Проблема с антивирусом Касперского на серверах и решение
Вчера у заказчика возникли проблемы на нескольких Windows-серверах после ручной замены антивируса Касперского, который не желал обновляться атоматически, с работой сервисов в сети: оказались закрыты некоторые порты и протоколы, хотя такого не должно было случиться. Казалось бы мистика: антивирус управляется централизованно общей политикой, т.е. никакие настройки с заменой версии не поменялись, модуль сетевой защиты по этой политике вообще не используется. Но факт, есть факт, данные не идут, сервисы недоступны, кое-куда даже пропал доступ по RDP, скандал, паника :-)
Решение оказалось логичными и простым, под катом я процитирую письмо, которое написал сегодня утром.
Здравствуйте, коллеги!
Как видно из цитаты ниже, проблема с сетевыми протоколами и портами на сервере SERVER1, возникшая после замены антивируса, успешно решена.
Причиной проблемы было включение стандартного файерволла Windows, в котором не были прописаны исключения для портов и протоколов нужных в работе сервисов.
Временное решение, которое сейчас действует на сервере SERVER1 заключается в отключении встроенного файерволла Windows. Рекомендую ответственным за сервисы на данном сервере прописать в свойства встроенного файерволла Windows необходимые исключения и включить его.
Более развёрнуто о причинах проблемы:
1) При установке антивируса, оснащённого модулем сетевой защиты происходит отключение встроенного файерволла Windows, защита от сетевых атак ведётся модулем сетевой защиты антивируса. Далее антивирус подключается к центру управления и получает общую политику по Концерну, в которой стоит настройка не использовать модуль сетевой защиты антивируса. В результате отключены оба средства сетевой защиты: встроенное в Windows и модуль от антивируса. В таком состоянии все порты открыты, все протоколы разрешены, сетевая активность любых программ и сервисов не блокируется.
2) При удалении антивируса он возвращает настройки Windows к исходным, т.е. убирает следы своего присутствия, и включает встроенный файерволл Windows. Т.к. ни у кого до настоящего момента не было причин прописывать исключения во встроенный файерволл Windows, тот не знает о том, какие порты нужно держать открытыми, какие протоколы разрешены к работе, какие программы и сервисы должны общаться с сетью без ограничений. После перезагрузки встроенный файерволл Windows совершенно логично заблокирует всё, что не содержится в исключениях, и мы получим проблему с работоспособностью и доступностью наших сервисов.
3) Проблема может не проявиться, если на место старого антивируса будет установлен новый с модулем сетевой защиты, который так же как и предыдущий антивирус отключит при установке встроенный файерволл Windows. В нашем случае устанавливался антивирус без модуля сетевой защиты, поэтому он не отключил встроенный файерволл Windows, и проблема имела место быть.
Рекомендации к разработчикам сервисов для серверов Концерна:
Обязательно включайте в процедуру инсталляции своих сервисов автоматическое прописывание необходимых правил и исключений для встроенного файерволла Windows. Помните, что отключённый встроенный файерволл Windows может когда-нибудь быть включен. Помните, что ручное прописывание правил и исключений будет забыто, если сервис сразу заработал по причине отключённости встроенного файерволла Windows, и такое пропущенное действие станет ловушкой.
Рекомендации ответственным за антивирусную защиту:
Помните, что при смене антивируса может включиться встроенный файерволл Windows, а в нём возможно даже не разрешён доступ по RDP, и это грозит утратой доступа к управлению сервером. Рекомендую перед удалением антивируса проверять наличие исключения для доступа по RDP в свойствах встроенного файерволла Windows, при отсутствии такого исключения добавлять его, и только потом удалять антивирус. При возникновении жалоб и проблем с сетевой защитой, будучи уверенным в доступности сервера по RDP рекомендовать пользователям самостоятельно настроить встроенный файерволл Windows.
Исходя из вышеизложенного, предполагаю, что на других серверах с проблемами в работе сетевых протоколов и портов (например SERVER2 и SERVER3), возникшими после замены антивируса, ситуация обстоит аналогичным образом и может быть решена правильной настройкой встроенного файерволла Windows и перезагрузкой ОС после этого. Если у ответственных за сервисы на проблемных серверах не получится устранить проблемы настройкой встроенного файерволла Windows, обращайтесь, будем изучать проблемы детально.
Все имена серверов изменены :-)
Решение оказалось логичными и простым, под катом я процитирую письмо, которое написал сегодня утром.
Здравствуйте, коллеги!
Как видно из цитаты ниже, проблема с сетевыми протоколами и портами на сервере SERVER1, возникшая после замены антивируса, успешно решена.
Причиной проблемы было включение стандартного файерволла Windows, в котором не были прописаны исключения для портов и протоколов нужных в работе сервисов.
Временное решение, которое сейчас действует на сервере SERVER1 заключается в отключении встроенного файерволла Windows. Рекомендую ответственным за сервисы на данном сервере прописать в свойства встроенного файерволла Windows необходимые исключения и включить его.
Более развёрнуто о причинах проблемы:
1) При установке антивируса, оснащённого модулем сетевой защиты происходит отключение встроенного файерволла Windows, защита от сетевых атак ведётся модулем сетевой защиты антивируса. Далее антивирус подключается к центру управления и получает общую политику по Концерну, в которой стоит настройка не использовать модуль сетевой защиты антивируса. В результате отключены оба средства сетевой защиты: встроенное в Windows и модуль от антивируса. В таком состоянии все порты открыты, все протоколы разрешены, сетевая активность любых программ и сервисов не блокируется.
2) При удалении антивируса он возвращает настройки Windows к исходным, т.е. убирает следы своего присутствия, и включает встроенный файерволл Windows. Т.к. ни у кого до настоящего момента не было причин прописывать исключения во встроенный файерволл Windows, тот не знает о том, какие порты нужно держать открытыми, какие протоколы разрешены к работе, какие программы и сервисы должны общаться с сетью без ограничений. После перезагрузки встроенный файерволл Windows совершенно логично заблокирует всё, что не содержится в исключениях, и мы получим проблему с работоспособностью и доступностью наших сервисов.
3) Проблема может не проявиться, если на место старого антивируса будет установлен новый с модулем сетевой защиты, который так же как и предыдущий антивирус отключит при установке встроенный файерволл Windows. В нашем случае устанавливался антивирус без модуля сетевой защиты, поэтому он не отключил встроенный файерволл Windows, и проблема имела место быть.
Рекомендации к разработчикам сервисов для серверов Концерна:
Обязательно включайте в процедуру инсталляции своих сервисов автоматическое прописывание необходимых правил и исключений для встроенного файерволла Windows. Помните, что отключённый встроенный файерволл Windows может когда-нибудь быть включен. Помните, что ручное прописывание правил и исключений будет забыто, если сервис сразу заработал по причине отключённости встроенного файерволла Windows, и такое пропущенное действие станет ловушкой.
Рекомендации ответственным за антивирусную защиту:
Помните, что при смене антивируса может включиться встроенный файерволл Windows, а в нём возможно даже не разрешён доступ по RDP, и это грозит утратой доступа к управлению сервером. Рекомендую перед удалением антивируса проверять наличие исключения для доступа по RDP в свойствах встроенного файерволла Windows, при отсутствии такого исключения добавлять его, и только потом удалять антивирус. При возникновении жалоб и проблем с сетевой защитой, будучи уверенным в доступности сервера по RDP рекомендовать пользователям самостоятельно настроить встроенный файерволл Windows.
Исходя из вышеизложенного, предполагаю, что на других серверах с проблемами в работе сетевых протоколов и портов (например SERVER2 и SERVER3), возникшими после замены антивируса, ситуация обстоит аналогичным образом и может быть решена правильной настройкой встроенного файерволла Windows и перезагрузкой ОС после этого. Если у ответственных за сервисы на проблемных серверах не получится устранить проблемы настройкой встроенного файерволла Windows, обращайтесь, будем изучать проблемы детально.
Все имена серверов изменены :-)