory corrispondenti per l'installazione automatica del pacchetto sulle postazioni nel dominio.

 

Ricerca delle postazioni del dominio Active Directory

Un quinto metodo di integrazione consiste nella possibilità di cercare le postazioni del dominio Active Directory attraverso lo strumento Scanner di rete; in tal caso è possibile determinare la presenza di Agent Dr.Web sulle postazioni trovate, e se è assente, di installare Agent in remoto tramite il Pannello di controllo.

Questo approccio all’installazione remota dell’Agent Dr.Web può essere utilizzato insieme all’installazione automatica dei pacchetti attraverso i criteri di Active Directory.

 

Ricerca degli utenti del dominio Active Directory

In ultimo, esiste la possibilità di cercare gli utenti del dominio Active Directory per creare i loro profili personali e per mettere a punto Office control e Controllo delle applicazioni.

 

Installazione di Agent Dr.Web con utilizzo del servizio Active Directory

Se nella rete locale protetta viene utilizzato il servizio Microsoft Active Directory, è possibile installare Agent Dr.Web sulle postazioni in remoto. L’installazione di Agent attraverso l’utilizzo di Active Directory è inoltre possibile se viene utilizzato il file system distribuito DFS; quest’ultimo approccio potrebbe essere utile, per esempio, se nella rete LAN sono presenti più controller di dominio.

Per installare Agent Dr.Web in una rete con diversi controller di dominio dovete seguire questa procedura:

  1. su ogni controller di dominio create una directory con il nome uguale;
  2. tramite DFS, unite le directory create in una directory radice di destinazione;
  3. installate con privilegi di amministratore il pacchetto *.msi nella directory di destinazione creata ;
  4. utilizzate la directory di destinazione per l’assegnazione del pacchetto nell’editor degli oggetti di criteri di gruppo; allo scopo utilizzate un nome di rete tipo: \\\ dove è il nome dominio e il nome della directory di destinazione.

Per installare Agent utilizzando il servizio Active Directory nella maniera standard, dovete scaricare l’installer di Agent Dr.Web per le reti con Active Directory e poi, sul server della rete locale che supporta il servizio Active Directory, eseguire l'installazione amministrativa di Agent Dr.Web. L’installazione può essere eseguita sia in modalità riga di comando (descritta al punto A) sia in modalità grafica del programma di installazione (descritta al capitolo B).

Ricordate che quando si aggiorna il Server Dr.Web, non è necessario aggiornare l'installer di Agent Dr.Web per le reti con Active Directory. Dopo l'aggiornamento del software Server Dr.Web, gli Agent e i software antivirus sulle postazioni vengono aggiornati automaticamente dopo l'installazione.

 

A. Configurazione dei parametri di installazione di Agent Dr.Web in modalità riga di comando

Per operare in questa modalità dovete impartire il seguente comando con tutti i parametri necessari e con il parametro obbligatorio di disattivazione della modalità grafica /qn:

msiexec /a .msi /qn []

L’opzione /a avvia la distribuzione del pacchetto amministrativo.

Un esempio di questo comando è il seguente:

msiexec /a ES_Agent.msi /qn ESSERVERADDRESS=servername.net ESSERVERPATH=\\win_serv\drwcs_inst\drwcsd-certificate.pem TARGETDIR=\\comp\share      

Il nome del pacchetto di installazione di Agent Dr.Web per le reti con Active Directory di solito ha il seguente formato:

drweb-13.00.0--esuite-agent-activedirectory.msi

Quanto ai parametri da inserire () nel comando, vale quanto segue.

/qn è il parametro di disattivazione della modalità grafica e se viene utilizzata la relativa opzione, è necessario impostare i seguenti parametri obbligatori:

  • ESSERVERADDRESS= : è l’indirizzo del Server Dr.Web al quale si connetterà l'Agent (i formati supportati sono descritti nella sezione Server Dr.Web - Formato indirizzo di rete).
  • ESSERVERPATH= : è il percorso completo del certificato del Server Dr.Web e il nome del file (per impostazione predefinita è il file drwcsd-certificate.pem che si trova nella sottodirectory webmin/install della directory di installazione del Server Dr.Web).
  • TARGETDIR : è la directory di rete per l'immagine di Agent (pacchetto di installazione di Agent modificato) la quale viene selezionata attraverso l'editor Criteri di gruppo per una determinata installazione; tale directory deve essere disponibile per lettura e scrittura. Il percorso della directory deve essere indicato nel formato di indirizzi di rete, anche se è disponibile localmente; la directory deve essere obbligatoriamente accessibile dalle postazioni di destinazione.

Prima dell’installazione amministrativa, non è necessario mettere i file di installazione manualmente nella directory di destinazione per l’immagine di Agent (TARGETDIR): l’Installer di Agent per le reti con Active Directory (.msi) e gli altri file necessari per l’installazione degli Agent su postazioni verranno messi nella directory di destinazione automaticamente nel corso dell’installazione amministrativa. Se questi file sono presenti nella directory di destinazione prima dell’installazione da amministratore, magari perché rimasti da un’installazione precedente, i file con i nomi uguali verranno sovrascritti.

Se è necessario eseguire l’installazione amministrativa da Server Dr.Web differenti, conviene  impostare directory di destinazione diverse per ciascuno dei Server Dr.Web.

Dopo la distribuzione del pacchetto amministrativo nella directory \Program Files\DrWeb deve esserci solo il file README.txt.                                                                                                                           

Si possono impostare gli stessi parametri in modalità grafica dell’Installer.

In seguito è necessario ordinare l'installazione del pacchetto sul server della rete locale su cui è installato il software di gestione di Active Directory.

 

(B) Configurazione dei parametri di installazione di Agent Dr.Web in modalità grafica

Volendo operare in questa modalità, prima dell'installazione amministrativa accertatevi che la directory di destinazione dell'immagine Agent non comprenda l'installer di Agent Dr.Web per le reti con Active Directory (.msi). Inoltre, dopo che il pacchetto amministrativo è stato distribuito, verificate che nella directory \Program Files\DrWeb ci sia solo il file README.txt.

Bene, stabilito ciò, la procedura per la configurazione dei parametri di installazione in modalità con interfaccia grafica prevede che preliminarmente si debba avviare il programma di installazione in modalità grafica eseguire il comando:

msiexec /a \.msi

Così facendo si apre la finestra InstallShield Wizard con le informazioni sul prodotto che viene installato; ricordate che l’Installer dell’Agent utilizza, per default, la lingua impostata nelle configurazioni di lingua del computer. In questa finestra di dialogo fate clic sul pulsante Avanti e procedete così:                                                                

  1. nella finestra di dialogo che vi appare, indicate il nome DNS o l’indirizzo IP del Server Dr.Web, quindi immettete il percorso del certificato di Server Dr.Web (drwcsd-certificate.pem) e poi cliccate su Avanti;
  2. nella finestra successiva, inserire la directory di rete in cui verrà scritto l’immagine dell’Agent, scrivendone il percordo nel formato degli indirizzi di rete, anche se la directory è disponibile localmente; la directory deve essere obbligatoriamente accessibile dalle postazioni di destinazione;
  3. cliccate sul pulsante Installa.

Dopo la fine dell’installazione viene automaticamente richiamata la finestra di configurazione attraverso cui si può ordinare l'installazione dei pacchetti sui computer della rete.

 

Configurazione dell’installazione del pacchetto su postazioni selezionate

Andiamo ora a vedere come si può configurare l’installazione su postazioni ben definite; la procedura del caso è quella descritta qui di seguito.

  1. Nel Pannello di controllo (o nel menu Start, se il sistema operativo è Windows 2003/2008/2012/2012R2 Server, ovvero nel menu Start → Programmi in caso si lavori su Windows 2000 Server), selezionate Amministrazione → Active Directory — utenti e computer (in modalità grafica di installazione di Agent questa finestra delle impostazioni viene invocata in maniera automatica);
  2. Nel dominio comprendente i computer dove volete installare l’Agent Dr.Web, create una nuova Unità (in caso di Windows 2000 Server si parla di Unità organizzativa) con il nome, come esempio, ESS. Per fare questo, dal menu contestuale del dominio selezionare Nuovo → Unità. Nella finestra che si apre, immettete il nome della nuova unità e fate clic su OK, poi includete nell’unità così creata i computer su cui volete installare l’Agent.
  3. Aprite la finestra di modifica dei criteri di gruppo, considerando che la procedura differisce in base al sistema operativo:
    1. in Windows 2000/2003 Server, dal menu contestuale dell’unità creata ESS selezionate la voce Proprietà e nella relativa finestra di dialogo accedete alla scheda Criteri di gruppo;
    2. in SO Windows 2008/2012/2012R2 Server, invece, accedete da Start → Amministrazione → Gestione Criteri di gruppo.
  • Assegnate quindi un criterio di gruppo all’unità creata, considerando che anche in questo caso la procedura differisce in base al sistema operativo utilizzato:
    1. per Windows 2000/2003 Server bisogna cliccare sul pulsante Aggiungi e creare un elemento dell’elenco con il nome Criteri di gruppo ESS, poi fare doppio clic su di esso;
    2. per Windows 2008/2012/2012R2 Server, dal menu contestuale dell’unità ESS creata bisogna selezionare la voce Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento, quindi nella finestra che si apre digitare il nome del nuovo oggetto “Criteri di gruppo” e cliccare su OK, poi dal menu contestuale del nuovo criterio di gruppo, selezionare la voce Modifica.
  • Nella finestra Editor Gestione Criteri di gruppo, andate a configurare il criterio di gruppo creato, ricordando che:
    1. in Windows 2000/2003 Server bisogna, nella lista gerarchica, selezionare l’elemento Configurazione computer → Impostazioni del software → Installazione software;
    2. in Windows 2008/2012/2012R2 Server, nella lista gerarchica selezionare l'elemento Configurazione computer → Criteri → Impostazioni del software → Installazione software.
  • Dal menu contestuale dell’elemento Installazione software, selezionate la voce Nuovo → Pacchetto.
  • Assegnate il pacchetto di installazione Agent e allo scopo indicate l’indirizzo della risorsa di rete condivisa (l’immagine dell’Agent) creata nel corso dell’installazione amministrativa; il percorso della directory con il pacchetto deve essere scritto nel formato di indirizzi di rete, anche se la directory è disponibile localmente.
  • Si apre la finestra Distribuire software, nella quale dovete selezionare l’opzione Assegnato e fare clic su OK.
  • Nella finestra dell’editor Gestione Criteri di gruppo compare la voce Agent Dr.Web e dal relativo menu contestuale andate a selezionare Proprietà.
  • Nella finestra Proprietà pacchetto che si è aperta, andate alla tabDistribuzione e qui cliccate sul pulsante Avanzate, allorché vi si apre la finestra Impostazioni avanzate di distribuzione.
  • In essa spuntate la voce Non usare le impostazioni di lingua per la distribuzione.
  • Se desiderate installare l’Agent Dr.Web mediante un pacchetto msi configurabile su sistemi operativi a 64 bit, spuntate la casella Rendi questa applicazione a 32 bit disponibile per computer x64.
  • Fate doppio clic su OK.

Ora l’Agent Dr.Web verrà installato sui computer scelti quando si registreranno, in un momento successivo, nel dominio.

 

Utilizzo dei criteri a seconda delle installazioni precedenti dell’Agent

Quando vengono assegnati i criteri di Active Directory per l’installazione dell’Agent Dr.Web bisogna rammentare che l’Agent stesso potrebbe essere già installato sulla postazione; in questo caso dovete agire in base alla situazione che trovate e a riguardo va detto che esistono tre possibilità descritte qui di seguito.

  • Sulla postazione non c'è l'Agent Dr.Web; in tal caso, dopo che sono stati assegnati i criteri, l’Agent viene installato in conformità alle regole generali;
  • Sulla postazione è già stato installato un Agent Dr.Web senza utilizzo del servizio Active Directory; dopo che è stato assegnato il criterio di Active Directory, l’Agent installato rimane sulla postazione. In questo caso l’Agent è installato sulla postazione, però Active Directory lo considera come non installato, pertanto dopo ogni caricamento della postazione, viene ripetuto il tentativo di installazione dell’Agent tramite Active Directory, che non sortirà alcun effetto. In una simile evenienza, per installare l’Agent attraverso Active Directory si deve rimuovere manualmente (o tramite il Pannello di controllo) l’Agent installato ed assegnare di nuovo i criteri di Active Directory a tale postazione.
  • Sulla postazione è già stato installato un Agent Dr.Web con utilizzo del servizio Active Directory; in tal caso il criterio non viene assegnato nuovamente alla postazione con un Agent Dr.Web installato tramite il servizio Active Directory, perciò l’assegnazione di criteri non cambierà lo stato del software antivirus sulla postazione.

 

 

Dr.Web - Formato indirizzo di rete

Nelle impostazioni di Dr.Web, l’indirizzo di rete del Server Dr.Web al quale si connetterà l’Agent deve essere scritto rispettando una certa sintassi ed il seguente formato:

[://][]

Per impostazione predefinita il campo ha il valore TCP. I valori predefiniti vengono determinati dall’applicazione.

Per quanto sia obsoleto, in alternativa è comunque supportato l’utilizzo del formato:

[/][].

Gli indirizzi della famiglia IP possono essere:

  • ::= (dove può essere nome DNS o indirizzo IP separato da punti (per esempio, 127.0.0.1);
  • ::=: (dove deve essere un numero decimale).

Nell’impostare l’indirizzo del Server Dr.Web e quello dell’Agent, è possibile indicare la versione del protocollo in uso, tenendo presente che sono ammesse le seguenti varianti:

  • ://: (utilizza sia IPv4 che IPv6);
  • ://(): (utilizza solo IPv4);
  • ://[]: (valido per il solo IPv6).

 

Per esempio:

tcp://127.0.0.1:2193 significa protocollo TCP, porta 2193 su interfaccia 127.0.0.1.

 

Invece:

tcp://(examle.com):2193 significa protocollo TCP, porta 2193 su interfaccia IPv4 example.com.

 

Ancora,

tcp://[::]:2193

significa protocollo TCP, porta 2193 su interfaccia IPv6 0000.0000.0000.0000.0000.0000.0000.0000 ed equivale ad una notazione dell’indirizzo del tipo localhost:2193.

 

Un ulteriore esempio è:

tcp://:9999

che vale per i server e rappresenta l’interfaccia predefinita che dipende da applicazione; se si tratta di un valore per il client, indica la connessione all’host predefinito, anch’esso dipendente dall’applicazione (di solito localhost). Potete scrivere semplicemente tcp:// omettendo il numero di porta, quando intendete utilizzare il protocollo TCP sulla porta predefinita.

Si può anche utilizzare un protocollo orientato alla connessione, quindi scrivere:

://

dove imposta l'indirizzo locale di socket per server o il server remoto per client.

 

È anche possibile adottare un protocollo orientato al datagramma, ossia l’UDP:                                                                                                                

://[-]

 

Per esempio:

udp://231.0.0.1:2193 significa utilizzo del gruppo multicast 231.0.0.1:2193 su interfaccia che dipende dall’applicazione predefinita.

Oppure:

udp://[ff18::231.0.0.1]:2193 significa utilizzo del gruppo multicast [ff18::231.0.0.1] su interfaccia che dipende dall’applicazione predefinita.

 

Ancora, scrivendo semplicemente udp:// si indica che endpoint e interfaccia dipendono dall’applicazione.

Un ulteriore esempio di formato dell’indirizzo UDP è:

udp://255.255.255.255:9999-myhost1 che significa utilizzo di messaggi broadcast su porta 9999 sull’interfaccia myhost1.

 

Per quel che riguarda gli indirizzi della famiglia SRV, la sintassi è la seguente:

srv://[][@]

 

Concludiamo con gli indirizzi della famiglia UDS: nel caso di utilizzo di un protocollo orientato alla connessione:

unx://

Invece utilizzando un protocollo orientato al datagramma:

udx://

 

Per esempio possiamo scrivere, nel primo caso:

unx://tmp/drwcsd:stream

 

e nel secondo:

unx://tmp/drwcsd:datagram