Какие функции выполняет превентивная защита

Современные антивирусы: функции и возможности – Часть II: Проактивная защита

Мониторинг и контроль за поведением программ является очень близкой темой для проект Matousec и, кроме того, одним из основным объектов общественного исследования в рамках коммерческих заказов для антивирусных вендоров.

Содержание

Поведенческий контроль (Behavior Control)

Также называют: Проактивная защита (Proactive Protection, Proactive Defense), активный вирусный контроль (Active Virus Control), защитный экран от вторжений (Intrusion Guard), основная система предотвращения вторжений (HIPS, Host-based Intrusion Prevention System), поведенческий экран (Behavioral Shield), превентивная защита

Проактивная защита

Компоненты поведенческого контроля (Behavior Control) осуществляют мониторинг действий всех приложений в системе и блокируют действия, которые угрожают безопасности системы и ее пользователям. Поведенческий анализ содержит базу данных наборов правил, которые определяют, какие действия должны быть разрешены или заблокированы для каждой программы. Система защиты выполняет контроль и прекращает работу программ, которые могут выполнить потенциально опасное действие. Если существует правило, которое определяет конкретную ситуацию, оно используется для того чтобы либо чтобы разрешить, либо заблокировать действие. Если какое-либо действие решено заблокировать, исполнение программного потока модифицируется таким образом, чтобы действие не выполнялось и все параметры приложения меняются для того чтобы гарантировать безопасность; если действие программы разрешено набором правил, его выполнение происходит без изменений со стороны защиты. Иногда не существует определенного правила для действия программы в базе данных. В таких случаях, в зависимости от настроек компонентов поведенческого контроля, пользователю либо предлагается принять решение, либо действие исполняется или блокируется в автоматическом режиме на основании информации эвристического анализа.

Поведенческий контроль не сканирует файлы приложений перед их выполнением, следовательно, невозможно определить вредоносное ПО до запуска приложения. Тем не менее, эта опция антивирусных программ позволяет эффективно блокировать опасное поведение и, таким образом, предотвращать повреждения и защищать систему от известных и неизвестных вирусов. Другие компоненты, например антивирусный движок (Anti-virus Engine), могут быть тесно связаны с поведенческим контролем и критически необходимы для его правильной работы. Основное направление развития разработки поведенческого контроля связано с возможностью определения степени опасности конкретного приложения до его запуска, даже если оно является неопознанным.

Режимы работы (Operation modes)

Аналогично политикам безопасности фаервола (Firewall Policy), которые определяют принятие решений с помощью компонента контроля программ (Program Control), функция поведенческого контроля может иметь несколько режимов работы. Большинство антивирусных программ не предоставляют отдельных настроек для поведенческого контроля, в таких решениях эти настройки едины для фаервола (Firewall) и модуля поведенческого контроля. Некоторые антивирусные решения позволяют конфигурировать эти две функции раздельно, однако доступные режимы работы строятся на тех же принципах, что и политика безопасности фаервола:

— режим обучения (Learning mode) – поведенческий контроль в автоматическом режиме создает новые наборы правил для действий приложений;
— интерактивный режим (Interactive mode) – при спорных ситуациях появляется оповещение и пользователю предлагается принять решение;
— тихий режим (автоматический режим, Silent mode) – все действия опции происходят в автоматическом режиме.

Некоторые антивирусы позволяют установить степень защиты для поведенческого контроля. Эта настройка определяет, какие действия приложений считаются потенциально опасными. На низших уровнях защиты приложениям позволяется свободно выполнять практически все возможные действия, за исключением самых опасных. На высших уровнях, защита является более жесткой, программы находятся под тщательным наблюдением. Иногда, даже абсолютно безопасные действия приложений могут блокироваться в таких случаях.

В некоторых случаях есть возможность настройки конкретных реакций на каждое потенциально опасное действие. Разрешить (Allow), запретить (Block) или спросить (Prompt) – основные доступные опции, которые означают, что конкретное действие может быть разрешено, заблокировано или требуется решение пользователя.

Настройки поведенческого контроля по умолчанию подразумевают использование преимущественно автоматических действий и меньшего вмешательства пользователя. В таких случаях режим безопасности часто называется «оптимальный». Это означает, что большинство расширенных функций поведенческого контроля отключены и только основные способы обнаружения вредоносного ПО активны. Если пользователь хочет обезопасить себя от самых сложных видов атак нужно активировать соответствующую опцию. Ее название может отличаться у различных вендоров, она может называться расширенный мониторинг событий (Advanced events monitoring), «анти-утечка» (Anti-leak). Обычно для этой технологии используются уникальные названия под зарегистрированными торговыми марками.

Песочница, изолированная программная среда (Sandbox)

Во время работы автоматических режимов антивирусная программа может разрешить потенциально опасное действие (опция «Разрешить все» (Alow All/Alow Most) активирована) или заблокировать абсолютно безопасные действия программы (опция «Заблокировать все» (Block All/Block Most) включена). Работа автоматических режимов неидеальна, а использование интерактивного режима предполагает наличия у пользователя определенной квалификации для принятия решений. Кроме того, большое количество вопросов в интерактивном режиме может раздражать пользователя. В этом случае альтернативой может послужить использование изолированной программной среды (sandbox).

Антивирусные продукты, которые содержат в своем инструментарии песочницу, обрабатывают все неизвестные или подозрительные программы специальным методом, которые гарантируют, что они не принесут вреда системе. Создается специальная среда, называемая песочницей, которая выглядит для запускаемых внутри приложений как настоящая система. Программы могут свободно управлять объектами только в песочнице, их действия недоступны для реальной системы (например, изменение записей системного реестра). Изолированная программная среда гарантирует, что опасные действия не навредят ОС, запускаемое в ней приложение не может определить, где именно оно выполняется. Если привести пример с внесением изменений в реестр, то приложение пытается прочитать значение записи после сделанных изменений, в это время песочница возвращает измененные значения, несмотря на то, что в действительности системный реестр оказывается нетронут. Существует несколько причин, почему нельзя создать идеальную песочницу и почему некоторые критические действия постоянно блокируются в безопасной среде. Степень эффективности изолированной программной среды определяется возможностью ее распознания со стороны вредоносного ПО. Чем песочница менее заметна запускаемому в ней приложению, тем лучше.

Надежные программы всегда запускаются вне изолированной программной среды, что позволяет им выполнять любые требуемые для нормальной работы операции. Когда на компьютер устанавливается новое неизвестное ПО и изолированная программная среда запрещает какие-либо действия приложению, пользователь может добавить это приложение в список исключений. Некоторые антивирусные программы имеют в своем арсенале песочницу как отдельную функцию поведенческого анализа. Эти продукты позволяют, отключив изолированную среду, по-прежнему контролировать действие программ. Другие антивирусные решения встраивают песочницу в компоненты поведенческого контроля. Также существуют пакеты безопасности, которые позволяют настраивать, в каких случаях действия приложений должны быть автоматически заблокированы, а в каких должно приниматься решение на основании текущих настроек политики безопасности.

Потенциально опасные действия и процедуры (Potentially Dangerous Actions and Techniques)

Потенциально опасные действия, различаемые современными антивирусными решениями могут быть разделены на несколько групп. Мы расскажем о самых основных действиях, контролируемых антивирусами:

Сессия динамического обмена данными (DDE communication) – DDE является межпроцессорным методом связи, позволяющий одновременно запускать две или несколько программ. Серверное приложение, использующее DDE может получать данные от клиентского приложения и отвечать ему. Некоторые приложения, например Internet Explorer, позволяют другим приложениям осуществлять контроль, используя команды динамического обмена. Эта особенность может использоваться вредоносным ПО для маскировки опасных действий под достоверные источники.

Контроль доступа объектной модели программных компонентов (COM Access Control), контроль автоматизации протокола OLE (OLE Automation Control) – технология автоматизации OLE заменяет DDE. Это более расширенный механизм межпроцессного взаимодействия, основанный на объектной модели программных компонентов. Множество важных системных служб обеспечивают интерфейсы для приложений с помощью технологий COM/OLE. Когда интерфейс используется вирусом, складывается впечатление, что мы имеем дело с доверенной службой, а не потенциально опасной.

Клиентские службы вызова удаленных процедур и системы динамических доменных имен, запрос прикладного программного интерфейса системы динамических доменных имен (DNS/RPC Client Services, DNS API Request) – некоторые системные службы, такие как клиент DNS доступны с помощью технологий, называемых вызов удаленных процедур, вызов локальных процедур или расширенный вызов локальных процедур. Эти процедуры используются для межпроцессного взаимодействия. Также как и вышеупомянутые технологии, эти службы могут быть атакованы вредоносным ПО. Мониторинг связанных взаимодействий может предотвратить злонамеренное пользование этими службами.

Контроль программных окон, контроль сообщений Windows (Application Window Control, Windows Messages) – оконные сообщения является другим механизмом межпроцессного взаимодействия, а также одним из наиболее используемых пользовательских графических интерфейсов приложений. Они могут часто подвергаться злонамеренному использованию вредоносным ПО. Используя оконные сообщения, возможно, имитировать основные действия пользователя, например клик кнопкой мыши. Пока приложение имеет графический интерфейс, основанный на технологии оконных сообщений, оно может быть атаковано вредоносным ПО посредством этого метода.

Внедрение кода, внедрение процесса в системную память, межпроцессорный доступ к памяти (Code Injection, Process Memory Injection, Interprocess Memory Accesses) – внедрение кода в другой процесс, запущенный в системе является простым методом выполнения вредоносного кода под маской доверенного процесса. Вирус может быть ознакомлен с ограничениями поведенческого контроля и для обхода защиты может внедрять код в надежный процесс, чтобы иметь возможность произвести вредоносные действия. Защита доверенных процессов от внедрения кода является самой главной в поведенческом анализе современных антивирусных продуктов.

Внедрение библиотек DLL (DLL Injection, Binary Planting) – внедрение библиотеки DLL схоже с внедрением вредоносного кода. Результат успешной атаки идентичен – выполнение вредоносного кода посредством доверенного приложения. Различие в том, что в случае внедрения DLL, целый модуль загружается в подвергающийся атаке процесс, в то время как внедрение кода подразумевает как правило, включение небольшой части кода. Внедрение библиотек является простым приемом для разработчиков вирусов, однако эта методика легко определяется антивирусными программами.

Запуск приложений с поддержкой сетевого обмена данными, запуск процесса, родительское управление процессом (Network-enabled Application Launch, Process Launching, Parent Process Control) – в ОС Windows родительский процесс может контролировать дочерние процессы либо с помощью задания определенных команд, либо используя методы связанные с внутренней функциональностью процесса. Эта особенность представляет еще один метод атаки доверенного процесса вредоносным ПО. Антивирусные программы осуществляют мониторинг цепочки родительских процессов: либо всех запущенных в системе, либо только доверенных.

Завершение процесса (Process Termination) – завершение процесса и схожие виды атак (завершение потока, попытки критического завершения процесса или потока) предполагают частичное повреждение или полное отключение антивирусной защиты. Цели атаки в данном случае – процессы антивируса. Фактический результат успешной атаки зависит от реализации конкретного антивирусного продукта. Атака может привести к нестабильности, зависаниям, критическим ошибкам или отключению некоторых функций безопасности. Некоторые антивирусы могут распознавать повреждение своих компонентов и блокируют ПК для предотвращения дальнейших вредоносных действий.

Низкоуровневый доступ к сети, прямой доступ к сети (Low-level Network Access, Direct Network Access) – большинство антивирусов способны отлично справляться с контролем основного сетевого трафика, такого как веб-серфинг, сообщения e-mail, но появляются проблемы, когда дело касается протоколов специального назначения. Нередки случай, когда антивирусы позволяют взаимодействие с веб-сайтами (при использовании гипертекстового протокола передачи — HTTP) только доверенным источникам, в то время как передача данных посредством протокола управления сетевыми сообщениями (ICMP) происходит бесконтрольно в автоматическом режиме. Таким образом, вредоносные программы, использующие альтернативные методы передачи данных менее уязвимы для современных антивирусных решений.

Прямой доступ к диску (Direct Disk Access) – основной способ доступа к данным на жестком диске включает системные функции, которые работают с файлами и директориями. Ранние версии Windows позволяют приложениям напрямую обращаться к диску и данным на нем. Такой метод доступа к данным на диске позволяет обходить основные способы защиты директорий. На ОС Windows Vista и более поздних ОС Windows, эта процедура ограничена и менее уязвима для вредоносных атак.

Доступ к оперативной памяти, прямой доступ к памяти (Physical Memory Access, Direct Memory Access) – каждый работающий процесс в системе имеет свою собственную память, недоступную другим приложениям по умолчанию. В случаях, когда требуется удаленный доступ к памяти, система делает это возможным с помощью специальных функций. В то же время антивирусная система осуществляет контроль данного правила доступа. Ядро ОС также имеет собственную память, недоступную другим приложениям. Как бы то ни было, в старых ОС Windows была возможность доступа к объекту, который затрагивает всю память, включая область системного ядра. Это позволяло вредоносному ПО обходить основные механизмы доступа к памяти. В Windows Vista и более поздних системах, данная опция запрещена.

Установка драйверов устройств, инициализация драйвера (Device Driver Installation, Driver Load) – Приложения, работающие в ОС Windows имеют некоторые ограничения, особенно касающиеся использования ресурсов аппаратных средств, таких как оперативная память, жесткий диск, устройства ввода и вывода и т.д. Когда приложение стремится использовать аппаратное средство, оно обращается к системному ядру, которое может либо разрешить, либо запретить конкретное действие. Этот механизм отлично работает с программным кодом, работающим в так называемом пользовательском режиме. Код системного ядра в свою очередь работает в так называемом режиме ядра, который позволяет любой доступ к аппаратным средствам без ограничений. Код системного ядра может обходить все виды защиты, включенные в ОС или предоставляемые сторонними программами. Приложение, работающее в пользовательском режиме может загрузить драйвер устройства, код которого работает в режиме системного ядра. Вот почему вредоносные драйвера не должны загружаться, и необходим постоянный контроль за этим. На 64-битных системах Windows этот метод практически непригоден для использования вредоносными программами из-за запроса цифровой подписи каждого драйвера работающего в режиме ядра.

Установка служб (Service Installation) – Системные службы в ОС Windows – специальные программы, которые могут работать, даже когда завершен сеанс пользователя. Они являются более приоритетными по сравнению с обычными приложениями, не требуют прямого взаимодействия с пользователями и могут запускаться автоматически во время загрузки системы. Некоторые службы не имеют своих собственных процессов и размещаются в других схожих службах внутри специальных процессов. Службы являются очень простым способом для вредоносного ПО чтобы закрепиться в системе. Антивирусные программы также обычно имеют одну или несколько служб. Вредоносные программы могут отключить важнейшие компоненты антивируса, если не контролировать постоянно установку системных служб. Более того, Для установки драйверов, работающих в режиме ядра используется тот же интерфейс, что и для установки системных служб.

Доступ к файлу HOSTS – файлу базы данных доменных имен (HOSTS File Access) – HOSTS файл – специальный файл, содержащий соответствия сетевых имен и IP адресов. Говоря общими словами, сетевые имена это домены, а связи между доменом и IP адресом определяются с помощью прокола системных доменных имен. Как бы то ни было, именно файл HOSTS используется для перевода сетевых имен, включая домены, в IP адреса. Таким образом, с помощью файла HOSTS возможно перенаправить домен к произвольному IP адресу. Основной прием вирусов заключается в перенаправлении серверов обновлений антивирусной программы к несуществующим адресам, что парализует возможность обновления антивируса. Другой прием используется для фишинга – перенаправления домена различных электронных платежных системам к вредоносным серверам, которые выглядят идентично оригинальному сайту и осуществления кражи конфиденциальных платежных данных.

Активные изменения рабочего стола (Active Desktop Changes) – ранние версии ОС Windows имели возможность внесения активного содержимого пользователем на рабочий стол. Эта опция позволяла создавать полностью настраиваемые рабочие столы. Активный рабочий стол может злонамеренно использоваться вредоносным ПО под маской доверенного приложения проводника Windows. Windows Vista и более поздние системы не имеют поддержку активного рабочего стола.

Папки автозагрузки и автозапуска (Autoruns, Autostart Locations) – Приложение имеет множество способов для установки в ОС с последующим автозапуском при перезагрузке системы. Некоторые из этих способов позволяют заражать различные системные процессы вредоносной библиотекой DLL, т.е. выполнять внедрение DLL. В общем случае, вредоносные программы используют несколько папок автозагрузки для того, чтобы обосноваться в системе.

Регистрация вводов с клавиатуры, кейлоггинг (Keylogging, Keyboard Logging) – наблюдение за действиями пользователя является еще одной популярной деятельностью вредоносным программ. Методы регистрации клавишного ввода позволяют получить информацию, которую пользователь вводил в другое приложение с помощью клавиатуры. Использование этих методик позволяет воровать пароли, введенные в браузере, почтовом клиенте или клиенте обмена текстовыми сообщениями. Некоторые приемы кейлоггинга основываются на внедрении DLL или захвате оконного интерфейса.

Захват изображений с экрана и логгинг буфера обмена (Screen and Clipboard Logging) – скринлоггинг и регистрация буфера обмена также используется для кражи точной конфиденциальной информации. Выполнение снимков с экрана может быть использовано для кражи данных кредитной карточки, введенных на безопасной веб-странице в браузере. Логгинг буфера обмена позволяет украсть данные, которые пользователь использует для копирования в ОС Windows. Многие пользователи переносят конфиденциальную информацию, такую как пароли через буфер обмена. Обычно это случается, когда веб-приложение запрашивает сложные пароли. С одной стороны, использование сложных паролей является необходимостью, т.к. они менее уязвимы для взлома, но с другой стороны пользователь, использующий подобные пароли в разных приложениях, физически не в состоянии их запомнить и использует программу для хранения паролей или просто текстовый файл для копирования и вставки пароля в соответствующую форму.

Захватчик окон, захват системных событий (Window Hooking, Windows and WinEvent Hooks) – захват оконных сообщений Windows и так называемых системных событий позволяет ОС предложить ряд специализированных прикладных программных функций для программ с целью мониторинга оконных сообщений и сформированных уведомлений о системных событиях. Эти функции также могут быть использованы вредоносным ПО для внедрения зловредных действий, таких как внедрение DLL библиотек или кейлоггинг.

Управление компонентами (Component control)

Также называют: известные компоненты (Known Components)

Каждое приложение использует один или несколько исполняемых модулей, которые иногда называют компонентами. Основной модуль – как правило, файл с расширением .exe, которые предполагает загрузку некоторых динамически связанных библиотек (файлов с расширением .dll), находящихся в той же директории. Основные приложение используют библиотеки ядра системы: Kernel32.dll, KernelBase.dll, ntdll.dll, Advapi32.dll, user32.dll и другие. Множество программ используют сторонние библиотеки, которые устанавливаются в систему вместе с основным программным модулем. Файлы .dll могут загружаться в память либо во время инициализации приложения, либо во время запроса определенной функциональности в приложении.

Таким образом, каждое приложение имеет определенный набор файлов библиотек, которые загружаются в память и от которых зависит его работа. Контроль компонентов (Component Control) определяет эти зависимости и контролирует загрузку модулей в процесс приложения. Когда вредоносное ПО пытается внедрить свою библиотеку DLL в другой процесс, компонентный контроль распознает и запрещает это опасное действие.

Компонентный контроль также гарантирует неприкосновенность достоверных безопасных модулей. Любые попытки изменить файлы надежных известных модулей могут быть распознаны и заблокированы. Это относится как к главным исполняемым файлам, так и к файлам динамически связанных библиотек.

Системный щит (System Guard)

Защита переносных мультимедийных устройств (Removable Media Protection)

Основная функциональность современных антивирусных программ по части защиты переносных мультимедийных устройств (USB-флешки, внешние HDD-диски) предполагает отключение функции автозагрузки или автозапуска. Когда переносное устройство включается в компьютер, а его коренная директория содержит файл Autorun.inf, сторонняя программа может запуститься системой. Это может привезти к незаметному заражению компьютера.

Большинство антивирусных решений также определяют специальный набор правил для всех программ, расположенных на переносных устройствах. Предполагаются, что файлы на переносных накопителях могут появиться с других ПК, инфицированных и не оснащенных достаточным уровнем безопасности. Вот почему программы на переносных устройствах считаются по умолчанию потенциально опасными и их действия строго ограничены. Некоторые пакеты безопасности могут распознавать программы с электронной подписью от надежных источников и не ограничивать действия таких приложений.

Самозащита (Self-protection)

Поведенческий анализ также отвечает за одну из самых критических функций – самозащиту антивирусной программы. Любая антивирусная защита может оказаться бесполезной, если вредоносное ПО может отключить ее. Современные антивирусные программы защищают все свои компоненты от вирусной угрозы так чтобы они не могли быть отключены или повреждены. Самозащита предполагает защиту программных процессов и потоков, файлов и директорий, записей реестра и их значений, установленных системных драйверов и служб, интерфейсов COM и других ресурсов, созданных антивирусом и доступных для других процессов в системе.

Предотвращение инфицирования самых важных процессов является жизненно необходимым для любой антивирусной программы. Множество пакетов безопасности полагаются на постоянные обновления их антивирусной базы. Процесс обновления разрабатывается максимально неуязвимым для вредоносного ПО, чтобы вирус не мог остановить загрузку или установку обновлений или загрузить подменные файлы обновлений.

Самозащита, как правило, включена в основной набор правил поведенческого анализа, которые запрещают управление ресурсами антивирусного продукта. Самозащита может идти отдельно от модуля безопасности, управляющего сторонними программами. Во втором случае компоненты антивирусы лучше защищены, чем любое другое приложение в системе. Оба подхода имеют место в современных антивирусных решениях.

Какие функции выполняет превентивная защита

Превентивные способы защиты предприятия

Рыбаков Сергей Анатольевич

О способах и технологиях недружественного захвата в настоящее время написано достаточно много как в периодике, так и в монографической литературе. Однако вопрос защиты от поглощений остается недостаточно разработанным в правовой литературе и публицистике.
Проблема состоит еще и в том, что подавляющее большинство российских компаний пребывают в несокрушимой уверенности в своей неуязвимости или в отсутствии потенциального интереса агрессоров к своему предприятию как возможному активу, что влечет пренебрежение элементарными средствами корпоративной защиты и правовой профилактики. Однако на деле это нередко приводит к тому, что собственники компании начинают беспокоиться о защите только тогда, когда атака уже успешно проведена и контроль над предприятием ими уже полностью утрачен.
В целом защиту от поглощения можно определить как систему правовых, административных, социальных и иных механизмов, препятствующих перехвату контроля над предприятием агрессором.
Какие же основные инструменты может использовать компания, которая стала объектом рейдерской атаки или может стать им в ближайшем будущем?
Систему защитных мер можно условно разделить на два основных блока:
• стратегические, или превентивные действия, направление на создание надежной корпоративной защиты и минимизацию рисков недружественного захвата;
• тактические, или оперативные действия, основная цели которых – не допустить перехвата контроля над бизнесом в условиях начавшейся атаки агрессора.
Рассмотрим более подробно превентивные меры, так как именно они имеют ключевое значение при обеспечении надежной корпоративной защиты. К числу таких мероприятий относятся:

1. Мониторинг информационной среды вокруг предприятия
Возникновение нежелательного интереса к бизнесу со стороны третьего лица обычно проявляется в ряде характерных сигналов, при своевременном обнаружении которых владелец бизнеса может принять необходимые меры для отражения атаки.
К числу таких характерных индикаторов можно отнести попытки скупки части акций компании, требования миноритариев о проведении внеочередных собраний акционеров или предоставлении документов, оспаривание акционерами сделок компании, неожиданные проверки контрольно – надзорных органов, факты поглощений в данном регионе или отрасли и т.д.
Для того, чтобы вовремя обнаружить и оценить возможные признаки угрозы недружественного поглощения и необходим тщательный мониторинг значительного количества факторов, связанных с деятельностью компании. Проведение такого систематического мониторинга должно быть продуктом совместной деятельности службы экономической безопасности и юристов предприятия. Ведь чем раньше удастся обнаружить, что к предприятию проявляется интерес со стороны потенциального агрессора, тем больше возможностей для защиты.

2. Правовая диагностика
Уже избитая истина, что началом любого недружественного поглощения является сбор и анализ информации о компании-цели – о ее корпоративной структуре, основных акционерах, менеджменте, неформальных лидерах, активах, партнерах, контрагентах, административном ресурсе и т.д. Объем и качество собранной информации на 90 % определяет в дальнейшем стратегию поглощению, которую изберет агрессор.
Таким образом, потенциальный агрессор проводит своеобразную диагностику компании – цели, причем ее собственники и менеджмент часто и не догадываются об этом.
При выстраивании превентивной обороны предприятия можно видеть зеркальное отражение таких действий агрессора со стороны защиты (что вообще характерно для корпоративных войн), так как первым этапом любой корпоративной защиты служит проведение глубинной диагностики компании. Предметом диагностики являются такие вопросы, как история приватизации (если таковая была) или история приобретения контроля над предприятием действующим собственником, структура уставного капитала, система и компетенция органов управления, история общих собраний акционеров (участников) и решений советов директоров, анализ положений устава и иных корпоративных документов в части избрания органов управления и принятие ими решений, основные сделки компании за последние годы, соблюдение трудового законодательства, правовой режим недвижимости и иных основных активов (имущества), кредиторская и дебиторская задолженность, и многое другое.
В результате диагностики определяются основные «болевые точки» компании и разрабатывается программа действий по их устранению или минимизации.

3. Реструктуризация предприятия
Для слабо защищенного бизнеса характерна консолидация владельческих, управляющих и операционных функций в одной компании, что упрощает задачу агрессору – чтобы эффективно поглотить бизнес, ему нужно осуществить перехват управления в одной единственной компании.
Поэтому одной из самых эффективных превентивных мер, направленных на защиту предприятия от недружественного поглощения, является реструктуризация. В целях защиты под реструктуризацией понимается изменение внутренней структуры бизнеса путем выделения обособленных подразделений компаний в независимые юридические лица, формальное изменение собственников активов или их диверсификация, использование механизмов перекрестного владения и т.д.
Главным элементом реструктуризации является выделение владельческого, производственного, управленческого и торгового блоков деятельности компании, когда данные функции выполняет не одна структура, а четыре самостоятельных юридических лица (так называемая «схема четырех углов»).
При этом владельческая компания является собственником главных активов бизнеса и практически не участвует в текущей хозяйственной деятельности, что значительно снижает риски возникновения неконтролируемой кредиторской задолженности, судебных споров и т.д.
Производственные компании пользуются активами на основании договора аренды, но также закрыты от внешней среды. Наиболее активную деятельность на рынке осуществляет торговая компания (чаще всего торговый дом), отвечающее за реализацию продукции на рынке.
Наконец, ядром схемы «четырех углов» является управляющая компания, концентрирующая профессиональных управленцев, финансистов и юристов. Основные функции этой компании – ведение бухгалтерского учета всех компаний группы, правовое сопровождение, оптимизация финансовых потоков и общая координация.
Причем основным владельцем акций или долей участия во владельческой компании и других компаниях чаще всего выступает некоммерческое партнерство, в состав которого входят основные владельцы бизнеса и один или несколько «свадебных генералов» из бизнес – элиты или органов власти.
Реализация такой реструктуризации позволяет решить сразу несколько задач: вывести из зоны риска основные производственные активы бизнеса, оптимизировать финансовые потоки и обеспечить защиту непосредственно владельцев бизнеса.

Так, одной из превентивных мер защиты кондитерской фабрики в Нижегородской области была выбрана реструктуризация. Внутренние отделы были преобразованы в несколько самостоятельных компаний(названия условные): ООО «Поставщик», отвечающее за поставку сырья на фабрику; ООО «Торговый дом», занимавшееся реализацией продукции. Данные организации взаимодействовали с внешней средой опосредованно, через компанию – фильтр. Также было организована автономная некоммерческая организация «Бухгалтерская компания», занимавшаяся ведением бух. учета и оптимизацией финансовых потоков всей группы компаний. Все производственные активы были сосредоточены в ОАО «Материнская компания». Контрольные пакеты акций (долей участия) во всех участниках группы компаний принадлежали некоммерческому партнерству, в состав которого входили 3 собственников бизнеса, 1 лояльный представитель силовых структур и 1 широко известный врач. Причем в уставе партнерства было регламентировано, что принятие решений по ряду вопросов (в частности, по вопросу отчуждения акций или имущества одной из компаний группы) принимается участниками партнерства единогласно при невозможности заочного голосования, что блокировало для агрессора, связанного с криминальными кругами, возможность адресного давления на одного из партнеров бизнеса.

4. Изменения учредительных и иных документов компании
Все противоречия, пробелы и недостатки таких внутренних документов, как устав и внутренние положения об органах управления, всегда умело используются агрессорами для достижения своих целей. Характерные недостатки таких документов на практике – противоречия императивным нормам закона, излишние процедурные обременения, отсутствие должного регулирования сложных корпоративных аспектов.
Несущественные на первый взгляд ошибки или неясности в основных корпоративных документах практически всегда становятся юридической платформой для действий агрессора по перехвату корпоративного управления.
В связи с этим принципиально важно «прописать» в учредительных документах положения, связанные с проведением и принятием решений внеочередного собрания акционеров (участников), процедурой образования и досрочного прекращения полномочий единоличного исполнительного органа организации, полномочиями исполнительного органа, совершения крупных сделок и сделок с заинтересованностью, совершения сделок с определенными видами активов организации (напр., основными средствами, недвижимым имуществом и т.д.)
Именно эти позиции учредительных и внутренних документов становятся первым защитным барьером при попытке перехвата корпоративного управления со стороны агрессора.

У крупного предприятия (ОАО) в Воронежской области возникли существенные проблемы, связанные с корпоративным управлением – конфликт основных акционеров с генеральным директором привел к досрочному прекращению его полномочий на основании решения общего собрания акционеров, проведенного с нарушением процедуры. Одновременно ряд других сигналов, например, покупка от имени внешней инвестиционной компании 7 % акций миноритариев, ряд контрольных мероприятий со стороны государственных органов и т.д., позволяли сделать вывод о подготовке перехвата управления на заводе.
В результате были приняты защитные меры, связанные с блокированием скупки акций и формированием консолидированного пакета акций на основе схемы «перекрестного владения», а также внесены изменения в Устав, касающиеся перераспределения полномочий между Общим собранием акционеров и Советом директоров (состоящего из основных акционеров) в пользу последнего.
В ведение Совета директоров перешли следующие полномочия:
• образование единоличного исполнительного органа общества (генерального директора) и досрочное прекращение его полномочий (п. 3 ст. 69 ФЗ «Об акционерных обществах»);
• обязательное предварительное одобрение Советом директоров сделок с определенными видами имущества завода: недвижимостью, долями участия в других организациях, векселями и т.д.

5. Защита информации
В данный блок защитных действий входят разработка и внедрение положения о защите конфиденциальной информации компании (в нем может определяться порядок предоставления документов и информации любым третьим лицам, общение с прессой и т.д.), подписание с топ – менеджерами индивидуальных договоров о неразглашении конфиденциальной информации с обязательным указанием серьезных имущественных санкций в случае их нарушения, введение дополнительной защиты сервера и внутренней информационной сети компании и т.д.
В качестве правовой основы для таких действий собственника компании может использоваться Федеральный закон от 29.07.2004 г. № 98 – ФЗ «О коммерческой тайне», регулирующий отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации и охраной ее конфиденциальности, а также определяет сведения, которые не могут составлять коммерческую тайну.

6. Создание консолидированного пакета акций (долей участия) и схемы «перекрестного владения»
Классической для недружественных поглощений 2000 – 2002 г. являлась следующая картина: у компании – цели существует «рыхлый» уставной капитал, в котором при отсутствии мощного консолидированного пакета, принадлежащего владельцу бизнеса или топ — менеджменту, значительное количество акций распылено среди миноритариев, большинство из которых являются действующими или бывшими членами трудового коллектива. В данной ситуации рейдеры просто проводили активную скупку акций у миноритариев, которые с радостью избавлялись от ненужных им «бумажек». В итоге за короткие сроки формировался не менее чем 30 % пакет акций, позволяющий агрессору провести повторное внеочередное собрание акционеров и осуществить перехват управления предприятием.
В настоящее время для столичных предприятий такое положение для акционерного капитала уже редкость, однако в регионах нередко можно встретить на крупных промышленных предприятиях такую же дробную структуру уставного капитала, которая создает великолепный плацдарм для начала корпоративной атаки.
Что же делать собственнику или топ- менеджменту бизнеса в такой ситуации? Ответ вроде бы прост и лежит на поверхности – скупить акции у миноритариев. Но зачастую это весьма капиталоемкий процесс, особенно учитывая возможность резкого возрастания рыночной стоимости акций в случае их целенаправленной скупки, а свободные финансовые ресурсы для этих целей можно найти далеко не всегда.
Наиболее распространенной корпоративной технологией, позволяющий решить данную проблему, является конструкция перекрестного владения акциями. Суть ее в следующем: компания (структура A) создает дочернее общество (структуру B) с преобладающей долей участия в уставном капитале (более 50 процентов акций или долей участия), а в качестве остальных учредителей дочерней структуры выступают миноритарии компании А, которые вносят в качестве вклада в уставной капитал принадлежащие им акции. Основной трудностью, конечно же, является привлечение миноритариев в дочернее общество, но эту задачу на практике также можно решить с использованием прессы, адресной работы с миноритариями, установлением привлекательной системы дивидендов в дочернем обществе и т.д.
Таким образом достигаются две важнейшие цели: во – первых, у контролируемой дочерней компании консолидируется существенный пакет акций материнской компании, который в совокупности с акциями собственника бизнеса формирует желаемый контрольный пакет акций.
Во – вторых, материнская компания в лице единоличного исполнительного органа может принимать «нужные» решения на общих собраниях акционеров (участников) дочерней компании по всем ключевым вопросам, а дочерняя компания в лице контролируемого генерального директора обеспечивает принятие таких же решений на общих собраниях головной компании.
Таким образом, формируется закрытая корпоративная конструкция, некая «вещь в себе», взломать которую с использованием полностью легальных методов крайне сложно.

Так, руководством агропромышленного предприятия в Новосибирской области было получено предложение от московской финансово – промышленной группе о выкупе контрольного пакета акций. После отказа потенциальный инвестор перешел к агрессивным действиям с использованием судебного ресурсов и. На момент возникновения конфликта топ – менеджерам сложности принадлежало около 37 % акций, остальные были распределены среди миноритариев. В течение 2 недель руководством компании был размещен ряд статей в местной прессе о возможной скорой «гибели» промышленности региона вследствие столичной экспансии, организован репортаж в местных новостях «с поля боя» и проведены собрания всех цехов предприятия (в среднем по 50 человек на собрании,, тогда как трудовой коллектив насчитывал более 1500 чел.), на которых в различных версиях излагался лозунг «непобедимость в единстве».
Одновременно была создана дочерняя компания, куда с максимальной публичной презентацией действующее и бывшее руководство предприятия вложили свои акций в качестве вклада в уставной капитал. В течение менее чем одного месяца были поданы заявки от подавляющего большинства акционеров – работников о вступлении во вновь созданную дочернюю структуру, в результате был сформирован суммарный 79 % пакет акций головного предприятия, принадлежащий дочерней компании.

7. Правовая защита основных активов (имущества)
Как правило, в российской практике конечной целью агрессора является получение контроля над каким – нибудь привлекательным активом, чаще всего объектом недвижимости, и гораздо реже захватчика привлекает работающий бизнес как таковой. В связи с этим в комплексе превентивных защитных мер одну из ключевых позиций занимают меры по правовой защите основных имущественных активов компании.
В качестве основных технологий здесь можно использовать концентрацию основных активов во владельческой компании, практически не участвующей в текущей деятельности; также эффективной мерой является обременение имущества договором долгосрочной аренды, включающий в себя серьезные штрафные санкции за одностороннее изменение или расторжение договора аренды арендодателем, или залогом, что создает невозможность для потенциального агрессора получения желаемого полного контроля в правовом смысле над активом и значительно увеличивает бюджет недружественного поглощения.
Также внимание следует обратить на правовую фиксацию прав компании на имущество.
Особенно это касается недвижимого имущества, права на которое должны быть зарегистрированы в соответствии с требованиями Федерального закона от 21.07.1997 г. № 122 — ФЗ «О государственной регистрации прав на недвижимое имущество и сделок с ним». Если этого не сделано, недвижимость остается во многом подвешенной в воздухе в воздухе, и не исключена ситуация, что законный собственник имущества через некоторое время узнает, что права на объект недвижимости официально зарегистрированы на имя совершенно иной компании, подконтрольной агрессору, а сама недвижимость несколько раз перепродана новым собственником.
То же самое можно сказать в отношении товарного знака и иных объектов исключительных прав, о защите которых российские предприниматели стали задумываться только в последнее время. Согласно установленной процедуре товарный знак подлежит регистрации в Роспатенте и правовообладателем его является то лицо, которое раньше других подало заявку на регистрацию и получило соответствующее свидетельство.

Так, руководством крупного мебельного комбината в Московской области были получены неофициальные данные о возможности начала корпоративной атаки на предприятие в ближайшее время. По заказу руководства группой юристов в максимально сжатые сроки был проведен анализ корпоративной структуры и документов компании и определены возможные направления удара со стороны агрессора – оспаривание легитимности избрания единоличного исполнительного органа общества и отсутствие государственной регистрации прав на крупные объекты недвижимости. В результате диагностики оперативно был предпринят ряд защитных мер, в том числе проведена государственная регистрации права собственности на недвижимое имущество и заключен договор долгосрочной аренды данного имущества с зависимой компанией на 30 – летний срок. Одновременно ряд других ликвидных активов — право на товарный знак, права требования были «выведены» в другую подконтрольную компанию на основании лицензионного договора и договорам цессии (уступки прав).

8. Управление кредиторской задолженностью
Просроченная и плохо управляемая кредиторская задолженность компании — цели нередко становится главным отправным пунктом в начале корпоративной атаки агрессора. Существующие права требования задолженности выкупаются агрессором со существенным дисконтом у кредиторов предприятия, причем в силу п.2 ст. 382 ГК РФ для перехода к другому лицу прав кредитора не требуется согласие должника.
В дальнейшем агрессор обращается с иском в суд и на основании полученного исполнительного листа накладывает арест и обращает принудительное взыскание на основные активы компании, или возбуждает процедуру банкротства в отношении предприятия.
Чтобы предотвратить это, собственнику бизнеса целесообразно сделать как минимум две вещи:
Во – первых, ввести в практику постоянный мониторинг кредиторской задолженности и активную адресную работу с крупными и средними кредиторами предприятия.
Во – вторых, создать контролируемую кредиторскую задолженность головной компании на одну или несколько подконтрольных компаний. Для этого возможно использовать договоры об оказании консультационных, рекламных и других услуг, посреднические договора комиссии или агентирования, договор поручительства, договор займа и конечно же, векселя.
Осуществление этих мер серьезно осложняет жизнь потенциальному агрессору, который даже при перехвате управления столкнется с необходимостью вкладывать в поглощение дополнительные ресурсы, не предусмотренные бюджетом захвата. Кроме того, при самом мрачном развитие событий – банкротстве, наличие контролируемой кредиторской задолженности позволит собственнику компании получить большинство на собрании кредиторов в процессе наблюдения, сформировать нужный совет кредиторов, избрать нужного внешнего или конкурсного управляющего, заблокировать невыгодные решения представителей агрессора и т.д.

9. Работа с топ-менеджментом, работниками и партнерами компании
Практически в любой компании имеется какой – нибудь актуальный или потенциальный конфликт, например, конфликт между основными акционерами компании, конфликты между акционерами и менеджментом, конфликты между менеджментом и работниками и т.д.
Любой из указанных конфликтов, если он достаточно серьезен, сыграет на руку агрессору, который постарается максимально активизировать его и использовать в своих целях. Участвуя в развязывании конфликта, агрессор может привлечь на свою сторону одну из конфликтующих сторон или получить все необходимую ему информацию.
Исходя из этого крайне важной является систематическая адресная работа собственника с топ – менеджментом в части мотивации и четкого определения границ полномочий, работа с трудовым коллективом и взаимодействие с профсоюзным органом для создания лояльной к существующему владельцу бизнеса корпоративной атмосферы. Не менее важно сделать своими союзниками на случай начала корпоративной войны основных партнеров и контрагентов компании, поведение которых нередко является одним из определяющих факторов в процессе конфликте.

В качестве основного вывода можно высказать следующий тезис: если Ваши слабые стороны находит потенциальный агрессор в процессе подготовки атаки и определения стратегии будущего поглощения, их оперативное устранение становится крайне затруднительным и во всяком случае связано с затратами огромных ресурсов. Наиболее оптимальным решением является проведение превентивной диагностики собственного предприятия с привлечением профессионалов, в результате которой можно будет выявить слабые места в корпоративной структуре и выстроить надежную систему корпоративной защиты.
Если в дальнейшем в ходе сбора информации о предприятии – цели агрессор выявит отсутствие значимых пробелов и уязвимых мест, то высока вероятность того, что он отступит, так и не начав нападения.

Часто задаваемые вопросы по темам

Антивирус Dr.Web — это целый комплекс программ (модулей), каждый из которых отвечает за свой «участок обороны» вашего компьютера. Удаление (отсутствие) или отключение хотя бы одного компонента защиты значительно снижают надежность антивирусной защиты в целом, поэтому мы настоятельно советуем не отключать без крайней надобности ни один из модулей.

Вспомогательными программами в составе комплексного антивируса являются Утилита автоматического обновления и Планировщик.

Dr.Web только удаляет троянские программы? Он их не лечит?

Для ответа на этот вопрос следует понимать, в чем разница между объектом, зараженным вирусом, и вредоносным программным обеспечением.

Как правило, вирус добавляет (дописывает свой код) к заражаемому файлу, и, таким образом, инфицированный файл состоит собственно из «здоровой» части и добавленной к нему зараженной. Вместе они представляют собой инфицированный вирусом файл. Большинство таких файлов антивирус Dr.Web может лечить (и лечит). Причем речь идет не о «лечении вируса», а об «излечении файла», инфицированного вирусом.

Вредоносное программное обеспечение, ВПО (англ. malicious software) само по себе является полноценной компьютерной программой, поэтому для него не предусмотрено лечение — только удаление. В некоторых случаях можно говорить о возможности лечения системы (но не ВПО), которое заключается, в частности, в удалении найденной угрозы, а также в восстановлении испорченных объектов.

У меня есть подозрение, что ко мне на компьютер пробрался вирус. Как можно запустить сканер?

Есть несколько способов запуска сканера.

Найдите на Рабочем столе иконку с паучком на зеленом фоне — Сканер Dr.Web. Запустите сканер двойным кликом по иконке.
Откройте меню Dr.Web (правый клик по значку антивируса в нижнем правом углу экрана) и выберите пункт Центр безопасности. Далее выберите пункт Файлы и сеть, затем Сканер. Выберите нужный режим проверки: быстрая, полная или выборочная.
Для проверки конкретного объекта (файла или папки) щелкните по нему правой кнопкой мыши. В открывшемся контекстном меню выберите пункт Проверить с Dr.Web с иконкой в виде черного паучка на сером фоне. Сканер немедленно запустится, и файл будет проверен.

В настройках сканера есть действие над подозрительными и неизлечимыми файлами — «Перемещать в карантин». Такие файлы перемещаются куда-то на моем же компьютере? То есть он остается зараженным?

Действие «Переместить» для подозрительных и неизлечимых объектов означает перемещение файла в специальную карантинную папку. Вместе с перемещением файл теряет свое расширение. Такие действия означают фактическое «разоружение» вируса, делают его недееспособным и, следовательно, безопасным. В дальнейшем вы можете открыть Менеджер карантина (Центр безопасности → Инструменты → Менеджер карантина) и удалить файлы, если они вам не нужны.

Можно ли отключить антивирусный почтовый сторож SpIDer Mail, ведь сканер тоже поверяет почтовые файлы?

Сканер Dr.Web действительно может обнаруживать вирусы в почтовых ящиках некоторых форматов, однако почтовый сторож SpIDer Mail имеет перед ним ряд преимуществ:

Далеко не все популярные форматы почтовых ящиков поддерживаются Сканером Dr.Web, а при использовании почтового сторожа SpIDer Mail зараженные письма даже не попадают в почтовые ящики;
Сканер Dr.Web проверяет почтовые ящики, но только по запросу пользователя или по расписанию, а не в момент получения почты, причем данное действие является ресурсоемким и занимает значительное время.

Таким образом, при настройках всех компонентов Dr.Web по умолчанию почтовый сторож SpIDer Mail первым обнаруживает и не допускает на компьютер вирусы и подозрительные объекты, распространяющиеся по электронной почте. Его работа весьма экономична с точки зрения расхода вычислительных ресурсов; остальные компоненты могут не использоваться для проверки почтовых файлов.

Я пользуюсь очень редкой почтовой программой. Защищает ли меня в таком случае один из компонентов антивируса — SpIDerMail?

Почтовый сторож SpIDer Mail будет проверять как входящую, так и исходящую почту на вашем компьютере независимо от того, какой почтовый клиент используется.

Настройки

Антивирус блокирует доступ в Интернет, без антивируса доступ есть

Возможная причина проблемы — некорректные настройки Брандмауэра Dr.Web. Вы можете самостоятельно изменить их или сбросить в значения по умолчанию.

Чтобы изменить настройки:

См. подробнее по ссылке.

Чтобы сбросить настройки:

Внимание! При выполнении этого действия сбросятся пользовательские параметры всех компонентов Dr.Web, их потребуется настроить заново.

После этого при попытке выйти в интернет могут появляться запросы от Брандмауэра (создать правило, запретить однократно, разрешить однократно). Создайте разрешающие правила для нужных вам приложений, нажав Создать правило → Разрешить → OK.

Подробнее об обучении Брандмауэра читайте в документации.

Разрешите изменение настроек (перейдите в административный режим работы) — по умолчанию возможность изменения настроек заблокирована. Для разблокировки нажмите на значок замка (Административный режим) в левом нижнем углу окна. Если у вас установлен пароль для доступа к изменению настроек, укажите его.

Значок в левом нижнем углу окна изменит вид на .

Нажмите на значок шестеренки в правом верхнем углу окна. В разделе Общие под пунктом Управление настройками нажмите на кнопку Изменить. В открывшемся списке действий выберите Восстановить настройки по умолчанию.

Если сброс настроек изменит язык интерфейса антивируса, в том же разделе настроек Общие (General) кликните по списку Language и выберите нужный язык.

Закройте окно настроек.

Как сбросить настройки антивируса?

Подробнее об обучении Брандмауэра читайте в документации.

Разрешите изменение настроек (перейдите в административный режим работы): по умолчанию возможность изменения настроек заблокирована. Для разблокировки нажмите на значок замка (Административный режим) в левом нижнем углу окна. Если у вас установлен пароль для доступа к изменению настроек, укажите его.

Значок в левом нижнем углу окна изменит вид на .

Закройте окно настроек.

Как настроить Dr.Web для обеспечения удаленного доступа к защищаемой системе

Если у вас установлен Dr.Web версии 11.5 для ОС Windows:

Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Нажмите значок замка (Административный режим), разрешите запуск приложения.
Нажмите значок шестерёнки (Настройки), затем выберите пункт Основные → Самозащита.
Переведите переключатель Запрещать эмуляцию действий пользователя в положение Откл.

Если у вас установлен Dr.Web версии 12 для ОС Windows:

Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Выберите Центр Безопасности (Как войти в Центр Безопасности?), затем нажмите значок замка (Административный режим), чтобы разрешить изменение настроек.
Нажмите значок шестерёнки (Настройки) в правом верхнем углу открывшегося окна, затем выберите пункт Самозащита.
Переведите переключатель Запрещать эмуляцию действий пользователя в положение Откл.

Также снять опцию можно в момент установки антивируса в разделе Параметры установки, закладке Дополнительные опции.

Как сбросить настройки программы в состояние по умолчанию?

ПО Dr.Web версии 11.5 для конечных станций на ОС Windows:

Нажмите на значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Нажмите на значок замка (Административный режим), разрешите запуск приложения.
Нажмите на значок шестерёнки (Настройки), далее нажмите на кнопку Изменить, выберите пункт Сбросить настройки. Нажмите OK, чтобы подтвердить сброс.
После сброса настроек язык интерфейса антивируса изменится на английский. Чтобы вернуть русский язык интерфейса, выберите Main→ Advanced. В списке Language нажмите пункт English, выберите пункт Russia (Русский), закройте окно.

Для версии Dr.Web для Windos 12:

Нажмите на значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Выберите Центр безопасности, затем нажмите на значок замка (Административный режим), разрешите запуск приложения.
Нажмите на значок шестерёнки (Настройки), затем в разделе Управление настройками нажмите на кнопку Изменить и выберите пункт Восстановить настройки по умолчанию. Нажмите OK, чтобы подтвердить сброс.

Включение отправки уведомлений о событиях на почту

Если у вас установлен Dr.Web версии 11.5 для конечных станций на ОС Windows, см. PDF.

Если у вас установлен Dr.Web версии 11.5 для ОС Windows:

Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана).

Войдите в Центр безопасности (Как войти в Центр Безопасности?). Нажмите на замок .

В правом верхнем углу окна программы нажмите значок шестерёнки .

Откроется окно с основными настройками программы. В левой части окна выберите пункт Уведомления:

В окне настроек уведомлений включите опцию Высылать уведомления на электронную почту.

В появившемся окне введите адрес электронной почты, на который вы хотите получать уведомления:

Нажмите Далее.

В открывшемся окне укажите данные учетной записи, от которой будут отправляться уведомления.

Если список почтовых серверов содержит необходимый сервер, выберите его, а затем укажите логин и пароль своей учетной записи.

Если список почтовых серверов не содержит необходимого сервера, выберите Указать вручную и в открывшемся окне заполните необходимые поля:

Укажите адрес почтового сервера, который Dr.Web должен использовать для отправки почтовых оповещений.

Укажите порт почтового сервера, к которому Dr.Web должен подключаться для отправки почтовых оповещений.

Укажите имя учетной записи для подключения к почтовому серверу.

Укажите пароль учетной записи для подключения к почтовому серверу.

Установите этот флажок, чтобы при передаче сообщений использовалось SSL/TLS-шифрование.

Установите этот флажок, чтобы авторизация производилась по протоколу NTLM.

Нажмите ссылку Отправить тестовое сообщение, чтобы проверить, что учетная запись указана верно. Сообщение придет на тот адрес, с которого должны отправляться уведомления.

Нажмите Далее.

Введите код подтверждения, который придет на электронный адрес, ранее указанный для получения уведомлений. Если в течение 10 минут код не придет, нажмите кнопку Отправить код повторно. Без ввода кода уведомления на этот адрес отправляться не будут.

Чтобы изменить адрес электронной почты и другие параметры, в окне настроек уведомлений нажмите Изменить и повторите все действия, начиная с шага 5.

Подробнее о настройке уведомлений можно прочитать в официальной документации.

Могу ли я отключить уведомления о необходимости перезагрузки после получения обновлений?

В ходе обновления антивирус может загружать как обновления вирусных баз, так и файлы самого антивируса. В последнем случае применение обновлений может оказаться невозможно без перезагрузки операционной системы (здесь можно прочитать, почему так происходит). По этой причине отключить уведомления о необходимости перезагрузки в настройках антивируса нельзя.

Если уведомление остается после перезагрузки, самая вероятная причина — особенности алгоритма запуска разных версий ОС Windows. Пожалуйста, оформите запрос в службу технической поддержки и следуйте рекомендациям специалистов.

! Выбор перехода в спящий режим и смена учетной записи не приводят к перезагрузке системы и ее обновлению.

! Нажатие кнопки выключения планшета или ноутбука переводит его в спящий режим. Для применения обновлений необходимо его перезагрузить любым доступным способом, в том числе выбрав вариант перезагрузки в уведомлении антивируса.

Постоянно появляется сообщение о необходимости перезагрузки, хотя я уже перегружался. Что делать?

Наиболее вероятная причина — включенная функция быстрого запуска (в версиях Windows 10 и выше быстрый запуск включен по умолчанию).

Начиная с Windows 8.0, выключить ПК и вновь включить его недостаточно — важно именно выполнить перезагрузку. Это критически важный момент, поскольку зачастую пользователи после установки обновления просто выключают ПК на ночь и утром включают снова. Напоминание о необходимости обновления продолжает появляться, и пользователь воспринимает его как ошибку. На самом деле в Windows 8.0 и более поздних версиях был изменен алгоритм запуска — при выключении ПК Windows сохраняет «образ» системы, используя его при следующем включении. Это позволяет значительно сократить время запуска ПК, поскольку загрузки драйверов (что важно в случае с антивирусом) не происходит.

Чтобы отключить быстрый запуск:

Переключившись на рабочий стол, нажмите сочетание клавиш Win+S и в открывшейся строке поиска введите слова Электропитание или Выбор схемы управления питанием.
Нажмите на надпись Электропитание.
В левой части окна выберите любой из пунктов (например, Действие кнопки питания).
Снимите флажок с пункта Включить быстрый запуск (рекомендуется). Если данный пункт неактивен, в верхней части нажмите Изменение параметров, которые сейчас недоступны.
Выполните перезагрузку системы (именно перезагрузку, не выключение, так как в Windows 8.0+ это не одни и те же действия, они приводят к разным результатам).

Включение проверки шифрованного трафика

Как восстановить пароль к антивирусу Dr.Web?

Инструкция предназначена для пользователей Dr.Web Security Suite и Антивируса Dr.Web актуальных версий для платформы Windows.

Используемые в продуктах Dr.Web технологии рассчитаны на то, чтобы пользовательские данные, в том числе пароль, не могли быть получены злоумышленниками. Пароль нигде не хранится в открытом виде, поэтому восстановить его нельзя.

Компания «Доктор Веб» также не собирает личные данные пользователей и поэтому не может восстановить ваш пароль через обращение в службу поддержки.

Для того чтобы вы могли получить доступ к настройкам антивируса, используемый вами продукт необходимо переустановить . При этом сделанные вами настройки, включая пароль, будут потеряны.

#drweb

Полезные подсказки
увидите на

Сохраните ключевой файл Dr.Web (файл с расширением key с информацией о вашей лицензии). Он находится в директории C:\Program Files\DrWeb. Например, поместите его на Рабочий стол.
Чтобы переустановить Dr.Web, вам потребуется его дистрибутив. Скачайте его в Мастере скачиваний. Укажите свой серийный номер и регистрационный e-mail, нажмите на кнопку Скачать. В открывшемся окне будет уже выбран вариант загрузки для Windows и Android, поэтому вы можете просто нажать на кнопку Отправить. На следующем шаге выберите для скачивания версию:
- 11.5, если вы используете операционную систему Windows XP;
- 12, если вы используете операционную систему Windows Vista и выше.

Dr.Web не поддерживает версии ниже Windows XP.

Скачайте дистрибутив Dr.Web.

Удалите антивирус. При удалении антивируса возникают проблемы. Что делать?

Зайдите в Панель управления, последовательно выбрав Пуск → Найти → Панель управления и далее в зависимости от вида Панели управления — Программы и компоненты либо Удаление программы.

Выберите в списке программ Антивирус Dr.Web или Dr.Web Security Space, нажмите Удалить и следуйте указаниям мастера удаления.

Во время удаления в окне Сохраняемые параметры снимите флажок Настройки.

После завершения удаления используемого вами решения перезагрузите компьютер и снова установите Dr.Web. Ваш ключевой файл будет загружен автоматически.

Если ключевой файл не будет загружен автоматически во время установки, укажите его вручную. Для этого выберите в меню антивируса Лицензии. В открывшемся окне Менеджера лицензий нажмите на кнопку Купить или активировать новую лицензию, далее кликните на надпись или укажите ключевой файл, выберите ранее сохраненный ключевой файл — файл с именем, начинающемся на SL и имеющий расширение .key с рабочего стола.

Как настроить Dr.Web, чтобы он не изменял файл hosts

Файл hosts отслеживается компонентом SpIDer Guard в реальном времени и Сканером во время сканирования. Если файл hosts изменен вручную, антивирус обнаружит в нем угрозу DFH.HOSTS.corrupted и восстановит его в исходное для данной ОС состояние. Чтобы этого избежать, необходимо внести файл hosts в исключения для SpIDer Guard и Сканера, и тогда эти компоненты не будут проверять файл на предмет модификации. Для этого:

Откройте «Центр безопасности» → «Исключения» → «Файлы и папки» и добавьте файл C:\Windows\system32\drivers\etc\hosts, поставив галочки на «Исключить из проверки компонентом SpIDer Guard» и «Исключить из проверки Сканером».

#drweb

Кроме Сканера и SpIDer Guard, файл защищен от изменения компонентом Превентивная защита (начиная с версии 12.0 — Поведенческий анализ). Перед редактированием файла необходимо разрешить соответствующее действие в настройках антивируса. Для этого:

Откройте «Центр безопасности» → «Превентивная защита» → «Поведенческий анализ» и во вкладке «Уровень защиты» переключите параметр «Файл HOSTS» на «Разрешать».

#drweb

Данная настройка открывает доступ к защищаемому объекту, и его можно будет редактировать. После редактирования нужно вернуть значение параметра обратно на «Блокировать».

Важно! Добавив файл hosts в исключения антивируса, вы тем самым позволяете изменять его кому угодно. Поэтому наличие Превентивной защиты Dr.Web, контролирующей попытки изменения системного файла на лету и (при соответствующих настройках) блокирующего их или предупреждающего пользователя, обязательно.

Подробнее о файле hosts вы можете прочитать в этом выпуске проекта «Антивирусная правДА!»

Как настроить параметры уведомлений в программе?

Если у вас установлен Dr.Web версии 11.5 для конечных станций на ОС Windows:

Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Нажмите значок замка (Административный режим), разрешите запуск приложения.
Нажмите значок шестерёнки (Настройки), затем выберите пункт Основные → Уведомления → Параметры уведомлений. Выберите требуемые типы уведомлений (Обнаружена угроза, Критические, Важные, Малозначительные), а также способ доставки уведомлений пользователю (почта, экран).

Категорически не рекомендуется отключать уведомления уровня Обнаружена угроза, Критические и Важные.

Если у вас установлен Dr.Web версии 12 для ОС Windows:

Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Выберите Центр Безопасности (Как войти в Центр Безопасности?), затем нажмите значок замка (Административный режим), чтобы обеспечить доступ к настройкам, разрешите запуск приложения
Нажмите значок шестерёнки (Настройки), затем выберите пункт Основные → Уведомления → Параметры уведомлений. Выберите требуемые типы уведомлений (Обнаружена угроза, Критические, Важные, Малозначительные), а также способ доставки уведомлений пользователю (почта, экран).

Категорически не рекомендуется отключать уведомления уровня Обнаружена угроза, Критические и Важные.

Если для доступа в сеть используется прокси-сервер, нужно ли как-то настраивать процедуру обновления Dr.Web Security Space?

Да, в настройках Dr.Web Security Space вам нужно указать используемый прокси-сервер.

Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
Выберите пункт Центр безопасности (Как войти в Центр Безопасности?), затем нажмите значок замка (Административный режим) в левом нижнем углу открывшегося окна, чтобы обеспечить доступ к настройкам разрешите запуск приложения.
Если у вас установлен пароль для доступа к изменению настроек – укажите его.
Значок в левом нижнем углу окна изменит вид на .
Нажмите значок шестерёнки (Настройки) в правом верхнем углу окна, затем выберите пункт Сеть.
Переведите переключатель Использовать прокси-сервер в положение Вкл. Если ранее параметры прокси-сервера не были настроены, автоматически откроется окно Параметры прокси-сервера. В противном случае нажмите Изменить.
Укажите параметры подключения.

Можно ли изменять параметры настройки Dr.Web Security Space (в частности параметры прокси-сервера) не имея прав администратора?

Нет, нельзя — по соображениям безопасности. Отсутствие ограничений доступа к настройкам привело бы к тому, что злоумышленник мог бы изменить настройки антивируса так, что его работа была бы заблокирована.

Как войти в Центр безопасности?

Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана). Если значок отсутствует, нажмите на кнопку «стрелка вверх».

#drweb

и на открывшейся панели нажмите на значок Dr.Web .

#drweb

! Внешний вид кнопки “стрелка вверх” может отличаться в зависимости от версии операционной системы и ее настроек. Так, например, он может выглядеть как #drweb или #drweb .

Нажмите на пункт Центр безопасности.

#drweb

Если кнопка отсутствует (она может быть скрыта администратором вашей сети), обратитесь к вашему системному администратору или используйте для запуска Центра безопасности кнопку Пуск.

#drweb

Кликните по пункту Dr.Web и в открывшемся списке выберите Центр безопасности.

#drweb

Откроется окно Центра безопасности. Список пунктов может отличаться в зависимости от используемой версии продукта.

#drweb

Откроется окно Центра безопасности. Перечень пунктов и доступных для изменения элементов может отличаться в зависимости от используемой версии продукта и настроек, сделанных администратором сети.

По умолчанию возможность изменения настроек заблокирована. Для разблокировки нажмите на значок замка (Административный режим) в левом нижнем углу окна. Если у вас установлен пароль для доступа к изменению настроек, укажите его.

Значок в левом нижнем углу окна изменит вид на .

Превентивная защита

Что значит сообщение Исполнение неавторизованного кода заблокировано ?

#drweb

Антивирус Dr.Web может не только обнаруживать уже известные вредоносные программы, но и блокировать действие новейших средств, которые используют злоумышленники. Так, Превентивная защита Dr.Web отслеживает обращения всех работающих программ к различным ресурсам компьютера и по специальным правилам выявляет действия, нехарактерные для легитимных программ. В данном случае сообщение свидетельствует о попытке внедрения в работающий процесс некоего кода, что легальные программы делают крайне редко.

Таким образом, Антивирус Dr.Web заблокировал использование злоумышленниками незакрытой на компьютере уязвимости.

Для предотвращения подобных ситуаций необходимо установить все обновления безопасности, выпущенные компанией Microsoft на текущий момент, в системе, где наблюдается срабатывание. После этого следует перезагрузить компьютер.

Также необходимо убедиться, что компоненты Dr.Web обновлены до актуального состояния, а вирусные базы датированы текущим днем.

Для выявления угрозы в настройках Превентивной защиты Dr.Web для пункта Целостность запущенных приложений установите режим Спрашивать, а также включите интерактивный режим защиты от эксплойтов.

Обратитесь в службу технической поддержки. К запросу приложите отчет с системы, на которой установлен антивирус. Для этого щелкните правой кнопкой мыши по значку Dr.Web в трее, откройте Центр Безопасности -> Поддержка drweb drweb , нажмите кнопку «Перейти к мастеру отчетов» и далее «Создать отчет». Дождитесь окончания формирования отчета. Сформируется файл с расширением .zip — прикрепите его к запросу.

Мастер отчетов Dr.Web (приложение dwsysinfo) — специальная утилита Dr.Web для сбора информации о системе. При запуске утилита генерирует zip-архив с журналами событий, XML-документами, файлом HOSTS и другой информацией. Ознакомиться с полным перечнем данных, доступных в отчете, можно по ссылке ссылке.

Веб-антивирус SpIDer Gate

Фильтрует ли Dr.Web трафик при работе через VPN?

Защищенное соединение (в том числе с помощью VPN) предназначено для защиты от перехвата передаваемой информации. Невозможно сделать так, чтобы спецслужбы и мошенники не могли видеть ваши действия, а средства защиты могли. Любая функция, с помощью которой средства защиты получали бы доступ к фильтрации передаваемой информации, немедленно стала бы доступна и злоумышленникам, и спецслужбам. Поэтому если вы защищаетесь от внимания спецслужб и перехвата вашего трафика, то вы автоматически лишаетесь проверки этого трафика средствами защиты антивируса и мошенники получают возможность доставки вам спама и вредоносных программ.

Но пользователь не остается без защиты Dr.Web — все запускаемое на компьютере будет проверено антивирусом, только уже после доставки на ваш компьютер, а не до.

Почему Dr.Web Security Space буквально пожирает трафик? Процесс dwnetfilter потребляет больше интернет-трафика, чем другие программы

На самом деле компонент антивируса Dr.Web Net Filtering Service не потребляет трафик — он его проверяет, пропуская через себя. Сколько приложений обращалось к сети, сколько поступило или было отправлено данных — столько трафика он и обработает.

Технически это выглядит так:

Для обеспечения проверки трафика антивирус устанавливает в защищаемой системе свой фильтр (как прокси-сервер). И этот фильтр должен находиться на входе, чтобы вредоносная программа не обработала трафик первой — например, в целях сокрытия своей активности. Системы стороннего мониторинга также устанавливают аналогичные фильтры для подсчета, но обрабатывают трафик уже после антивируса, так как такие фильтры всегда работают последовательно. Поэтому процесс dwnetfilter и будет виден как главный потребитель трафика.

Dr.Web Net Filtering Service лишь перехватывает другие соединения, не отправляя запросы в сеть напрямую.

Советуем по возможности исключить процесс dwnetfilter из отслеживания вашей программы контроля трафика: нет смысла отслеживать трафик приложений по отдельности и их суммарный трафик через прокси — т. е. через dwnetfilter.

Зависит ли работа SpIDer Gate от моего браузера?

Как веб-антивирус SpIDer Gate влияет на скорость загрузки интернет-страниц?

Никак не влияет — благодаря уникальному антивирусному ядру Dr.Web вы не заметите каких-либо задержек при просмотре веб-страниц и скачивании файлов из интернета.

Как обновляется веб-антивирус SpIDer Gate?

Наряду с другими модулями Dr.Web, SpIDer Gate использует общие вирусные базы и ядро Dr.Web, он обновляется аналогично другим модулям.

Как отключить веб-антивирус SpIDer Gate?

Отключать веб-антивирус SpIDer Gate не следует, так как сейчас множество вредоносного ПО распространяется именно через инфицированные веб-сайты. Существует множество скриптовых вирусов, которые могут нанести вред системе еще до сохранения на жесткий диск (они срабатывают непосредственно в памяти браузера, до (или без) сохранения файла в кэше), и файловый монитор SpIDer Guard обнаружить их не успевает.

Если отключить веб-антивирус все-таки необходимо:

Откройте меню Dr.Web и выберите пункт Центр безопасности. Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт» ). В противном случае нажмите на замок .
Откройте раздел Файлы и сеть. Нажмите зеленый ползунок напротив компонента SpIDer Gate, и компонент будет отключен.

#drweb

Как добавить сайт в исключения Spider Gate для Windows

Откройте меню Dr.Web и выберите пункт Центр безопасности. Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт» ). В противном случае нажмите на замок .
Нажмите на кнопку «Исключения».

#drweb

Подробнее о настройке списка исключений см. в документации.

Родительский контроль

Как настроить исключения для игр в Родительском контроле Dr.Web

#drweb

Хотите узнать, где,
как и чего?
Вперед:

Как ограничить доступ к нежелательным сайтам с помощью Родительского контроля в Dr.Web для Windows?

Щелкните по изображению паучка в системном трее.
Нажмите на кнопку с изображением закрытого замка — система запросит повышение прав доступа.
Ответьте утвердительно и, при необходимости, введите пароль от административной учетной записи. Изображение закрытого замка сменится изображением открытого замка.
Нажмите на кнопку-шестеренку.
В открывшемся окне настроек Dr.Web перейдите на вкладку «Родительский контроль».
В правой части окна выберите учетную запись пользователя, для которой необходимо настроить ограничения.
Нажмите на кнопку «Изменить» в разделе «Интернет».
С помощью раскрывающего списка выберите пункт «Блокировать по категориям».
Отметьте категории нежелательных сайтов, доступ к которым следует ограничить.

Списки сайтов для каждой категории пополняются специалистами компании «Доктор Веб». О том как это происходит рассказывается статья в газете «Московские новости».

Узнайте больше

Как в Dr.Web для Windows предоставить ребенку доступ к отдельным сайтам, которые входят в ту или иную категорию блокировки, или дополнить список блокируемых сайтов?

Перейдите на вкладку Родительский контроль.
В правой части окна выберите учетную запись пользователя, для которой необходимо настроить ограничения.
Нажмите на кнопку Изменить в разделе Интернет.
Выберите режим работы Блокировать по категориям
Нажмите на кнопку Белый и черный списки.
Чтобы исключить сайт из блокировки, добавьте его адрес в белый список.
Чтобы добавить сайт в список нежелательных — добавьте его адрес в черный список.
Если вы хотите, чтобы пользователь имел доступ только к определенным сайтам, — добавьте адреса этих сайтов в белый список и выберите режим работы Блокировать все, кроме сайтов из белого списка.

Популярные поисковики (Google, Yandex) имеют функцию безопасного поиска, которая позволяет исключить из результатов поиска ссылки на сайты с опасным и нежелательным содержимым. Чтобы браузер автоматически включал функцию безопасного поиска, включите одноименную функцию Родительского контроля.

Узнайте больше

Как с помощью Родительского контроля в Dr.Web для Windows ограничить доступ к отдельным файлам или папкам?

Откройте вкладку Файлы и папки и щелкните по выключателю.
Добавьте в список пути к файлам и папкам, а затем выберите подходящий режим доступа.

«Только чтение» означает, что ребенок сможет читать файлы и папки, но не сможет их изменить или удалить;

«Заблокировано» вообще не допустит ребенка к файлам и папкам.

Как защитить настройки Родительского контроля в Dr.Web для Windows от изменения третьими лицами?

Нажмите на кнопку «Пуск» — «Параметры».
Откройте раздел «Учетные записи».
Перейдите в подраздел «Семья и другие люди».
Убедитесь, что учетные записи пользователей, для которых вы настроили ограничения в Родительском контроле, не имеют административных прав.
При необходимости измените права пользователей с «Администратора» на «Обычного пользователя».
Также убедитесь, что вашей административной учетной записи задан непустой пароль. Если пароль все-таки пустой, то нажмите клавиши Ctrl + Alt + Delete и щелкните «Изменить пароль». Введите новый пароль в поля «Новый пароль» и «Подтверждение пароля» и нажмите на кнопку «Отправить».

Как в Родительском контроле в Dr.Web для Windows ограничить время доступа ребенка к Интернету или компьютеру.

Откройте вкладку «Время».
С помощью временной сетки настройте расписание доступа к Интернету и к компьютеру.
Вместо настройки временной сетки можно выбрать режим работы «Интервальное ограничение времени».

Фильтрует ли Dr.Web трафик при работе через VPN?

Для чего предназначен модуль родительского контроля?

Модуль Родительского контроля помогает ограничить доступ пользователей компьютера к определенным сайтам в сети Интернет, локальным файлам или папкам, ресурсам локальной сети, а также к учетной записи компьютера. Администратор компьютера может сам задать список запрещенных сайтов или воспользоваться постоянно обновляемыми тематическими списками, предоставляемыми компанией «Доктор Веб».

Какие сайты можно блокировать модулем Родительского контроля?

Абсолютно любые сайты. Модуль Родительского контроля позволяет ограничивать доступ как к конкретным сайтам или страничкам на сайтах, так и ко всем известным сайтам, содержащим информацию определенной тематики (например, сайтам о наркотиках или оружии, сайтам платных онлайн-игр и т. д.). Блокировка конкретных сайтов задается пользователем, причем как по отдельным адресам, так и по ключевым словам в адресе. Блокировка сайтов по тематике осуществляется автоматически с помощью списков, регулярно обновляемых компанией «Доктор Веб».

Сможет ли мой ребенок отключить модуль Родительского контроля без моего ведома?

Чтобы этого не произошло, включите защиту настроек Dr.Web паролем. Для этого щелкните по значку мини-агента (пауку), который находится в правом нижнем углу экрана, и щелкните по изображению закрытого замка.

При появлении окна контроля учетных записей пользователей нажмите на кнопку «Да» и при необходимости введите пароль администратора.

Щелкните по кнопке вызова окна настроек (шестеренка).

Щелкните по выключателю парольной защиты настроек Dr.Web.

Введите новый пароль в оба поля для ввода и нажмите на кнопку «ОК».

Теперь для любого изменения настроек Dr.Web будет запрашиваться заданный пароль.

Для чего предназначена опция «Локальный доступ»?

На этой вкладке Вы можете ограничить несанкционированный доступ к локальным ресурсам Вашего компьютера — файлам и папкам. Недоступность этих ресурсов для третьих лиц поможет Вам избежать случайного повреждения или удаления данных, а также похищения важной для Вас информации.

Как включить блокировку доступа?

Щелкните по значку мини-агента (пауку), который находится в правом нижнем углу экрана, и щелкните по изображению закрытого замка.

Щелкните по кнопке вызова окна настроек (шестеренка).

Откроется окно настроек Dr.Web. Перейдите в раздел «Родительский контроль» и задайте необходимые ограничения.

Нужный мне сайт блокируется модулем Родительского контроля. Как исключить этот сайт из блокировки?

Щелкните по кнопке вызова окна настроек (шестеренка).

Откроется окно настроек Dr.Web. Перейдите в раздел «Родительский контроль» и щелкните по ссылке «Изменить» для настроек Интернета.

Нажмите на кнопку «Белый и черный списки».

В поле «Белый список» введите адрес нужно сайта и нажмите на кнопку «+», а затем — нажмите на кнопку «ОК».

Адрес сайта будет добавлен в белый список и перестанет блокироваться Родительским контролем.

Как отключить модуль Родительского контроля?

Отключать модуль Родительского контроля не рекомендуется, так как это автоматически разрешает доступ ко всем сайтам и ресурсам. Если все-таки требуется отключить этот модуль, то щелкните по значку мини-агента (пауку), который находится в правом нижнем углу экрана, и щелкните по изображению закрытого замка.

Щелкните по кнопке «Компоненты защиты».

Щелкните по выключателю Родительского контроля. На рисунке ниже показан отключенный компонент Родительского контроля.

На какой адрес можно сообщать о ложных срабатываниях Родительского контроля Dr.Web?

Если Родительский контроль ошибочно блокирует безопасный или пропускает нежелательный ресурс, вы можете сообщить об этом, воспользовавшись ссылкой https://support.drweb.com/new/urlfilter.

Сканер

Какие действия Dr.Web позволяет совершить с вредоносными объектами?

При обнаружении вредоносной программы антивирусом Dr.Web к ней можно применить одно из следующих действий:

Вылечить — инфицированный файл можно попробовать восстановить до исходного состояния.
В большинстве случаев пункт «Вылечить» будет неактивен. Данное действие возможно только для объектов, зараженных известным излечимым вирусом, за исключением троянских программ и зараженных файлов внутри составных объектов (архивов, файлов электронной почты или файловых контейнеров).

Удалить — безвозвратно удалить вредоносный объект (файл, скрипт, почтовое вложение и т. д.).

Переместить в карантин — если вы по каким-то причинам хотите сохранить файл (например, для отправки в вирусную лабораторию «Доктор Веб»), вы можете переместить его в защищённую папку карантина, откуда он уже не сможет навредить ПК.

Игнорировать — не выполнять никаких действий. Этот пункт можно выбрать только если вы полностью уверены, что срабатывание ложное.

Ограничения при обезвреживании угроз:

невозможно лечение подозрительных объектов (т. е. предположительно зараженных или содержащих вредоносный код);

перемещение или удаление объектов, не являющихся файлами (например, загрузочных секторов), невозможно;

любые действия для отдельных файлов внутри архивов, установочных пакетов или в составе писем невозможны — действие в таких случаях применяется только ко всему объекту целиком.

Почему важно периодически проводить антивирусное сканирование?

Важно понимать, что новые угрозы появляются постоянно, и вполне возможна ситуация, при которой вредоносное ПО уже находится на устройстве пользователя, но еще не попало в вирусные базы и еще не скомпрометировало себя какой-либо активностью. Следовательно, файловый монитор SpIDer Guard, задача которого — проверять файлы во время их открытия, запуска или изменения, а также отслеживать запущенные процессы, его не видит.

Обновления вирусных баз выходят несколько раз в сутки. Если в полученных обновлениях содержится информация об угрозах, уже присутствующих в системе, то именно сканирование позволит выявить новые угрозы еще до того, как они проявят себя в системе. Именно поэтому полное сканирование ПК требуется проводить периодически — например, раз в неделю.

Dr.Web рекомендует

Настройте сканирование по расписанию, не реже одного раза в неделю. Пусть проверка проводится в удобное для вас время — например, когда вы не пользуетесь компьютером.

Как включить сканирование по расписанию?

Используйте стандартный планировщик задач Windows.

Настройка расписания сканера для Windows 8/8.1/10:

Нажмите последовательно на клавиши «Windows» + «X».
В открывшемся меню выберите «Управление компьютером».
Откроется окно оснастки «Управление компьютером». В группе «Служебные программы» найдите пункт «Планировщик заданий» и разверните его.
Найдите пункт «Библиотека планировщика заданий» и разверните его.
Перейдите в группу заданий «Doctor Web».
Щелкните правой клавишей мыши по заданию «Dr.Web Daily scan» и в открывшемся контактном меню выберите пункт «Свойства».
Откроется окно настройки задания «Dr.Web Daily scan». Перейдите на вкладку «Триггеры». При необходимости измените расписание проверки, для этого:
- выделите существующее расписание и нажмите на кнопку «Изменить»;
- выберите периодичность проверки: «однократно», «ежедневно», «еженедельно» или «ежемесячно»;
- выберите дату первого выполнения задания и время его выполнения.
Настройка расписания сканера для Windows Vista и Windows 7:
- «Пуск» → «Панель управления» → «Система и безопасность (В Windows Vista → «Система и ее обслуживание»)» → «Администрирование» → «Планировщик заданий». Откроется окно настроек планировщика заданий.
- В группе «Планировщик заданий (локальный)» разверните группу настроек «Библиотека планировщика заданий».
- Перейдите в группу заданий «Doctor Web».
- Щелкните правой клавишей мыши по заданию «Dr.Web Daily scan» и в открывшемся контактном меню выберите пункт «Свойства».
- Откроется окно настройки задания «Dr.Web Daily scan». Перейдите на вкладку «Триггеры». При необходимости измените расписание проверки, для этого:
  - выделите существующее расписание и нажмите на кнопку «Изменить»;
  - выберите периодичность проверки: «однократно», «ежедневно», «еженедельно» или «ежемесячно»
  - выберите дату первого выполнения задания и время его выполнения.
  Настройка расписания сканера для Windows XP:
  
  Откройте планировщик заданий Windows («Пуск» → «Панель управления» → «Назначенные задания»). Найдите предустановленное при инсталляции антивируса задание Dr.Web Daily Scan и откройте его для редактирования. На вкладке «Задание» установите флажок «Разрешено». Укажите необходимую частоту и время сканирования на вкладке «Расписание». Нажмите ОК, чтобы применить настройки. Введите имя пользователя и пароль по требованию операционной системы.
  
  Антиспам Dr.Web
  
  Как перейти на версию Dr.Web с антиспамом?
  
  В них антиспам уже присутствует — проверку электронной почты осуществляет почтовый антивирус Dr.Web SpIDer Mail, включающий антиспам-фильтр. Dr.Web SpIDer Mail устанавливается по умолчанию, постоянно находится в памяти и автоматически запускается при загрузке операционной системы.
  
  Домашние продукты для Windows и Linux
  
  В некоторых вариантах поставки почтовый антивирус Dr.Web SpIDer Mail может отсутствовать.
  Для расширения действующей лицензии вы можете воспользоваться формой по ссылке или связаться с вашим курирующим менеджером «Доктор Веб».
  Для приобретения новой лицензии или получения демоверсии вы можете воспользоваться конструктором лицензий на официальном сайте или найти подходяшего поставщика.
  Ознакомиться с документацией к продуктам линейки Dr.Web Mail Security Suite для фильтрации почты можно здесь.
  
  Какие сообщения антиспам-модуль Dr.Web определяет как нежелательные?
  
  Для краткости будем называть спамом все нежелательные рекламные сообщения, предлагающие купить какую-либо услугу или товар, — именно на них и приходится львиная доля нежелательной корреспонденции.
  - Фишинг-, фарминг- и скамминг-сообщения — пожалуй, самая опасная разновидность спама. К ним относятся «нигерийские письма», сообщения о выигрыше в лотерею, казино, поддельные письма банков и кредитных учреждений.
  - Чуть меньшая доля приходится на сообщения из разряда «черного пиара» — как политического, так и экономического, и «письма счастья».
  - Наконец, существует технический спам (bounce-messages), генерируемый почтовыми серверами в виде уведомлений о невозможности доставить сообщение — ваше или чужое. Такие письма обычно приходят из-за недостаточной отладки работы почтового сервера или в результате деятельности вируса — например, червя массовой рассылки.
  Как настроить перемещение спама в определенную папку в почтовом клиенте?
  1. Откройте меню Dr.Web и выберите пункт Центр безопасности.
  2. Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт» ). В противном случае нажмите на замок .
  3. Откройте вкладку Файлы и сеть, далее — SpIDer Mail. Найдите заголовок Антиспам и кнопку Параметры под ним.
  4. Проверьте статус чекбокса напротив пункта Добавлять префикс к теме писем, содержащих спам (по умолчанию он включен).
    Надпись [SPAM] в поле ниже — это префикс, который спам-фильтр Dr.Web будет добавлять к темам сообщений, классифицированных как спам. При желании его можно изменить на любой другой.
  5. В своем почтовом клиенте создайте папку для фильтрации спама и настройте для нее правило так, чтобы сообщения с префиксом о спаме (по умолчанию — [SPAM]) помещались в нее автоматически.
  Настройка правил для разных почтовых клиентов
  1. Создать новую папку, в которую будет помещаться спам:
    - кликнуть правой кнопкой мыши на названии учётной записи, в контекстном меню выбрать пункт Создать папку. ;
    - ввести имя папки «Спам», нажать ОК.
  2. Задать правило фильтрации писем, помеченных как спам:
    - в меню выбрать Сервис — Правила для сообщений — Почта. ;
    - в первом списке отметить галочкой пункт Искать сообщения, содержащие заданные слова в поле «Тема»;
    - во втором списке отметить галочкой пункт Переместить в заданную папку;
    - в Описании правила нажать на ссылку содержащие заданные слова;
    - ввести ключевое слово [SPAM], нажать кнопку Добавить, затем ОК;
    - в Описании правила нажать на ссылку заданную;
    - выбрать папку Спам, созданную в п. 1, нажать ОК;
    - в Названии правила ввести «Фильтрация спама», дважды нажать ОК.
  1. Создать новую папку, в которую будет помещаться спам:
    - кликнуть правой кнопкой мыши по названию учётной записи, в контекстном меню выбрать пункт Создать папку. ;
    - ввести имя папки «Спам», нажать ОК.
  2. Задать правило фильтрации писем, помеченных как спам:
    - в меню выбрать Сервис — Правила и оповещения. ;
    - перейти на вкладку Правила для электронной почты;
    - нажать кнопку Новое. ;
    - выбрать строчку Создать новое правило;
    - в Шаге 1 выбрать пункт Проверка сообщений после получения, нажать Далее;
    - в Шаге 1 выбрать пункт содержащие <текст> в поле «Тема»;
    - в Шаге 2 нажать на ссылку <текст>;
    - в верхнем поле ввести [SPAM], нажать на кнопку Добавить, затем ОК и Далее;
    - в Шаге 1 выбрать пункт переместить их в папку <имя>;
    - в Шаге 2 нажать на ссылку <имя>;
    - выбрать папку Спам, созданную в п. 1, нажать ОК, затем дважды Далее;
    - в Шаге 1 задать имя правила «Фильтрация спама», нажать на кнопку Готово, затем ОК.
  1. Создать новую папку, в которую будет помещаться спам:
    - кликнуть правой кнопкой мыши по названию учётной записи, в контекстном меню выбрать пункт Создать папку. ;
    - ввести имя папки «Спам», в списке Содержимое папки выбрать пункт Элементы типа Почта, в дереве Поместить папку в… выбрать расположение папки Спам.
  2. Задать правило фильтрации писем, помеченных как спам:
    - в меню выбрать Сервис — Правила и оповещения. ;
    - перейти на вкладку Правила для электронной почты;
    - нажать кнопку Новое. ;
    - выбрать строчку Перемещение в папку всех сообщений с определёнными словами в теме, нажать Далее;
    - в Шаге 1 выбрать пункт содержащие <текст> в поле «Тема»;
    - в Шаге 2 нажать на ссылку <текст>;
    - в верхнем поле ввести [SPAM], нажать на кнопку Добавить, затем ОК и Далее;
    - в Шаге 1 выбрать пункт переместить их в папку <имя>;
    - в Шаге 2 нажать на ссылку <имя>;
    - выбрать папку Спам, созданную в п. 1, нажать ОК, затем дважды Далее;
    - в Шаге 1 задать имя правила «Фильтрация спама», нажать на кнопку Готово, затем ОК.
  1. Создать новую папку, в которую будет помещаться спам:
    - кликнуть правой кнопкой мыши по названию учётной записи, в контекстном меню выбрать пункт Создать папку. ;
    - ввести имя папки «Спам», в дереве Выделите папку, в которой будет создана новая папка необходимо выбрать расположение папки Спам.
  2. Задать правило фильтрации писем, помеченных как спам:
    - в меню выбрать Сервис — Правила для сообщений — Почта. ;
    - нажать на кнопку Новое. ;
    - в списке 1. Выберите условия для данного правила отметить флажком строку Искать сообщения, содержащие заданные слова в поле «Тема»;
    - в списке 2. Выберите действия для данного правила отметить флажком строку Переместить в заданную папку;
    - в поле 3. Описание правила кликнуть по ссылке содержащие заданные слова;
    - в открывшемся окне Ввод ключевых слов в поле Введите ключевые слова или предложение и нажмите «Добавить» набрать [SPAM], нажать на кнопку Добавить, а затем ОК;
    - в поле 3. Описание правила кликнуть по ссылке заданную;
    - в открывшемся окне Переместить выбрать папку Спам, созданную в п. 1, нажать ОК;
    - в поле 4. Название правила ввести «Фильтрация спама» и дважды нажать ОК.
  1. Создать новую папку, в которую будет помещаться спам:
    - кликнуть правой кнопкой мыши по названию учётной записи, в контекстном меню выбрать пункт Создать — Создать папку. ;
    - ввести имя папки «Спам», нажать ОК.
  2. Задать правило фильтрации писем, помеченных антиспамом как спам:
    - кликнуть правой кнопкой мыши по названию учётной записи, в контекстном меню выбрать пункт Настройка сортировщика писем. ;
    - кликнуть правой кнопкой мыши по строке Входящая почта, в контекстном меню выбрать пункт Новое правило;
    - в поле Имя ввести «Фильтрация спама»;
    - нажать на слово Отправитель и из выпадающего списка выбрать строку Тема;
    - в поле после слова «содержит» ввести [SPAM];
    - под списком Действия нажать на кнопку Добавить;
    - в выпадающем списке выбрать строку Переместить письмо в папку;
    - в дереве папок выбрать папку Спам, созданную в п. 1, дважды нажать ОК.
  1. Создать новую папку, в которую будет помещаться спам:
    - кликнуть правой кнопкой мыши по названию учётной записи, в контекстном меню выбрать пункт Создать папку. ;
    - ввести имя папки «Спам», нажать ОК.
  2. Задать правило фильтрации писем, помеченных антиспамом как спам:
    - выделить название учётной записи в дереве учётных записей и папок;
    - в меню выбрать Инструменты — Фильтры сообщений. ;
    - нажать на кнопку Создать. ;
    - в поле Имя фильтра ввести «Фильтрация спама»;
    - в списке ниже выбрать последовательно из выпадающих списков Тема, затем Содержит;
    - в поле справа ввести [SPAM];
    - в списке, расположенном ещё ниже, выбрать из выпадающих списков последовательно Переместить сообщение в…, в следующем поле выбрать папку Спам, созданную в п. 1, затем нажать ОК;
    - закрыть окно Фильтры сообщений.
  Как заносить адреса в белые/черные списки?
  
  Плагин Dr.Web для Microsoft Outlook проверяет на спам все почтовые сообщения с помощью Антиспама Dr.Web и фильтрует их в соответствии с пользовательскими настройками.
  
  Как работают и зачем нужны настройки белого и черного списков?
  
  Поля Белый список и Черный список содержат адреса отправителей почтовых сообщений, которым вы либо доверяете, либо нет.
  
  Если адрес отправителя добавлен в белый список, письмо не подвергается анализу на спам. Однако если доменное имя адресов получателя и отправителя письма совпадает, и оно занесено в белый список с использованием знака «*», письмо подвергается проверке на спам.
  
  Если адрес отправителя добавлен в черный список, письму без дополнительного анализа присваивается статус «спам». Данные поля следует заполнять последовательно, разделяя разные почтовые адреса с помощью знака «;». Допускается использование знака «*» вместо части адреса (например, запись вида *@domain.org означает все адреса с доменным именем domain.org).
  
  Чтобы настроить проверку сообщений на спам, в почтовом приложении Microsoft Outlook выберите Сервис → Параметры → вкладка Антивирус Dr.Web (для Microsoft Outlook 2010 в разделе Файл → Параметры → Надстройки необходимо выбрать модуль Dr.Web для Microsoft Outlook и нажать кнопку Параметры надстройки) и нажмите кнопку Антиспам-фильтр. Откроется окно настроек Антиспам-фильтра.
  
  Окно Антипам-фильтр доступно только при наличии у пользователя прав администратора системы.
  
  Для ОС Windows Vista и более поздних версий при нажатии кнопки Антиспам-фильтр:
  - при включенном UAC: администратору будет выдан запрос на подтверждение действий программы, а пользователю без административных прав — на ввод учетных данных администратора системы;
  - при выключенном UAC: администратор сможет изменять настройки программы, пользователь — нет.
  Для просмотра и редактирования белого или черного списка в настройках антиспам-фильтра нажмите на кнопку Белый список или Черный список соответственно.
  
  Чтобы добавить адрес в белый или черный список:
  1. Нажмите на кнопку Добавить.
  2. Введите электронный адрес в соответствующее поле.
  3. Нажмите OK в окне Редактировать список.
  Чтобы изменить адрес в списке:
  1. Выберите адрес в списке, нажмите на кнопку Изменить.
  2. Отредактируйте необходимую информацию.
  3. Нажмите OK в окне Редактировать список.
  Чтобы удалить адрес из списка:
  1. Выберите адрес в списке.
  2. Нажмите на кнопку Удалить.
  В окне Белые и черные списки нажмите кнопку OK, чтобы сохранить внесенные изменения.
  
  Подробнее о возможностях настройки списков см. в документации.
  
  Куда отправлять письма, ошибочно определенные как спам/не спам?
  
  Если какие-либо письма неправильно распознаются спам-фильтром, их можно пересылать на специальные почтовые адреса для анализа и повышения качества работы фильтра:
  - письма, ошибочно оцененные как спам, отправляйте на адрес nonspam@drweb.com
  - письма, ошибочно не определенные как спам, отправляйте на адрес spam@drweb.com
  Сообщения следует пересылать в виде вложения (forward as attachment) в формате .eml, но не как часть сообщения (inline)!
  
  Как избежать попадания в спам писем на кириллице?
  
  Чтобы спам-модуль не относил вашу кириллическую корреспонденцию к спаму без предварительного анализа, необходимо установить флажок в поле Разрешать текст на кириллице.Если флажок снят, то такие письма с большой долей вероятности будут оценены фильтром как спам. Установка и снятие флажков Разрешать текст на китайском/японском/корейском языках работают аналогично.
  
  Зачем нужна отдельная опция Разрешать текст на кириллице?
  
  Изначально все спам-сообщения составлялись на латинице, и производители спам-фильтров (в подавляющем большинстве — западные компании) при разработке своих технологий ориентировались именно на такие письма. Позднее спам-сообщения стали появляться и на кириллице. Поскольку до сих пор основной поток спама идет на латинице, существуют.
  
  Брандмауэр Dr.Web
  
  Что такое брандмауэр?
  
  Брандмауэр (англ. Firewall — противопожарная стена, он же сетевой экран, он же файервол) — это программа, контролирующая обмен данными между вашим компьютером и остальной сетью. Основная задача брандмауэра — мониторинг сетевой активности, генерируемой приложениями, и предотвращение попыток хакеров или вредоносных программ отправить какую-либо информацию с вашего компьютера в сеть или, наоборот, несанкционированно принять ее из удаленного источника.
  
  Что такое интерактивный режим брандмауэра?
  
  В этом режиме вам предоставляется возможность обучить брандмауэр реакции на попытки той или иной программы проявить сетевую активность.
  
  При обнаружении обращения к сетевым ресурсам Брандмауэр Dr.Web проверяет, заданы ли для этих программ правила фильтрации. Если правила отсутствуют, то выводится соответствующий запрос, в котором пользователь может выбрать разовое действие для брандмауэра или создать правило, по которому в дальнейшем подобная сетевая активность приложения будет обрабатываться.
  
  Брандмауэр заблокировал доступ в интернет. Что делать?
  
  При блокировке Брандмауэром работы с сетью необходимо сделать следующее.
  Внимание! При выполнении этого действия сбросятся пользовательские параметры всех компонентов Dr.Web, их потребуется настроить заново.
  
  После этого при попытке выйти в интернет могут появляться запросы от Брандмауэра (создать правило, запретить однократно, разрешить однократно). Создайте разрешающие правила для нужных вам приложений, нажав на кнопку Создать правило → Разрешить → OK.
  
  Подробнее об обучении Брандмауэра читайте в документации
  
  Обратитесь в службу технической поддержки, приложив отчет, созданный утилитой DwSysInfo.
  
  Для создания отчета:
  1. Загрузите и сохраните на компьютере утилиту: https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe
  2. Запустите сохраненный файл dwsysinfo.exe.
  3. Нажмите на кнопку Сформировать отчет.
  4. Дождитесь окончания формирования отчета.
  Как запретить программе выход в интернет?
  
  Чтобы запретить использование сети определенной программе, необходимо создать новое правило. Щелкните по значку Dr.Web на панели задач, выберите Центр безопасности → Файлы и сеть и нажмите на значок .
  
  При появлении окна контроля учетных записей пользователей нажмите на кнопку Да и при необходимости введите пароль администратора.
  
  Выберите ставший активным раздел Брандмауэр и нажмите Изменить в пункте Правила для приложений.
  
  В открывшемся окне нажмите на значок , чтобы добавить новое правило.
  
  В следующем окне укажите путь к исполняемому файлу приложения, в выпадающем списке Запуск сетевых приложений выберите Блокировать, а в списке Доступ к сетевым ресурсам — Блокировать все.
  
  Нажмите ОК, чтобы изменения вступили в силу.
  
  Появилось окно уведомления брандмауэра. Что с ним делать?
  
  Появление окна уведомления указывает на то, что для приложения, на которое среагировал брандмауэр, не задано правило обработки. Вы можете поступить одним из следующих способов.
  - Разрешить однократно — сетевая активность приложения будет разрешена на время текущего сеанса. После перезагрузки компьютера или при повторном вызове программы запрос брандмауэра будет выдан вновь.
  - Запретить однократно — запрет сетевой активности программы. Только на текущий сеанс.
  - Создать правило — когда вы настроите правило для приложения, брандмауэр будет автоматически срабатывать согласно этому правилу. Выбрав этот пункт, вы увидите окно, в котором вам будет предложен выбор действия:
    - Разрешить приложению сетевые подключения на порт *номер порта*
    - Запретить приложению сетевые подключения на порт *номер порта*
    - Разрешить приложению все сетевые подключения
    - Запретить приложению все сетевые подключения
    - Создать свое правило — вы можете создать новое правило для работы брандмауэра с текущей программой.
    Примечание. Всегда старайтесь создавать правила, чтобы автоматизировать работу брандмауэра.
    
    Как создать правило для приложения (программы)?
    
    Чтобы запретить использование сети определенной программе, необходимо создать новое правило. Щелкните по значку Dr.Web на панели задач, выберите Центр безопасности → Файлы и сеть и нажмите на значок .
    
    При появлении окна контроля учетных записей пользователей нажмите на кнопку Да и при необходимости введите пароль администратора.
    
    Выберите ставший активным раздел Брандмауэр и нажмите Изменить в пункте Правила для приложений.
    
    В открывшемся окне нажмите на значок , чтобы добавить новое правило.
    
    В следующем окне укажите путь к исполняемому файлу приложения, в выпадающем списке Запуск сетевых приложений выберите нужное действие:
    - Разрешать — при попытке запуска сетевого приложения брандмауэр будет разрешать это действие.
    - Блокировать — при попытке запуска сетевого приложения брандмауэр будет запрещать это действие.
    - Не задано — при попытке запуска сетевого приложения брандмауэр будет выдавать запрос.
    Затем выберите нужное действие в списке Доступ к сетевым ресурсам:
    - Разрешать все — будет разрешена любая сетевая активность программы.
    - Блокировать все — будет запрещена любая сетевая активность программы.
    - Пользовательский — вы можете вручную настроить все параметры работы программы с сетью.
    - Не задано — при каждой попытке программы выйти в сеть будет выдаваться запрос.
    Нажмите ОК, чтобы изменения вступили в силу.
    
    Если брандмауэр работает в интерактивном режиме, нет необходимости настраивать правила вручную — проще настраивать доступ для каждого приложения в момент его первой сетевой активности, прямо из окна оповещения брандмауэра.
    
    Как отключить брандмауэр?
    
    Щелкните по значку Dr.Web на панели задач, выберите Центр безопасности → Файлы и сеть и нажмите на значок . При появлении окна контроля учетных записей пользователей нажмите на кнопку Да и при необходимости введите пароль администратора.
    
    Затем сдвиньте переключатель напротив ставшего активным компонента Брандмауэр — его рамка станет красной.
    
    Как сбросить настройки брандмауэра?
    
    Для сброса настроек щелкните во значку Dr.Web в трее, откройте в меню антивируса пункт Центр безопасности, нажмите на значок в левом нижнем углу окна, а затем — в правом верхнем. В открывшемся окне в разделе Управление настройками выберите Изменить → Восстановить настройки по умолчанию и нажмите ОК.
    
    Внимание! При выполнении этого действия сбросятся пользовательские параметры всех компонентов Dr.Web, их потребуется настроить заново.
    
    В каких режимах может работать брандмауэр?
    
    У брандмауэра есть три режима работы:
    - Разрешать неизвестные соединения — все неизвестные соединения разрешены. Защита не функционирует.
    - Разрешать соединения для доверенных приложений — правила для известных приложений (имеющих действительную цифровую подпись) применяются автоматически. Обо всех неизвестных соединениях пользователю будет выдаваться запрос на выбор действия.
    - Интерактивный режим — режим обучения. При попытке операционной системы или приложения проявить сетевую активность брандмауэр будет выдавать пользователю запрос на выбор действия.
    - Блокировать неизвестные соединения — все неизвестные соединения будут блокироваться без выдачи запроса пользователю.
    Задать режим работы можно в настройках брандмауэра. Если для приложения уже задано правило, брандмауэр будет действовать согласно ему.
    
    Что такое родительский процесс?
    
    Родительский процесс — это процесс или приложение, которое может запускать другие приложения. Настроить правила для родительских процессов можно в окне создания или редактирования правила для приложения с помощью выпадающего списка Запуск сетевых приложений.
    
    Как настроить правила для сетевых соединений?
    
    Щелкните по значку Dr.Web на панели задач, выберите Центр безопасности → Файлы и сеть и нажмите на значок . При появлении окна контроля учетных записей пользователей нажмите на кнопку Да и при необходимости введите пароль администратора.
    
    Выберите ставший активным раздел Брандмауэр и нажмите Дополнительные настройки. В разделе Параметры работы для известных сетей нажмите Изменить. В открывшемся окне для каждого из сетевых соединений можно указать набор заранее установленных правил:
    - Allow all — все пакеты пропускаются.
    - Block all — все пакеты блокируются.
    - Default rule — правила, описывающие наиболее часто встречающиеся конфигурации сети и распространенные атаки (используются по умолчанию для всех интерфейсов).
    Как просмотреть отчет брандмауэра?
    
    Щелкните по значку Dr.Web на панели задач и выберите Центр безопасности → Статистика → Брандмауэр.
    
    Что такое пакетный фильтр?
    
    Это элемент брандмауэра, позволяющий управлять прохождением трафика по указанным протоколам, разрешая или запрещая передачу пакетов, удовлетворяющих заданным условиям. Пакетный фильтр — базовое средство обеспечения безопасности компьютера, работающее независимо от приложений.
    
    Могу ли я установить Dr.Web Firewall без установки антивируса?
    
    Брандмауэр Dr.Web является компонентом программного комплекса Dr.Web, и установить брандмауэр без установки антивируса невозможно.
    
    Что означает надпись «Цифровая подпись — Неизвестно» при попытке приложения получить доступ в интернет? Что такое цифровая подпись и на что она влияет?
    
    Цифровая подпись — код, который удостоверяет, что программа была получена из конкретного источника и не изменялась. В то же время подписанное приложение не обязательно безопасно, поэтому пользователю стоит быть внимательным при установке любого, даже подписанного программного обеспечения.
    
    Неизвестное приложение постоянно пытается выйти в интернет. Что это может быть и что делать в этом случае?
    
    Возможно, что это какая-либо вредоносная программа. Рекомендуется провести полную проверку системы антивирусным сканером Dr.Web.
    
    Нужно ли настраивать пакетный фильтр для домашнего компьютера?
    
    В домашних условиях, когда требуется защищать от сетевых атак только один компьютер, настройка пакетного фильтра не требуется. Дело в том, что значительная часть правил содержится в базе брандмауэра, и эти правила активируются по мере надобности. Если правило для какой-либо ситуации отсутствует, брандмауэр выдаст запрос действия.
    
    Антон Кузьмин: «Универсальной таблетки нет, ни один антивирус не гарантирует безопасность»
    
    Рынок кибербезопасности в этом году динамично меняется — в условиях резко возросшего количества кибератак в России усиливают контроль за работой IT-инфраструктуры. Защита от хакеров — важная и трудная задача, которая сегодня актуальна для любой компании. О том, какие шаги необходимо предпринять бизнесу для того, чтобы не стать жертвой киберпреступников, рассказывает Антон Кузьмин, руководитель центра противодействия киберугрозам Innostage CyberART.
    
    Хакерами пугают детей и даже взрослых. У киберпреступников сложился имидж неуловимых и безнаказанных бандитов, которые при помощи вирусов способны обчистить и крупный банк, и простого обывателя. И защиты от них нет, — остается только ждать, когда злодеи доберутся до вашего бизнеса. Есть и другая легенда, мол пресловутые хакеры угрожают только крупным компаниям, у которых можно сразу украсть много денег и ценных данных.
    
    А теперь давайте перестанем пугать себя и окружающих. Или, наоборот, приукрашивать действительность. Лучше внимательно посмотрим на то, как именно угрожают всем нам киберпреступники и разберемся, как обеспечить от них защиту для бизнеса.
    
    Как нападают хакеры
    
    Все инциденты с информационной безопасностью связаны с проникновением хакеров в инфраструктуру предприятия. Она есть у любой организации, — даже несколько компьютеров, объединенные в небольшую сеть и подключенные при помощи беспроводного роутера к интернету, являются информационной инфраструктурой. В большинстве случаев «ИТ-хозяйство» компании еще сложнее: в нем, как правило, имеется сервер (физический или облачный), хранилище данных, веб-сайт. И любой элемент такой инфраструктуры может попасть в поле зрения хакера.
    
    Первый канал, через который хакеры способны проникнуть в инфраструктуру компании — различные интернет-сервисы . Взломав и разместив вредоносное программное обеспечение на одном из них, преступники способны затем распространить «заразу» и на компьютеры пользователей, которые этим сетевым сервисом пользуются. Здесь же стоит упомянуть так называемые «фишинговые» сайты, которые иногда маскируются под официальные сайты различных компаний. Они часто предлагают пользователям ввести их персональную информацию, чтобы в дальнейшем похитить ее.
    
    Получить доступ к корпоративной инфраструктуре хакеры могут и через сервисы взаимодействия пользователей — электронную почту, различные мессенджеры или социальные сети.
    
    Третий путь — при помощи скачиваемых пользователями файлов . Это могут быть не только случайные документы, картинки или видео, но даже обновления ПО. Есть еще один вариант такого проникновения — через зараженные носители информации (флешки, внешние диски), которые пользователи подключают к своим компьютерам.
    
    Наконец, злоумышленники могут провести и « атаку через поставщика ». Часто доступ в инфраструктуру предприятия имеют сторонние организации: подрядчики, которые обслуживают информационные системы, деловые партнеры, размещающие заказы в торговой системе, облачные сервисы, в которых размещены виртуальные серверы или системы хранения (Azure, Sbercloud, Яндекс.Облако и др.).
    
    Как видим, способы проникновения хакеров в инфраструктуру весьма разнообразны. Столь же развит и «арсенал» киберпреступников, которые могут применять сотни различных технических инструментов. Поэтому обойтись при организации обороны «универсальной таблеткой» не получится: невозможно установить на все компьютеры компании антивирусное ПО и жить спокойно. В любом случае для защиты компании от киберугроз придется применять комплекс мер.
    
    Меры защиты от кибератак
    
    Эти меры можно разделить на три основных группы.
    1. К первой относятся превентивные меры , технические решения, которые предотвращают проникновение хакеров в инфраструктуру: средства защиты информации и автоматизированные средства блокировки проникновения.
    2. Вторая группа — компенсирующие меры , те решения, которые позволяют предотвратить развитие кибератаки даже если хакерам удалось взломать защиту и проникнуть в один или несколько узлов инфраструктуры.
    3. Наконец, третью группу составляют организационные меры . Они нацелены на нивелирование так называемого «человеческого фактора», когда путь в инфраструктуру предприятия злоумышленникам открывают пользователи, в большинстве случаев — невольно или по незнанию.
    Превентивная защита
    
    К сожалению, множество компаний считает излишним развивать свои системы информационной безопасности и ограничиваются (в лучшем случае) только использованием антивирусных средств. Повторю: «универсальной таблетки» не существует, и ни один антивирус не способен гарантировать безопасность инфраструктуры. Его необходимо дополнять другими ИБ-решениями.
    
    Для небольших бизнесов сегодня помимо антивируса необходимо в обязательном порядке использовать и другие средства безопасности. Для контроля сетевого трафика и блокировки подозрительных подключений к инфраструктуре используются межсетевые экраны, причем нового поколения, NGFW (Next Generation Firewall). Они позволяют не только контролировать сетевой трафик, но и работу приложений, которые обращаются к сети, а также предотвращать вторжения в инфраструктуру через сеть. Эффективно фильтрует трафик и такой инструмент, как прокси-сервер. Это — сервер, через который осуществляется централизованный доступ в интернет со всех компьютеров организации.
    
    Для того, чтобы злоумышленники не могли перехватить данные в момент их передачи между сервером и рабочей станцией пользователя, необходим VPN. Сегодня эта технология широко известна в силу ограничений регуляторов, поэтому о ней стоит рассказать чуть подробнее.
    
    VPN-сервисы создавались для объединения устройств в общую защищенную виртуальную сеть, туннелирования соединений. Такие соединения позволяют обеспечить защиту данных, причем весьма эффективную, при удаленном подключении к инфраструктуре компании. Ограничения со стороны регуляторов затрагивают не корпоративные VPN-сервисы, а те, что используются только для обхода блокировок. К слову, они могут принадлежать злоумышленникам или контролироваться ими, что представляет для неискушенных пользователей большую опасность.
    
    Данные сегодня становятся главным активом для любой компании и требуют специальной защиты. Применяются для этого системы резервного копирования, которые позволяют эффективно бороться с такой распространенной угрозой, как шифровальщики.
    
    Наконец, для тех компаний, которые активно используют для продвижения и продаж собственный интернет-сайт, будет совсем не лишним применение специального решения для защиты от DDoS-атак.
    
    Использование такого комплекса решений позволяет закрыть до 90% уязвимостей, которые имеются в инфраструктуре малой или средней компании.
    
    Фото: realnoevremya.ru/Максим Платонов
    
    Компенсирующая защита
    
    Компенсировать развитие хакерской атаки даже в том случае, когда преступникам удалось проникнуть внутрь охраняемого периметра, позволяют компенсирующие меры. Здесь в первую очередь стоит упомянуть тонкие настройки корпоративной инфраструктуры, — ее сегментацию, а также настройку операционных систем. Если они выполнены правильно, то злоумышленники просто не получат доступа к интересующим их данным или узлам инфраструктуры.
    
    Например, отдельными средствами защиты оснащаются рабочие места привилегированных пользователей, тех, кто имеет права администраторов систем или доступ к особенно ценным и конфиденциальным данным. Представьте, какую информацию могут получить хакеры, получившие доступ к рабочему компьютеру генерального директора или главного бухгалтера! То же самое можно сказать и о базах данных, используемых корпоративной учетной системой или CRM. Такие узлы должны располагаться в изолированных сегментах инфраструктуры.
    
    В качестве компенсирующих средств применяются и сложные специализированные ИБ-решения, при помощи которых специалисты проводят анализ угроз, проверку программного обеспечения или даже кода, ведут мониторинг активности киберпреступников. В подавляющем большинстве случаев такие средства весьма недешевы и к тому же предназначены для сотрудников, обладающих специальными знаниями. Для компаний малого и среднего бизнеса, заинтересованных в том, чтобы применять в защите своей инфраструктуры такие решения, стоит воспользоваться услугами специализированных предприятий. Это позволит избежать значительных инвестиций и в оборудование, и в ПО, и в расширение штатов.
    
    Человеческий фактор
    
    Организационные меры защиты отнюдь не менее важны, чем технические. Увы, но самым слабым местом в обеспечении безопасности инфраструктуры компании остаются (и всегда будут оставаться) люди. При этом речь идет о вполне невинных на первый взгляд действиях, которые несут потенциальную угрозу.
    
    Персонал компании должен не просто знать, но и строго соблюдать простые правила: не пользоваться носителями информации, не открывать письма, а тем более вложенные файлы от неизвестных отправителей, не переходить по присылаемым почтой или в мессенджерах ссылкам, не посещать сомнительные интернет-сайты, не скачивать файлы, не пересылать и не публиковать конфиденциальные данные. Стоит потратить время, но составить четкий и строгий перечень запрещенных действий и данных, которые никогда не должны быть переданы за пределы инфраструктуры компании.
    
    Помимо составления инструкций и контроля их выполнения необходимо постоянное обучение пользователей. Основными темами таких тренингов должны стать обучение правилам и ошибкам работы с оборудованием и сетевыми технологиями, правилам использования паролей и правилам работы с конфиденциальной информацией.
    
    Часто не лишним будет использование и средств контроля пользователей, РАМ- или DLP-систем, которые предназначены, соответственно, для управления привилегированными пользователями и для предотвращения утечек информации.
    
    Фото: realnoevremya.ru/Максим Платонов
    
    Что делать с облаками
    
    Сегодня многие, если не большинство небольших компаний используют главным образом облачные сервисы. С их помощью «закрываются» потребности во многих элементах информационной инфраструктуры, начиная от электронной почты и заканчивая специализированными системами, такими как CRM.
    
    Чаще всего бизнес даже не задумывается о том, что облачные сервисы тоже требуют соблюдения требований безопасности. Да, поставщики сервисов и облачные провайдеры берут на себя решение большинства задач, связанных с защитой систем и данных. Но это не освобождает от необходимости соблюдать особенные правила при работе с облаками.
    
    Чтобы работа с такими сервисами была безопасной, необходимо соблюдать те же правила, что и при защите собственной инфраструктуры: шифровать данные, вести мониторинг сети, использовать защиту от DDoS-атак.
    
    Особенное внимание следует уделить паролям. Во-первых, они должны быть надежны и при этом легко запоминаться пользователями, а во-вторых, необходимо использовать многофакторную авторизацию, когда помимо ввода пары «логин-пароль» пользователь должен подтвердить свои права при помощи ввода одноразового кода, присылаемого, как правило, через смс.
    
    Еще одно правило при работе с облачными сервисами — изменение настроек, используемых по умолчанию. К примеру, чаще всего учетная запись, управляющая аккаунтом, называется admin. Об этом хорошо знают хакеры, которые пытаются при помощи автоматического перебора найти пароль от такой записи. Поэтому лучше всего после первоначальной настройки назначить администратором аккаунт с совсем другим именем.
    - универсальной защиты от хакеров не существует;
    - помимо антивируса необходимо использовать и другие средства защиты;
    - самое слабое звено в защите от кибератак — люди.
    Справка
    
    Мнение автора может не совпадать с позицией редакции «Реального времени».
    Похожие публикации:

Какие функции выполняет превентивная защита

Современные антивирусы: функции и возможности – Часть II: Проактивная защита

Содержание

Поведенческий контроль (Behavior Control)

Режимы работы (Operation modes)

Песочница, изолированная программная среда (Sandbox)

Потенциально опасные действия и процедуры (Potentially Dangerous Actions and Techniques)

Управление компонентами (Component control)

Системный щит (System Guard)

Защита переносных мультимедийных устройств (Removable Media Protection)

Самозащита (Self-protection)

Какие функции выполняет превентивная защита

Войти

Превентивные способы защиты предприятия

Часто задаваемые вопросы по темам

Dr.Web только удаляет троянские программы? Он их не лечит?

У меня есть подозрение, что ко мне на компьютер пробрался вирус. Как можно запустить сканер?

Можно ли отключить антивирусный почтовый сторож SpIDer Mail, ведь сканер тоже поверяет почтовые файлы?

Я пользуюсь очень редкой почтовой программой. Защищает ли меня в таком случае один из компонентов антивируса — SpIDerMail?

Настройки

Антивирус блокирует доступ в Интернет, без антивируса доступ есть

Как сбросить настройки антивируса?

Как настроить Dr.Web для обеспечения удаленного доступа к защищаемой системе

Как сбросить настройки программы в состояние по умолчанию?

Включение отправки уведомлений о событиях на почту

Могу ли я отключить уведомления о необходимости перезагрузки после получения обновлений?

Постоянно появляется сообщение о необходимости перезагрузки, хотя я уже перегружался. Что делать?

Включение проверки шифрованного трафика

Как восстановить пароль к антивирусу Dr.Web?

Полезные подсказкиувидите на

Как настроить Dr.Web, чтобы он не изменял файл hosts

Как настроить параметры уведомлений в программе?

Если для доступа в сеть используется прокси-сервер, нужно ли как-то настраивать процедуру обновления Dr.Web Security Space?

Можно ли изменять параметры настройки Dr.Web Security Space (в частности параметры прокси-сервера) не имея прав администратора?

Как войти в Центр безопасности?

Превентивная защита

Что значит сообщение Исполнение неавторизованного кода заблокировано ?

Веб-антивирус SpIDer Gate

Фильтрует ли Dr.Web трафик при работе через VPN?

Почему Dr.Web Security Space буквально пожирает трафик? Процесс dwnetfilter потребляет больше интернет-трафика, чем другие программы

Зависит ли работа SpIDer Gate от моего браузера?

Как веб-антивирус SpIDer Gate влияет на скорость загрузки интернет-страниц?

Как обновляется веб-антивирус SpIDer Gate?

Как отключить веб-антивирус SpIDer Gate?

Как добавить сайт в исключения Spider Gate для Windows

Родительский контроль

Как настроить исключения для игр в Родительском контроле Dr.Web

Как ограничить доступ к нежелательным сайтам с помощью Родительского контроля в Dr.Web для Windows?

Как в Dr.Web для Windows предоставить ребенку доступ к отдельным сайтам, которые входят в ту или иную категорию блокировки, или дополнить список блокируемых сайтов?

Как с помощью Родительского контроля в Dr.Web для Windows ограничить доступ к отдельным файлам или папкам?

Как защитить настройки Родительского контроля в Dr.Web для Windows от изменения третьими лицами?

Как в Родительском контроле в Dr.Web для Windows ограничить время доступа ребенка к Интернету или компьютеру.

Фильтрует ли Dr.Web трафик при работе через VPN?

Для чего предназначен модуль родительского контроля?

Какие сайты можно блокировать модулем Родительского контроля?

Сможет ли мой ребенок отключить модуль Родительского контроля без моего ведома?

Для чего предназначена опция «Локальный доступ»?

Как включить блокировку доступа?

Нужный мне сайт блокируется модулем Родительского контроля. Как исключить этот сайт из блокировки?

Как отключить модуль Родительского контроля?

На какой адрес можно сообщать о ложных срабатываниях Родительского контроля Dr.Web?

Сканер

Какие действия Dr.Web позволяет совершить с вредоносными объектами?

Почему важно периодически проводить антивирусное сканирование?

Как включить сканирование по расписанию?

Антиспам Dr.Web

Как перейти на версию Dr.Web с антиспамом?

Какие сообщения антиспам-модуль Dr.Web определяет как нежелательные?

Как настроить перемещение спама в определенную папку в почтовом клиенте?

Настройка правил для разных почтовых клиентов

Как заносить адреса в белые/черные списки?

Куда отправлять письма, ошибочно определенные как спам/не спам?

Как избежать попадания в спам писем на кириллице?

Брандмауэр Dr.Web

Что такое брандмауэр?

Что такое интерактивный режим брандмауэра?

Брандмауэр заблокировал доступ в интернет. Что делать?

Как запретить программе выход в интернет?

Появилось окно уведомления брандмауэра. Что с ним делать?

Как создать правило для приложения (программы)?

Полезные подсказки
увидите на