دستورالعمل پیکربندی ضدویروس پادویش برای دستگاه‌های با منابع محدود

مساله

در هنگام نصب ضدویروس در سیستم‌هایی که بسیار قدیمی هستند یا برای کاربردهای خاص و با محدودیت بالای منابع سخت‌افزاری مواجه هستند، می‌توان با انجام برخی تنظیمات و غیرفعال کردن بخشی از امکانات کم‌کاربردتر آن، یک ضدویروس سفارشی و با مصرف کمتر منابع آماده نمود.

در این سند برخی تنظیمات پیشنهادی و تاثیر انجام آنها بررسی خواهد شد تا ادمین‌ها و مدیران شبکه بتوانند تنظیمات مناسب خود را انتخاب و انجام دهند.

مثال‌هایی از سیستم‌هایی که این دستورالعمل برای آنها مفید است:

1. ساختار دسکتاپ مجازی (VDI) Virtual Desktop Infrastructure
2. تین‌کلاینت (Thin Client)
3. دستگاه‌های ATM
4. دستگاه‌های صنعتی
5. سیستم‌های آزمایشگاهی
6. سیستم‌های تعبیه‌شده (Embedded Systems)
7. سیستم‌های بسیار قدیمی
8. و …

راهکار

تنظیم حالت سبک – Lite Mode

ساده‌ترین راه برای کانفیگ پادویش جهت کاهش سربار روی سیستم، فعال‌سازی حالت سبک در پادویش می‌باشد.  این تنظیم در اصل برای محیط‌های دسکتاپ مجازی (VDI) در پادویش در نظر گرفته شده است و موارد زیر را تغییر می‌دهد:

1. لاگبرداری نرم‌افزارهای نصب شده غیرفعال می‌شود.
2. لاگبرداری سخت‌افزارهای سیستم غیرفعال می‌شود. (این مساله تاثیری در عملکرد کنترل ابزار نخواهد داشته)
3. جمع‌آوری اطلاعات برنامه‌ها جهت کنترل برنامه غیرفعال می‌گردد.
4. پویشگر زمان بیکاری سیستم غیرفعال می‌شود.

با توجه به هدف و کارکرد این گزینه، ممکن است در آینده موضوعات و تغییرات دیگری نیز در راستای کاهش سربار در پادویش معرفی شده و ذیل این گزینه قرار بگیرند. در نتیجه فعال کردن آن به شما امکان می‌دهد از بهبودهای نسخه‌های آتی پادویش نیز بهره‌مند گردید.

تاثیرات فعال کردن تنظیم

• اطلاعات نرم‌افزار/سخت‌افزار سیستم در کنسول مدیریتی قابل رویت نخواهد بود.
• هنگام تعریف قاعده کنترل برنامه، نرم‌افزارهایی که فقط در این سیستم‌ها دیده شده‌اند قابل رویت نخواهند بود. در صورت نیاز می‌توانید از افزودن دستی برنامه استفاده نمایید.
• پویشگر بیکاری فعال نخواهد بود و ممکن است برخی بدافزارها دیرتر کشف شوند. از آنجاییکه این تنظیم تاثیری روی محافظت مستمر ندارد، به محض ورود بدافزار یا تلاش برای اجرای آن تشخیص داده خواهد شد. در صورت تمایل برای رفع این موضوع می‌توانید پویش دوره‌ای برای سیستم تنظیم نمایید.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Padvish Antivirus > Lite Mode > Enable Lite Mode

تنظیم پویشگر زمان بیکاری سیستم – Idle Scanner

در صورتیکه پویشگر زمان بیکاری روشن باشد (تنظیم پیش‌فرض)، پادویش از زمان‌هایی که از سیستم استفاده نمی‌کنید برای اجرای یک پویش سبک و در پشت صحنه استفاده می‌کند تا بدافزارهای سیستم را تشخیص دهد. توجه کنید که این گزینه با محافظت مستمر پادویش که بدافزارها را به محض اجرا شدن یا ورود به سیستم تشخیص می‌دهد متفاوت است و حتی اگر غیرفعال باشد مشکلی در این زمینه ایجاد نمی‌شود.

با این همه در هنگام معرفی بدافزارهای جدید در پایگاه امضای پادویش، ممکن است یک بازه زمانی تا اجرای مجدد بدافزار و تشخیص آن توسط سیستم وجود داشته باشد که پویشگر زمان بیکاری تلاش می‌کند این بازه را تا حد امکان و بدون سربار برای کاربر کاهش دهد.

نکته: پویشگر بیکاری سیستم از تعامل کاربر با سیستم جهت تشخیص زمان بیکاری استفاده می‌کند. در نتیجه در سیستم‌هایی مانند ATM یا سیستم‌های تعبیه‌شده که کاربری به آن معنا در پشت سیستم قرار ندارد، سیستم تقریبا همواره بیکار فرض شده و یک پویش دائمی (ولو با اولویت و سربار پایین) در سیستم اجرا خواهد بود.

تاثیرات غیرفعال کردن تنظیم

• پویشگر بیکاری فعال نخواهد بود و ممکن است برخی بدافزارها دیرتر کشف شوند. از آنجاییکه این تنظیم تاثیری روی محافظت مستمر ندارد، به محض ورود بدافزار یا تلاش برای اجرای آن تشخیص داده خواهد شد. در صورت تمایل برای رفع این موضوع می‌توانید پویش دوره‌ای برای سیستم تنظیم نمایید.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Padvish Antivirus > Real Time Protection > Scan critical areas during idle time
• Padvish Antivirus > Settings > Protection > Real Time Protection > Scan critical areas during idle time

تنظیم پشتیبانگیری داده‌بان پادویش- Padvish DataCop

داده‌بان پادویش بخشی از مولفه ضدباج‌گیر می‌باشد که روزانه و هر روز دو بار از کل اطلاعات سیستم شما پشتیبان تهیه کرده و از آنها در برابر اتفاقات نرم‌افزاری و بدافزاری محافظت می‌کند. علاوه بر ایجاد یک لایه محافظتی در برابر باج‌افزارها، این لایه به عنوان یک بکاپ دم‌دستی و همیشگی از اطلاعات بسیار کارگشا بوده و می‌تواند به شما در زمان حذف ناخواسته یا تغییرات اتفاقی فایل‌ها کمک کند تا اطلاعات خود را بازگردانی کنید.

این بکاپ‌ها بسیار سریع و کم‌حجم هستند، به نحویکه صرفا ۵٪ فضای دیسک برای نگهداری چند هفته بکاپ در کاربردهای عادی کفایت می‌کند. اما برخی از سیستم‌ها بنا به کاربردشان اساسا فاقد داده مهم هستند و نیازی به این مکانیزم ندارند. به علاوه مکانیزم داده‌بان در سیستم عامل XP کار نمی‌کند و باید حتما سیستم عامل شما Vista به بعد یا در نسخ سروری، سرور ۲۰۰۳ به بعد باشد.

غیرفعال کردن این گزینه می‌تواند باعث کاهش سربار نوشتن بر روی دیسک شود. به همین علت در صورتیکه این گزینه را بعد از گذشت مدتی استفاده از ضدویروس غیرفعال می‌کنید، می‌توانید برای بهبود بیشتر کارایی، کلیه بکاپ‌های قبلی را نیز حذف کنید تا سیستم شما سبک‌تر کار کند.

تاثیرات غیرفعال کردن تنظیم

• بکاپ روزانه (روزی دوبار) دیگر وجود نخواهد داشت. در نتیجه کاربر قادر نیست نسخه‌های قبلی فایل‌های خود را مشاهده کند و یکی از لایه‌های دفاعی نسبت به حملات باج‌افزاری را نیز غیرفعال کرده‌اید.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Padvish AntiCrypto > DataCop > Enable DataCop
• Padvish Antivirus > Settings > Protection > AntiCrypto > DataCop > Enable DataCop

تنظیم کنترل برنامه – App Control

مولفه کنترل برنامه در پادویش به مدیر شبکه اجازه می‌دهد جلوی اجرای نرم‌افزارهای مختلف توسط کاربران را بگیرد و از این طریق سیاست‌های سازمان خود را اعمال نماید.

یکی از عملکردهای کنترل برنامه جمع‌آوری اطلاعات فایل‌های اجرایی و بعدا اعمال قواعد تعیین شده از طرف ادمین به آنها است. بنابراین در سیستم‌هایی که نیازی به چنین مراقبتی ندارند، غیرفعال کردن این گزینه در سرعت اجرای فایل‌ها می‌تواند موثر باشد.

تاثیرات غیرفعال کردن تنظیم

• اطلاعات برنامه‌های اجرایی جمع‌آوری نشده و قواعد کنترل برنامه نیز اعمال نمی‌شوند.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Application Control > Enable Application Control

تنظیم اتصال شبکه ابری – Cloud / CloudScanner

شبکه ابری پادویش با نظارت مستمر بر عملکرد نرم‌افزارهای سیستم شما و بررسی وضعیت آنها از طریق سرورهای شبکه ابری، بدافزارهای جدید را تشخیص داده و جلوی آلودگی سیستم شما را می‌گیرد. این شبکه به دو بخش اصلی نظارتی (شبکه ابری Padvish Cloud) و تشخیصی (پویشگر بلادرنگ ابری Cloud Scanner) تقسیم می‌شود.

این دو بخش از طریق دو گزینه مجزا قابل تنظیم هستند. در صورتیکه سیستم به اینترنت متصل نباشد، روشن بودن این دو گزینه تاثیری نداشته و می‌تواند غیرفعال شود.

تاثیرات غیرفعال کردن تنظیم

• غیرفعال کردن گزینه پویشگر بلادرنگ ابری (Cloud Scanner) موجب عدم تشخیص بدافزارهای روز خواهد شد.
• غیرفعال کردن گزینه شبکه ابری (Padvish Cloud) موجب خاموش شدن سیستم نظارتی و عدم تشخیص بدافزارهای خاص سیستم شما خواهد شد.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Padvish Antivirus > Real Time Protection > Enable real-time cloud scan engine
• Padvish Management Console > Change Client Settings > Padvish Antivirus > Scanner > Enable real-time cloud scan engine
• Padvish Management Console > Change Client Settings > Padvish Antivirus > Padvish Cloud > Enable
• Padvish Antivirus > Settings > Protection > Real Time Protection > Enable real-time cloud scan engine
• Padvish Antivirus > Settings > Protection > Scanner > Enable real-time cloud scan engine
• Padvish Antivirus > Settings > Network > Padvish Cloud > Enable

تنظیم کنترل ابزار – Device Control

کنترل ابزار پادویش امکان تعریف سیاست برای ابزارهای جانبی مانند USB ها، موبایل و … را فراهم می‌کند تا ادمین بتواند جلوی اتصال ابزارهای غیرمجاز را در سازمان خود بگیرد، یا از این اتفاقات لاگبرداری کند.

کنترل ابزار بار چندانی در سیستم نداشته و غیرفعال کردن آن تاثیر محسوسی بر کارایی نخواهد داشت، اما در مواردی که نیازی به آن نیست، می‌توانید آنرا خاموش کنید.

تاثیرات غیرفعال کردن تنظیم

• در صورت خاموش شدن کنترل ابزار، سیاست‌های کنترل ابزار اعمال نمی‌شوند.
• به علاوه لاگبرداری از اتصال ابزارها و تغییرات سخت‌افزاری نیز متوقف می‌شود.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Padvish Antivirus > Device Control > Enable
• Padvish Management Console > Change Client Settings > Padvish DLP > Device Control > Enable (v1.14+ Series)
• Padvish Antivirus > Settings > Protection > Device Control > Enable
• Padvish Antivirus > Settings > Protection > DLP > Device Control > Enable (v2.8+ Series)

تنظیم لاگبرداری اتصالات جانبی – Volume Log

امکان لاگبرداری ولوم (Volume Log)  جزئی از کنترل ابزار پادویش بوده و به ادمین اجازه می‌دهد از اتصال رسانه‌های ذخیره‌سازی مانند فلش و سی‌دی مطلع شده و حتی – در صورت انجام تنظیمات – از انتقال فایل‌ها بر روی فلش نیز مطلع شود.

با توجه به حجم لاگ احتمالی، این تنظیم در حالت پیش‌فرض بر روی فقط لاگبرداری از اتصال ابزارهای جانبی تنظیم شده است.

تاثیرات غیرفعال کردن تنظیم

• در صورت خاموش شدن، صرفا لاگبرداری از اتصال درایوهای جدید انجام نمی‌شود.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Padvish Antivirus > Device Control > Volume Log > Enable
• Padvish Management Console > Change Client Settings > Padvish DLP > Volume Log > Enable (v1.14+ Series)
• Padvish Antivirus > Settings > Protection > Device Control > Volume Log > Enable
• Padvish Antivirus > Settings > Protection > DLP > Volume Log > Enable (v2.8+ Series)

تنظیم محافظت مستمر – Real-Time Protection

محافظت مستمر را شاید بتوان اصلی‌ترین مولفه هر ضدویروس در جلوگیری از آلودگی سیستم دانست که به محض انتقال بدافزار و قبل از اجرای آن جلوی آلودگی سیستم را می‌گیرد.

غیرفعال نمودن محافظت مستمر تاثیر چشمگیری بر امنیت سیستم دارد و باید فقط در مواقع واقعا ضروری انجام گیرد. به عنوان راهکار جایگزین می‌توانید یک فایل یا فولدر را از طریق مسیر استثنا کنید تا تنها پویش در آن مسیر خاص انجام نگیرد.

تاثیرات غیرفعال کردن تنظیم

• خاموش کردن کامل محافظت مستمر، باعث شناسایی نشدن بدافزارها به محض ورود به سیستم می‌شود. ضدویروس صرفا با پویشگر زمان بیکاری ویا پویش‌های دوره‌ای می‌تواند بخشی از محافظت را پوشش دهد. البته سایر مکانیزم‌های محافظت رفتاری مانند UMP یا ضدباج‌گیر همچنان فعال هستند.
• در صورت استثنا کردن برحسب مسیر، اگر بدافزار در مسیر مربوطه قرار گیرد شناسایی نمی‌شود. بهتر است در این موارد استثنا فقط برای محافظت مستمر تعریف شود تا پویش‌های دوره‌ای بتوانند چنین اتفاقی را تشخیص دهند.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Padvish Antivirus > Real Time Protection > Enable
• Padvish Management Console > Change Client Settings > Padvish Antivirus > Exceptions > Add (by path)
• Padvish Antivirus > Settings > Protection > Real Time Protection > Enable
• Padvish Antivirus > Settings > Protection > Exceptions > Add (by path)

تنظیم محافظت اطلاعات ضدباج‌گیر پادویش – AntiCrypto Tamper Protection

محافظت اطلاعات یکی از اصلی‌ترین و موثرترین لایه‌های محافظت ضدباج‌گیر پادویش محسوب می‌شود. این لایه تغییرات فایل‌ها در سیستم را تحت نظر گرفته و در صورت رخداد رفتار تخریبگرانه یا شبه‌باج‌افزار جلوی عملکرد باج‌افزار را می‌گیرد.

غیرفعال کردن ضدباج‌گیر شاید در اغلب موارد تاثیر محسوسی در عملکرد سیستم نداشته باشد، اما در صورت نبود گزینه دیگر، گاهی برای کاهش سربار در سیستم‌هایی که در معرض خطر باج‌افزار نیستند یا داده مهمی ندارند می‌تواند به کار گرفته شود.

تاثیرات غیرفعال کردن تنظیم

• اطلاعات سیستم شما در برابر باج‌افزار آسیب‌پذیر خواهد بود.
• در صورت آلودگی به باج‌افزار، ممکن است سایر سیستم‌ها در شبکه نیز (در صورت داشتن فولدر اشتراکی) تحت تاثیر قرار بگیرند. در نتیجه اگر این تنظیم را برای سیستمی غیرفعال می‌کنید، اطمینان حاصل کنید که فولدرهای اشتراکی موجود در سیستم‌های دیگر شبکه از سیستم بدون محافظت قابل دسترسی نباشند.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Padvish AntiCrypto > Tamper Protection > Tamper Protection Level
• Padvish Antivirus > Settings > Protection > AntiCrypto > Tamper Protection > Tamper Protection Level

تنظیم وب‌کنترل – Web Control

مولفه کنترل وب وظیفه بررسی وب‌سایت‌های مرور شده توسط کاربر و جلوگیری از اتصال به سایت‌های غیرمجاز (مطابق سیاست تعریف شده توسط مدیر شبکه) را برعهده دارد.

غیرفعال کردن این مولفه تاثیر چندانی در کارایی سیستم ندارد، در مواقعی که دغدغه تعریف سیاست وجود ندارد یا ارتباط شبکه وجود ندارد می‌توانید این مولفه را غیرفعال کنید.

تاثیرات غیرفعال کردن تنظیم

• سیاست‌های کنترل وب‌سایت اعمال نمی‌شوند.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Padvish Antivirus > Padvish Web Control >Enable
• Padvish Antivirus > Settings > Network > Padvish Web Control >Enable

تنظیمات شبکه – Firewall & IPS

جلوگیری از حملات و اکسپلویت‌های تحت شبکه وظیفه اصلی سامانه جلوگیری از نفوذ (IPS) پادویش است و در شرایطی که احتمال ورود از طریق شبکه وجود دارد نباید خاموش شود.

اگر سیستمی به طور کلی فاقد ارتباط شبکه است می‌توانید این دو مولفه را غیرفعال نمایید. البته غیرفعال نمودن این دو مولفه در چنین شرایطی (بدون شبکه) تاثیر چندانی در کارایی ندارد.

به عنوان راهکار جایگزین می‌توانید از تعریف استثنا برای IPS (از طریق معتمد نمودن اتصالات در فایروال قواعد شبکه) اقدام کنید.

تاثیرات غیرفعال کردن تنظیم

• محافظت در برابر حملات شبکه وجود نخواهد داشت.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Padvish Antivirus > Firewall and IPS > Firewall > Enable
• Padvish Management Console > Change Client Settings > Padvish Antivirus > Firewall and IPS > Intrusion Prevention > Enable
• Padvish Antivirus > Settings > Network > Firewall > Enable
• Padvish Antivirus > Settings > Network >Intrusion Prevention > Enable

تنظیمات گزارشگیری – Reports

اگر سیستم در معرض حملات زیادی است و می‌خواهید برخی مولفه‌ها (مانند IPS) فعال باشند اما لاگبرداری انجام نگیرد، می‌توانید صرفا بخش لاگبرداری مربوطه را غیرفعال کنید.

در این حالت دیگر زمانی صرف ثبت لاگ‌ها (و احیانا ارسال به سرور) نخواهد شد.

تاثیرات غیرفعال کردن تنظیم

• محافظت تغییری نمی‌کند، اما لاگی از حملات انجام شده ثبت نمی‌شود. شما می‌توانید در مورد ثبت هر نوع لاگ جداگانه تصمیم بگیرید.

مسیر تنظیم

• Padvish Management Console > Change Client Settings > Reports
• Padvish Antivirus > Settings > Reports & Notifications > Reports