Как правильно произвести настройку антивируса для работы с программой КонсультантПлюс

Вопрос: Как правильно произвести настройку антивируса для работы с программой КонсультантПлюс? Какие проблемы могут возникать при совместной работе с антивирусными программами на рабочей станции, файл-сервере и машине администратора КонсультантПлюс?

Ответ: Рассмотрим возможные ситуации, возникающие при совместной работе программы КонсультантПлюс с антивирусными программами.

Сканирование файлов антивирусом

Технология КонсультантПлюс подразумевает работу с файлами Информационных Банков (ИБ) большого объема. В данный процесс может вмешиваться антивирус, при первом открытии, либо после того как обнаружит, что файл ИБ изменился. Антивирус начинает проверять файлы данного банка на наличие вирусов. В результате антивирус считывает по сети весь файл, одновременно выполняя его проверку. Как следствие, открытие файлов программой КонсультантПлюс может длиться продолжительное время. Это сказывается на увеличении общего времени запуска программы КонсультантПлюс, что может выглядеть как "подвисание". В основном такие ситуации наблюдаются после изменения файлов ИБ, т.е. после проведения пополнения информационных банков.

На файл-сервере при открытии файлов ИБ пользователями программы КонсультантПлюс, также может производиться сканирование файлов ИБ антивирусом, запущенным на файл-сервере. Этот процесс также может вызывать значительные задержки в доступе, и приводить к сильному замедлению запуска программы, вызывая блокировки файлов, на время сканирования.

Мы рекомендуем добавить в исключения антивируса, следующие маски файлов (данные файлы не содержат исполняемый код):

*.dt?

*.nx?

*.rx?

*.ini

*.kub

*.bis

*.adm

*.ans

Здесь используется маска "*", означающее любое количество произвольных символов, и маска "?", означающая один или ни одного произвольного символа.

При приеме пополнений через интернет-пополнение на машине администратора дополнительно происходит прием запакованных файлов пополнений. При данном процессе антивирус "на лету" проводит проверку http-протокола, либо записываемого на диск/общую папку пришедшего архива с пополнением, что может привести к обрыву связи с сервером обновлений в РИЦ по таймауту (в CONS_ERR.TXT может выдаваться, например, "Ошибка 12002").

В подобной ситуации мы рекомендуем использование ключа /INETTIMEOUT - со значением 10 минут (по умолчанию - 3 минуты). Пример использования:

СONS.EXE /ADM /BASE* /RECEIVE_INET /INETTIMEOUT=10

Антивирусный фаервол

На рабочих станциях антивирусы, имеющие встроенный антивирусный фаервол, могут препятствовать нормальному обмену с серверами ИП. Данное поведение может приводить к событиям разнообразного характера, например, долгая проверка передаваемых файлов, вызывающая таймауты и закрытие сессий, искажение заголовков и содержимого передаваемых http-пакетов, блокирование передачи отдельных файлов и http-пакетов.

Например, подобные проблемы в нашей практике наблюдались с сервисами КД/КУП при включенной опции Веб-Контроль в Kaspersky Endpoint Security.

В подобных ситуациях мы рекомендуем добавить в исключения антивирусных фаерволов, следующие правила:

- сайты по маске *.consultant.ru, порт 80, протокол http

- сервера ИП вашего РИЦ, порт 80, протокол http

Конфликты между средствами безопасности

В ряде случаев на компьютере могут быть установлены два и более антивируса, что может привести к конфликту между антивирусами и являться причиной конфликтов доступа к файлам.

Мы не рекомендуем подобную практику и советуем ограничиться одним антивирусным продуктом.

Также возможна другая разновидность этой ситуации, когда конфликты с антивирусами вызывают встроенные средства безопасности, например, Защитник Windows (Windows Defender). Типичные симптомы - КонсультантПлюс при старте не может найти res-модуль (хотя он есть). Если переименовать файл ТМ VR*.RES в *.EXE и запустить его с проблемной машины - выпадают другие ошибки ("Неверная длина файла <имя_файла_ТМ>", "Исполняемый код не является кодом программы КонсультантПлюс", "Невозможно создать директорию <Путь_к_комплекту>" и т.д.). В этом случае попробуйте временно отключить Защитник Windows и выполнить запуск КонсультантПлюс.

Для отключения Защитника Windows, откройте компонент "Защитник Windows" (Пуск->Панель управления->Защитник Windows) . В меню "Сервис" выберите "Параметры". Выберите пункт "Администратор", снимите флажок "Использовать эту программу", а затем нажмите кнопку "Сохранить". Если отображается запрос на ввод пароля администратора или его подтверждения, укажите пароль или предоставьте подтверждение.

Если проблема исчезнет, добавьте папку КонсультантПлюс в исключения Защитника.

Нарушение целостности системы

Возникают ситуации, когда в случае заражения антивирус не может корректно вылечить приложение и помещает его в карантин. Так же возможны ситуации с удалением системных библиотек или какой-либо системной компоненты. Вследствие этого может нарушаться корректная работа операционной системы Windows.

Ситуация может усугубляться тем, что данный компонент пользователь может обычно и не использовать, но при работе программы КонсультантПлюс он может быть необходим. Заражение и повреждение компонент WINDOWS могло произойти достаточно давно, а проявиться только сейчас при запуске программы КонсультантПлюс.

Как пример - при запуске сетевого комплекта СПС КонсультантПлюс возникает системное сообщение Windows:

"Приложение не было запущено, поскольку оно было некорректно настроено. Повторная установка приложения может решить данную проблему".

Такое сообщение выдается Windows при отсутствии системной библиотеки. У клиента повреждена ОС (отсутствует или повреждена системная библиотека (dll), необходимая для работы нашей программы). Это могло произойти в результате лечения от вирусов. Антивирус мог просто удалить зараженную библиотеку при невозможности ее лечения.

В таких случаях рекомендуем воспользоваться утилитой восстановления системы. Если утилита не смогла восстановить библиотеку, часто бывает необходимо переустанавливать Windows.

Можно выполнить проверку целостности системных файлов командой:

SFC /SCANNOW

Иногда в таких случаях помогает повторная переустановка ServicePack текущей или более новой версии.

Ложные срабатывания антивируса

Это иногда возникающая группа проблем, проявляющаяся, как правило, после выпуска нового технологического модуля, в котором какая-либо последовательность байтов случайно совпадает с сигнатурой вируса, по которой антивирус производит поиск вируса.

Другая причина ложного срабатывания - это срабатывание механизма анализатора поведения программ внутри антивируса. Дело в том, что КонсультантПлюс в ходе своей работы создает дочерние процессы и потоки, управляет ими и взаимодействует с ними. Это позволяет, к примеру, полноценно продолжать работу внутри КонсультантПлюс, пока он выполняет поиск информации. Однако некоторые антивирусы (особенно при усиленных настройках безопасности) могут расценивать способность одного процесса вмешиваться в работу других процессов и потоков как подозрительную.

Стоит помнить, что ситуация усложняется тем, что у клиента может быть не ложное, а реальное срабатывание антивируса, и эту возможность никогда исключать не стоит. Более того - ложное срабатывание не исключает реальных заражений, и модуль может быть при этом заражен другим вирусом.

Самый правильный способ решения такой проблемы - проверить, что у пользователей ограничены права на изменение файла, выполнить проверку проблемного модуля другим антивирусом (лучше двумя-тремя), временно добавить проблемный модуль в исключения антивируса.

Что еще необходимо знать

В случае подозрения на вирусную активность мы рекомендуем выполнение дополнительной проверки файлов каким-либо сторонним антивирусом, не установленным стандартно на машине клиента. Это позволяет получить альтернативную оценку вирусной активности.

Целостность файла cons.exe и res-файла с технологическим модулем всегда можно дополнительно проверить командой:

CONS /TEST

В случае сетевой версии КонсультантПлюс рекомендуем не забывать, правильно настраивать права доступа пользователей к общей папке (см. соответствующий документ в нашей базе знаний - "Пошаговая инструкция по раздаче прав для сетей Microsoft и Novell"), иначе риск заражения исполняемых модулей КонсультантПлюс заметно увеличивается.