Сервис сканирования файлов

Механизм автоматической антивирусной проверки вложений при загрузке в систему. Взаимодействует с внешними сканирующими решениями (например, Kaspersky Scan Engine) через API, обеспечивая контроль безопасности файлов до их сохранения в хранилище.

В отличие от стандартных антивирусов, которые фоновым процессом сканируют данные на уровне операционной системы, внешние сканирующие решения работают по запросу приложения в момент загрузки. Такой подход позволяет анализировать файл до его попадания в систему, применять гибкие правила обработки угроз и не зависеть от настроек локального защитного ПО.

Основные сценарии использования:

• Контроль безопасности файлов, загружаемых пользователями из внешних источников;

• Предотвращение попадания вредоносного ПО в корпоративную систему;

• Проверка вложений перед их использованием в бизнес-процессах;

• Соответствие требованиям информационной безопасности организации.

Архитектура

Настройка

Настройка антивирусной проверки выполняется в разделе:

Настройки модулей системы > Общие настройки модулей > btk > Антивирусное ПО

Настройки сервиса сканирования файлов

В этом разделе задаются параметры подключения и поведения сервиса:

• Хост — адрес сервера внешнего сканирующего сервиса;

• Порт — порт подключения к сервису;

• Сервис — выбранный сервис сканирования в антивирусе;

• Удаление файла при обнаружении — флаг удаления файла (если не установлен — файл изолируется);

• Текст сообщения — сообщение, отображаемое пользователю при обнаружении угрозы.

Сервис сканирования файлов

В этом разделе управляется активация механизма — выбор внешнего сканирующего сервиса для включения проверки или «Не определено» для отключения.

Процесс проверки файлов

Проверка выполняется на этапе загрузки файла автоматически при попытке добавить вложение через любой инструмент прикрепления файлов. Контроль происходит до фактической загрузки файла в хранилище: пользователь инициирует добавление файла -> система отправляет файл на проверку -> если угроз не обнаружено, файл сохраняется в системе.

Механизм распространяется только на внешние файлы, загружаемые через интерфейс прикрепления вложений. Внутренние системные файлы и файлы, формируемые интеграционными процессами, проверке не подлежат.

Исключение из проверки

Чтобы исключить файлы из антивирусной проверки, внесите класс объекта-источника в справочник Btk_FileRestrictionDisable — «Настройка снятия ограничений на прикрепление файлов».
При загрузке система проверяет метаданные файла в таблице Btk_File: если класс объекта-источника (значение gidSrc) присутствует в справочнике Btk_FileRestrictionDisable, файл загружается без проверки.

Режимы работы

В зависимости от доступности внешнего сервиса сканирования система работает в одном из двух режимов.

Сервис сканирования недоступен

Если сканирование включено, но внешний сервис не работает или недоступен, файл пропускается в систему.

При этом файл полностью доступен для дальнейшей работы: его можно использовать в объектах, скачивать, редактировать связанные данные. При попытке скачать файл проверка выполняется антивирусом на ПК пользователя. Файл также попадает в реестр вредоносных файлов для последующего контроля.

Сервис сканирования доступен

Если внешний сервис работает, выполняется сканирование файла. При отсутствии угроз файл загружается в систему. При обнаружении угрозы выводится информационное сообщение, после чего выполняются настроенные действия: изоляция или удаление.

Действия с зараженными файлами

Для файлов, в которых обнаружены угрозы, предусмотрены два варианта действий.

Изоляция (настройка по умолчанию):

• зараженный файл помещается в отдельное файловое хранилище — карантин;

• файл недоступен для использования в системе и скачивания;

• при решении пропустить файл через реестр вредоносных файлов он перемещается из карантина в целевое хранилище, куда планировалась исходная загрузка;

• файл можно удалить из карантина без перемещения.

Удаление:

• файл сразу удаляется из системы без возможности восстановления.

Настройка

Изменить действие по умолчанию можно в настройках модулей системы.

Реестр вредоносных файлов

Реестр вредоносных файлов — это журнал файлов, которые не прошли проверку или содержат угрозы.

Путь к реестру: Настройки системы > Настройки и сервисы > Дополнительно > Реестр вредоносных файлов.

Что попадает в реестр:

• файлы с обнаруженными вирусами;

• файлы, не прошедшие проверку из-за недоступности сервиса;

• файлы, при проверке которых возникли ошибки.

Файлы в реестре физически хранятся в карантинном хранилище и недоступны для использования до принятия решения.

Действия в реестре:

• Пропустить — разрешить использование файла в системе. Доступно пользователям с объектной привилегией allowfile — «Пропускать подозрительный файл» или ролью btk_allowfile — «Исключение подозрительных файлов из процесса сканирования».

• Повторно сканировать — запустить проверку файла заново. Доступно всем пользователям с доступом к реестру. После повторного сканирования результат проверки обновляется в записи реестра.

Привилегии

• Кнопка Пропустить отображается только у пользователей с соответствующей привилегией.

• При пропуске файла оставьте комментарий в диалоговом окне — это обязательное действие.

• После пропуска файл перемещается из карантина в целевое хранилище и становится доступен для использования.

Рекомендация по настройке сторонних антивирусов

Если на сервере с файловым хранилищем установлен дополнительный десктопный антивирус, добавьте в исключения:

• путь к основному файловому хранилищу;

• путь к карантинному хранилищу.

Причина: файлы, помещённые в карантин, физически хранятся в отдельной директории, но блокируются для использования до принятия решения уполномоченным пользователем. Сторонний антивирус может автоматически удалить такой файл, что приведёт к потере данных и нарушит процедуру согласования.

Отсутствие автоматических уведомлений

Сервис не формирует автоматические оповещения для администраторов при обнаружении угроз. Все сведения о проблемных файлах фиксируются только в реестре вредоносных файлов. Обработка записей выполняется по факту обращения пользователя или при самостоятельной проверке реестра администратором.

Журнал логов

Путь к журналу: Аудит > Журнал сканирования файлов.

В журнале фиксируются результаты проверки файлов, ошибки сканирования и действия, выполненные с файлами.

Поля журнала:

Поле	Описание
Пользователь	Учетная запись пользователя, который инициировал загрузку файла.
Хост	Адрес компьютера или сетевого узла, с которого была выполнена загрузка.
Сервис	Наименование сервиса сканирования, который выполнял проверку (например, Kaspersky Scan Engine).
Дата	Дата и время загрузки файла и выполнения проверки.
Продолжительность	Длительность сканирования файла в миллисекундах.
Имя файла	Оригинальное наименование файла.
Путь до файла	Расположение файла в файловом хранилище системы.
Угроза	Наименование обнаруженной угрозы, если проверка выявила вредоносный код.
Тип угрозы	Категория обнаруженной угрозы: вирус, троян, шпионское ПО, нежелательное ПО и т.д.
Результат	Итог проверки. Возможные значения: - Обнаружена угроза — файл содержит вредоносный код; - Не представляет угрозы — файл безопасен; - Ошибка со стороны клиента — соединение установлено, но запрос не может быть выполнен корректно из-за ошибок клиента; - Ошибка соединения — не удалось установить соединение с сервисом сканирования.
Действие	Выполненное действие с файлом. Возможные значения: - Пропущен вручную — файл разрешён к использованию через операцию Пропустить в Реестре вредоносных файлов; файл перемещается из карантина в целевое хранилище; - Заблокирован — файл перемещён в карантинное хранилище, создана запись в Реестре вредоносных файлов; - Пропущен — файл загружен без ограничений; - Пропущен с ошибкой — при ошибке сканирования файл пропущен для сохранения бизнес-процессов, но помещён в Реестр вредоносных файлов; - Удален — файл удалён из системы.
Описание	Дополнительная техническая информация о событии проверки.
Комментарий	Примечание, добавленное пользователем или системой для пояснения результата.

Сценарий работы

Общий сценарий обработки файла при загрузке в систему на примере Kaspersky Scan Engine:

1. Загрузка файла
   Пользователь инициирует загрузку файла.

2. Проверка
   Система автоматически отправляет файл на проверку в Kaspersky Scan Engine.

3. Результат проверки
   В зависимости от ответа антивируса:

   • Если файл безопасен — он загружается в хранилище и становится доступен для использования согласно правам доступа;

   • Если обнаружена угроза или ошибка — система выполняет настроенное действие:

     • Изоляция — файл перемещается в карантинное хранилище и блокируется для использования;

     • Удаление — файл удаляется из системы;

     • Пропуск с ошибкой — при недоступности сервиса файл загружается в систему и попадает в реестр.

4. Уведомление пользователя
   Если файл заражен, пользователь получает информационное сообщение с указанием:

   • что произошло с файлом;

   • куда обратиться за помощью (к администратору или в службу поддержки).

5. Обращение в службу поддержки при обнаружении угрозы
   Пользователь обращается в указанную службу (настраивается заказчиком) для решения вопроса с заблокированным файлом.

6. Анализ логов
   Служба поддержки извлекает логи из журнала Аудит > Журнал сканирования файлов:

   • кто загрузил файл;

   • когда произошла проверка;

   • какой результат получен.

7. Принятие решения
   Служба поддержки принимает решение:

   • пропустить файл;

   • удалить файл окончательно;

   • повторно сканировать.