В ходе настройки политик управления клиентами любого антивирусного ПО необходимо определять список каталогов, имён процессов или даже расширений фалов, которые должны исключаться из Real-Time сканирования. Постараюсь собрать в одном месте информацию о рекомендуемых параметрах исключений и по мере необходимости буду его корректировать. Стоит отметить, что список составлен исходя из приложений, которые эксплуатируются в моём рабочем окружении. Список разделен по основным категориям сервисов и там где возможно есть ссылки на официальные рекомендации производителей ПО. Во всех случаях подразумевается что программное обеспечение установлено в каталоги «по умолчанию».
-
Антивирус для Windows Server - настраиваем список исключений. Обновлено 11.08.2016
-
SCCM 2012 - Client Push Install для серверов Forefront TMG
В процессе автоматического развёртывания клиентов System Center 2012 Configuration Manager (SCCM) методом Push-installation мы можем обнаружить, что на сервера Forefront TMG клиент SCCM не устанавливается. Официальный список используемых для этой процедуры портов можно найти в документах Windows Firewall and Port Settings for Client Computers in Configuration Manager и Ports Used by Configuration Manager
Руководствуясь этими документами у меня так и не получилось добиться желаемого результата и поэтому пришлось методом проб отработать работоспособный вариант решения проблемы. Рассмотрим его.
-
Forefront TMG и кастомизированный wpad.dat
После того как мы начали использовать для авто-настройки параметров прокси WPAD файл который генерируется Forefront TMG, заметили то, что попытка использовать в настройках сети Internal в списке исключений для обхода прокси комбинацию имён и IP диапазонов приводит к проблеме открытия некоторых локальных узлов. Похожая проблема была описана в статье KB920715, но не смотря на то, что речь там идёт про ISA 2004, схожие симптомы мы наблюдали и на TMG. Когда из списка исключений для обхода прокси убирались IP диапазоны – проблема устранялась. Ещё к большему желанию отказаться от использования генерируемого TMG файла wpad.dat привела статья Richard Hicks' Forefront TMG Blog - WPAD Considerations for Kerberos Authentication with NLB VIP on Forefront TMG 2010. По одной из ссылок в этой статье было найдено описание метода “скармливания” TMG самостоятельно сформированного кастомизированного файла wpad.dat -
Дело осталось за малым, корректно создать собственный файл параметров авто-настройки WPAD. В изучении вопроса оказались полезными ресурсы Wikipedia - Proxy auto-config и Penguins Joys - Wpad.dat
В итоге у меня получился такой вот файл wpad.dat:
function FindProxyForURL(url, host) {
if (shExpMatch(host, "127.0.0.1" ) ||
shExpMatch(host, "localhost" ) ||
isInNet(host, "10.0.0.0", "255.0.0.0") ||
dnsDomainIs(host, ".holding.com" )||
dnsDomainIs(host, ".localdomain.ru" )||
dnsDomainIs(host, ".my.domain.local" )||
shExpMatch(url,"*.holding.com/*") ||
shExpMatch(url, "*.holding.com:*/*") ||
shExpMatch(url, "www.samedom1.ru") ||
shExpMatch(url, "app.samedom2.com") ||
isPlainHostName(host)) {return "DIRECT";}
return "PROXY KOM-AD01-TMGCL.holding.com:8080; DIRECT";
}
Для того чтобы заставить TMG использовать созданный нами wpad.dat воспользуемся набором скриптов, которые можно загрузить по ссылке указанной в статье Swedish Windows Security User Group > Use ISA/TMG to distribute your custom WPAD configuration file
Распаковываем на TMG сервере архив KB953293.zip в отдельный каталог, например C:ToolsCustomWPADKB953293 и создаём два командных файла для установки кастомизированного файла wpad.dat и для удаления (возврату к генерируемому файлу TMG). В нашем случае соответственно файлы получились такие:
wpad-file-install.cmd:
cd /d C:ToolsCustomWPADKB953293
cscript kb953293.wsf /array:. /net:internal /script:C:ToolsCustomWPADwpad.dat
wpad-file-uninstall.cmd:
cd /d C:ToolsCustomWPADKB953293
cscript kb953293.wsf /array:. /net:internal /del
Обратите внимание на то что в переменной array в качестве значения имени массива TMG можно указать точку, чтобы использовать текущий массив.
Сама процедура установки первым командным файлом выглядит примерно так:
В указанной статье обращается внимание на то, что в случае если в созданном нами файле wpad.dat будут найдены символы non-ASCII, то возможно процедура установки такого файла завершиться неуспешно.
После того, как наш файл авто-настройки успешно установлен в TMG, - очищаем кэш браузера с проверяем то, что по ссылке http://wpad.holding.com/wpad.dat нам возвращается именно наш файл. Проверяем работу браузеров с заданными нами настройками и убеждаемся в том, что комбинирование правил исключений для имён и IP работает успешно. Дополнительно собственным файлом авто-настройки мы решаем ещё одну проблему описанную Ричардом Хиксом - теперь клиенты будут обращаются на виртуальный IP нашего NLB кластера, а не на какую-то конкретную ноду, как это происходит в случае с использованием генерируемого TMG файла wpad.dat.
Установив кастомизированный файл авто-настройки следует помнить о том, что все последующие изменения, которые необходимо вносить в конфигурацию (например расширения списка обхода прокси) нужно производить путём корректировки созданного нами файла и повторной его установки командным файлом wpad-file-install.cmd. При этом изменения выполняемые на соответствующих закладках свойств сети Internal в консоли TMG будут игнорироваться, по крайней мере это показывают практические тесты.
-
Настраиваем Web Proxy Automatic Discovery (WPAD)
Если вы настраиваете параметры прокси сервера в веб-браузере Internet Explorer (IE) с помощью групповых политик, и тем более делаете это с запретом изменений настроек для пользователя, то рано или поздно может возникнуть ситуация, когда пользователь выехавший в командировку не сможет воспользоваться на служебном ноутбуке браузером для доступа в интернет где-нибудь в гостинице или аэропорте из-за невозможности отключения этих самых жёстко заданных настроек прокси.
Чтобы избежать подобной проблемы можно воспользоваться механизмом авто-настройки параметров прокси в браузере - Web Proxy Automatic Discovery (WPAD). С точки зрения клиентского браузера суть механизма WPAD в том, что при попытке доступа в интернет, браузер будет находить (через DNS/DHCP) сервер, на котором размещён настроечный файл http://wpad.holding.com/wpad.dat
Файл Wpad.dat это файл Java-script в котором задаются настройки параметров расположения имени и порта прокси сервера, а также список исключений для обхода прокси. В случае недоступности данного файла браузер будет выполнять попытку прямого подключения к Интернет-ресурсам через настроенный в свойствах сетевого адаптера шлюз по умолчанию. При этом в настройках самого браузера в явном виде параметры прокси не указываются, а включается соответствующая опция авто-обнаружения. Механизм WPAD поддерживают браузеры Internet Explorer, Mozilla Firefox, с некоторыми ограничениями Opera и др.
Для того чтобы клиентский браузер узнал о том, где в локальной сети расположен сервер с опубликованным файлом wpad.dat, может использоваться механизм обращения в DNS или получения настроек с сервера DHCP. Эти оба метода можно применять как раздельно, так и совместно и каждый из этих методов имеет свои достоинства и недостатки.
-
SCOM 2012 Discovery & Agent Push Install для серверов Forefront TMG
-
TMG 2010 - Резервное копирование Array Configuration с PowerShell
Озадачившись вопросом автоматизации регулярного выполнения резервного копирования настроек Forefront TMG 2010 нашёл ряд интересных материалов, в том числе статью, описывающую процедуру настройки взаимодействия DPM сервера и DPM агента, установленного на сервере Threat Management Gateway – "How DPM 2010 Could Protect Forefront TMG 2010 with a Minimum Opening of Feeds" (в блоге The Microsoft MVP Award Program Blog). Учитывая то, что в моём случае серверы являются виртуальными и периодически подвергаются резервному копированию в виде VM на сервер DPM, нет особого смысла в установке агента DPM непосредственно внутрь этих виртуальных машин. Поэтому я решил ограничиться созданием на регулярной основе резервных копий конфигурации массива TMG. Из консоли Threat Management Gateway Management эта процедура вызывается из меню действий или контекстного меню на конкретном массиве – Export (Back Up).
-
TMG 2010 - Локализация и кастомизация сообщений об ошибках
Одним из улучшений недавно вышедшего Service Pack 2 для Forefront TMG 2010 стало появление нового механизма управления страницами сообщений об ошибках. Конечно и до установки SP2 можно было кастомизировать страницы сообщений об ошибках, которые находились в подкаталоге .\ErrorHtmls каталога установки TMG (путь по умолчанию C:\Program Files\Microsoft Forefront Threat Management Gateway). Но ранее могли возникнуть определённые сложности, если вы, желая придать этим веб-страницам корпоративный стиль, например, пытались вставить в эти страницы какие-то графические элементы. В обновлённой версии TMG в каталоге установки появляется подкаталог .Templates\WebObjectsTemplates\ISA в котором можно найти страницы ошибок в формате htm и подкаталог HTML который подразумевается использовать для хранения графических элементов.
-
TMG 2010 - Установка Service Pack 2 в массиве NLB
-
Forefront TMG 2010 – Разрешение нестандартных туннелируемых портов
Возникла необходимость использовать через TMG 2010 подключение к HTTPS узлу в интернете, использующему нестандартный порт (не 443). В настройке по умолчанию вэб-прокси TMG разрешает доступ только по порту 443. Для того чтобы изменить перечень разрешенных портов воспользуемся подключением к COM-объекту TMG с помощью PowerShell.
Для того чтобы получить текущий список открытых туннелируемых портов, непосредственно на TMG сервере выполним PS скрипт:
$ServerName = "MY-PROXY-SERVER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges
В первой строчке в переменной $ServerName укажите имя своего сервера TMG или имя массива TMG, если сервер является членом массива.
Для того чтобы расширить список открытых туннелируемых портов, например 444 портом, выполним PS скрипт:$ServerName = "MY-PROXY-SERVER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges.AddRange("SSL 444", 444, 444)
$TMGObj.ApplyChanges()
Для того чтобы удалить ранее добавленный порт выполним PS скрипт:$ServerName = "MY-PROXY-SERVER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.TunnelPortRanges.Remove("SSL 444")
$TMGObj.ApplyChanges()
Дополнительные источники информации:
-
Forefront TMG 2010 - Отказ работы консоли после установки IE9
После установки рекомендуемых обновлений с WSUS, которые включают в себя новую версию браузера IE9 может перестать корректно работать консоль управления Forefront TMG 2010 на базе MMC - Forefront TMG Management. При попытке перехода к любому разделу управления TMG консоль будет порождать ошибку типа:
Есть жёсткий метод решения проблемы – редактирование файла C:Program FilesMicrosoft Forefront Threat Management GatewayUI_HTMLsTabsHandlerTabsHandler.htc как это описано например здесь: Технический блог Евгения Протопопова - TMG 2010 Console Error
Но можно избавиться от этой ошибки и более простым способом – изменением региональных настроек ОС. Открываем апплет изменения региональных настроек intl.cpl и на вкладке Formats сменить Format на English (United States)
После этого консоль заработает и можно будет спокойно дождаться выхода обновления исправляющего эту проблему и после его установки вернуть региональные настройки назад.