Preguntas más frecuentes sobre los temas
Funcionamiento del SO Windows
Configuración de la auditoria de seguridad
Para detectar de forma oportuna los intentos de acceso no autorizado en dispositivos finales (así mismo, los realizados con éxito) y tomar medidas correspondientes, se recomienda usar la auditoria de seguridad.
Para realizarlo:
Entre en el Panel de control → Administración → Directiva de seguridad local → Configuración de la directiva de auditoria avanzada → Acceso a objetos → → Auditoria de sistema de archivos. Active la auditoria del sistema de archivos para éxito y rechazo.
Luego active la auditoria para la carpeta necesaria:
abra las propiedades de la carpeta de acceso compartido → pestaña Seguridad → Extra → pestaña Auditoria → Modificar → Añadir;
indique a los usuarios para los cuales es necesario llevar la auditoria. Establezca Todo, nivel de aplicación – Para esta carpeta y sus subcarpetas y archivos;
indique las acciones cuya auditoria se realizará: Creación de archivos/escritura extra de datos, Creación de carpetas/escritura extra de datos, Eliminación de subcarpetas y archivos y simplemente Eliminación. Para todas las acciones seleccione la auditoria para el éxito y el rechazo.
Luego en el registro de eventos de seguridad aparecerán los eventos de acceso a archivos y carpetas.
Si en el sistema con auditoria ya configurada el antivirus responde a algún cambio en el sistema de archivos, sin falta recuerde la hora de esta respuesta para compararla con los eventos en el registro de seguridad.
Para consultar los códigos de eventos de seguridad, consulte el sitio web oficial de Microsoft.
Actualizaciones que aseguran el soporte de SHA-256 para el funcionamiento correcto de Dr.Web en las versiones obsoletas Windows
Con más detalle, el tema de la necesidad del soporte de SHA-256 en los SO de usuarios puede consultarse en esta página, así como en nuestra noticia. Aquí se puede consultar la información oficial de Microsoft.
¿Qué versiones de Windows se consideran obsoletas y requieren la instalación de las actualizaciones indicadas?
Se trata de SO Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2.
¿Por qué las actualizaciones del sistema de seguridad Microsoft son necesarias para el funcionamiento correcto de las actualizaciones del software Dr.Web?
La necesidad de la actualización está vinculada a la política de la empresa Microsoft, que ya no permite a los centros de certificación terceros (DigiCert, COMODO etc.) lanzar los certificados que pueden ser usados para firmar los módulos para el trabajo en el núcleo del SO Windows. Solo Microsoft puede firmar los módulos para el núcleo con su certificado WHQL que existe solo como versión de SHA256. Para la información más detallada, consulte la documentación de Microsoft.
Dr.Web sigue proporcionando el soporte para las versiones obsoletas de Windows.
¿Qué actualizaciones en concreto se requieren para mi SO?
Si al instalar o al actualizar Dr.Web aparece un mensaje diciendo que Su sistema operativo no soporta el algoritmo de hash SHA-256, instale la actualización requerida de la lista más abajo.
- Para Windows Vista instale de forma consecutiva los paquetes de actualizaciones SP1 y SP2, luego instale la actualización KB4090450.*
- Para Windows 7 instale el paquete de actualizaciones SP1, luego - KB3033929 o KB4474419 o KB4054518.
- Para Windows Server 2008 instale el paquete de actualizaciones SP2, luego la actualización KB4474419 o KB4039648 o KB3033929.
- Para Windows Server 2008 R2 instale el paquete de actualizaciones SP1, luego - KB4474419.
Las actualizaciones para el trabajo con SHA-256 pueden estar en otras actualizaciones Windows.
No voy a instalar las actualizaciones para mi SO y acepto recibir solo las actualizaciones de las bases de virus Dr.Web. ¿Cómo puedo desactivar la notificación?
Para desactivar la notificación:
- Abra el menú Dr.Web
y seleccione el Centro de seguridad. - Asegúrese de que Dr.Web funciona en modo de administrador (el candado en la parte inferior del programa está “abierto”
). En caso contrario, haga clic sobre el candado 
. - En la parte superior de la ventana del programa haga clic sobre
. - Se abrirá una ventana con la configuración básica del programa. En la parte izquierda de la ventana seleccione Actualización.
- Para ir a la configuración acanzada, en la ventana Actualización (véase la figura Configurar la actualización) haga clic sobre Configuración avanzada.
- En la sección Componentes actualizados seleccione «Solo las bases de virus».
Problema de rendimiento en caso de integración de AMSI en Microsoft Exchange Server 2016/2019
La empresa Microsoft lanzó actualizaciones para Microsoft Exchange Server 2016 (KB5003611) y Microsoft Exchange Server 2019 (KB5003612) que permiten a los servidores de correo Exchange de versiones indicadas funcionar con la interfaz AMSI (Antimalware Scan Interface). Ahora el software antivirus que funciona con la interfaz AMSI y está instalado en el mismo equipo con el servidor Microsoft Exchange, escanea todas las solicitudes HTTP antes de que el servidor de correo procese las mismas.
Por lo tanto, el funcionamiento del antivirus Dr.Web para servidores Windows y Agentes Dr.Web para Windows con soporte AMSI activada puede reducir bastante la velocidad de funcionamiento del servidor y provocar problemas de rendimiento del software antivirus. La versión con la actualización que resuelve este problema es de 17 de enero de 2022. Antes de instalar la actualización indicada los desarrolladores de Doctor Web recomiendan desactivar el soporte de la interfaz AMSI en los servidores de correo Exchange.
Para desactivar AMSI en los productos Microsoft Exchange Server use la interfaz Exchange Server PowerShell:
- Abra Exchange Server PowerShell.
- Ejecute los siguientes comandos de forma consecutiva:
[PS] C:\>New-SettingOverride -Name DisablingAMSIScan -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing" [PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh [PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Importante: antes de ejecutar los comandos asegúrese de que todos los datos han sido guardados, porque las acciones indicadas provocarán un reinicio de los servicios Internet Information Services (IIS) e interrumpirán la conexión.
Recomendamos volver a activar el soporte de la interfaz AMSI en el servidor de correo cuando el problema indicado esté resuelto al lanzar la actualización correspondiente. Para realizarlo, debe ejecutar los siguientes comandos con Exchange Server PowerShell:
[PS] C:\>Remove-SettingOverride -Identity DisablingAMSIScan -Confirm:$false
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Importante: antes de ejecutar los comandos asegúrese de que todos los datos han sido guardados, porque las acciones indicadas provocarán un reinicio de los servicios Internet Information Services (IIS) e interrumpirán la conexión.
Así mismo, Vd. puede desactivar AMSI con un script listo PowerShell:
- Cargue el script Test-AMSI.ps1 del repositorio Microsoft siguiendo el enlace.
- Coloque el script en la carpeta C:\scripts donde está instalado Microsoft Exchange Server. Si no hay carpeta scripts, créela. Sin falta compruebe si el archivo ha sido desbloqueado, para evitar errores al iniciar el script.
- Ejecute los siguientes comandos de forma consecutiva:
[PS] C:\scripts>.\Test-AMSI.ps1 -DisableAMSI [PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Para volver a activar AMSI en el servidor Microsoft Exchange ejecute los siguientes comandos de forma consecutiva:
[PS] C:\scripts>.\Test-AMSI.ps1 -EnableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
No hay coincidencias
