Domande frequenti per argomento
Funzionamento SO Windows
Configurazione dell'audit della sicurezza
Per identificare tempestivamente i tentativi (compresi quelli riusciti) di accessi non autorizzati su dispositivi finali e adottare misure appropriate, si consiglia di utilizzare l'audit della sicurezza.
A questo scopo:
Andare a Pannello di controllo → Strumenti di amministrazione → Criteri di sicurezza locale → Configurazione dei criteri di audit avanzati → Accesso agli oggetti → Audit del file system. Attivare l'audit del file system per il successo e il rifiuto.
Quindi attivare l'audit per la cartella richiesta:
aprire le proprietà della cartella condivisa → scheda Sicurezza → Avanzate → scheda Audit → Modifica → Aggiungi;
indicare gli utenti per cui si vuole registrare l'audit. Impostare Tutti, il livello di applicazione – Per questa cartella e le relative sottocartelle e file;
indicare le azioni di cui verrà registrato l'audit: Creazione file/aggiunta dati, Creazione cartelle/aggiunta dati, Rimozione sottocartelle e file e semplicemente Rimozione. Per tutte le azioni selezionare l'audit per il successo e il rifiuto.
Dopo questo nel log degli eventi di sicurezza inizieranno a comparire gli eventi di accesso a file e cartelle.
Se in un sistema con l'audit già configurato l'antivirus reagisce a qualche modifica nel file system, assicurarsi di ricordare l'ora della reazione e confrontarla con gli eventi nel log di sicurezza.
Si possono leggere i codici degli eventi di sicurezza sul sito ufficiale Microsoft.
Aggiornamenti che forniscono il supporto di SHA-256 per il corretto funzionamento di Dr.Web su versioni obsolete di Windows
L'argomento della necessità del supporto SHA-256 su sistemi operativi utente è trattato con maggiore dettaglio su questa pagina, e inoltre, nella nostra notizia. Qui è possibile leggere le informazioni ufficiali Microsoft.
Quali versioni di Windows sono considerate obsolete e richiedono l'installazione degli aggiornamenti specificati?
Si tratta dei sistemi operativi Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2.
Perché gli aggiornamenti di sicurezza Microsoft sono necessari per il corretto funzionamento degli aggiornamenti del software Dr.Web?
La necessità di aggiornamento è dovuta alla politica Microsoft che non consente più alle autorità di certificazione di terze parti (DigiCert, COMODO ecc.) di emettere certificati con cui possono essere firmati moduli per il funzionamento nel kernel del sistema operativo Windows. Solo Microsoft può firmare moduli per il kernel con il suo certificato WHQL che esiste solo sotto forma della versione SHA256. Per maggiori informazioni consultare la documentazione Microsoft.
Dr.Web continua a supportare sistematicamente versioni obsolete di Windows.
Quali sono esattamente gli aggiornamenti che sono necessari per il mio sistema operativo?
Se durante l'installazione o l'aggiornamento di Dr.Web compare un messaggio che informa che il sistema operativo non supporta l'algoritmo di hash SHA-256, installare l'aggiornamento richiesto dalla lista sottostante.
- Per Windows Vista installare sequenzialmente i service pack SP1 e SP2, quindi installare l'aggiornamento KB4090450.*
- Per Windows 7 installare il service pack SP1, quindi KB3033929 o KB4474419 o KB4054518.
- Per Windows Server 2008 installare il service pack SP2, quindi l'aggiornamento KB4474419 o KB4039648 o KB3033929.
- Per Windows Server 2008 R2 installare il service pack SP1, quindi KB4474419.
Gli aggiornamenti per l'utilizzo di SHA-256 possono essere presenti anche in altri aggiornamenti di Windows.
Non installerò gli aggiornamenti per il mio sistema operativo e accetto di ricevere solo gli aggiornamenti dei database dei virus Dr.Web. Come posso disattivare l'avviso?
Per disattivare l'avviso:
- Aprire il menu Dr.Web
e selezionare la voce Centro sicurezza. - Assicurarsi che Dr.Web funzioni in modalità amministratore (il lucchetto nella parte inferiore del programma è "aperto"
). Altrimenti, fare clic sul lucchetto 
. - Nella parte superiore della finestra del programma fare clic su
. - Si aprirà una finestra con le impostazioni principali del programma. Nella parte sinistra della finestra selezionare la voce Aggiornamento.
- Per andare alle impostazioni avanzate, nella finestra Aggiornamento (vedi immagine Impostazioni di aggiornamento) fare clic sul link Impostazioni avanzate.
- Nella sezione Componenti da aggiornare selezionare "Solo i database dei virus".
Problema di prestazioni in caso di integrazione di AMSI in Microsoft Exchange Server 2016/2019
L'azienda Microsoft ha rilasciato aggiornamenti per Microsoft Exchange Server 2016 (KB5003611) e Microsoft Exchange Server 2019 (KB5003612) che consentono ai server di posta Exchange delle versioni indicate di funzionare con l'interfaccia AMSI (Antimalware Scan Interface). Ora un software antivirus che funziona con l'interfaccia AMSI ed è installato sullo stesso computer del server Microsoft Exchange esegue la scansione di tutte le richieste HTTP prima che vengano elaborate dal server di posta stesso.
In relazione a questo, il funzionamento dell'antivirus Dr.Web per server Windows e di Agent Dr.Web per Windows con supporto AMSI attivato può ridurre significativamente la velocità di funzionamento del server e causare problemi di prestazioni del software antivirus. Una release con un aggiornamento che risolve il problema indicato è stata rilasciata il 17 gennaio 2022. Fino a quando non verrà installato questo aggiornamento, gli sviluppatori software Doctor Web raccomandano di disattivare il supporto dell'interfaccia AMSI nei server di posta Exchange.
Per disattivare AMSI nei prodotti Microsoft Exchange Server, utilizzare l'interfaccia Exchange Server PowerShell:
- Aprire Exchange Server PowerShell.
- Eseguire sequenzialmente i seguenti comandi:
[PS] C:\>New-SettingOverride -Name DisablingAMSIScan -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing" [PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh [PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Importante: prima di eseguire i comandi, assicurarsi che tutti i dati siano salvati in quanto le azioni indicate porteranno al riavvio dei servizi Internet Information Services (IIS) e all'interruzione della connessione.
Raccomandiamo di riattivare il supporto dell'interfaccia AMSI sul server di posta quando il problema indicato verrà risolto con il rilascio dell'aggiornamento corrispondente. Per fare questo, è necessario eseguire i seguenti comandi tramite Exchange Server PowerShell:
[PS] C:\>Remove-SettingOverride -Identity DisablingAMSIScan -Confirm:$false
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Importante: prima di eseguire i comandi, assicurarsi che tutti i dati siano salvati in quanto le azioni indicate porteranno al riavvio dei servizi Internet Information Services (IIS) e all'interruzione della connessione.
È anche possibile disattivare AMSI tramite uno script PowerShell già pronto:
- Scaricare lo script Test-AMSI.ps1 dal repository Microsoft utilizzando questo link.
- Collocare lo script nella cartella C:\scripts in cui è installato Microsoft Exchange Server. Se la cartella scripts non c'è, crearla. Controllare necessariamente che il file sia sbloccato per evitare errori all'avvio dello script.
- Eseguire sequenzialmente i seguenti comandi:
[PS] C:\scripts>.\Test-AMSI.ps1 -DisableAMSI [PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Per riattivare AMSI sul server Microsoft Exchange, eseguire sequenzialmente i seguenti comandi:
[PS] C:\scripts>.\Test-AMSI.ps1 -EnableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Nothing found
