McAfee Endpoint Security 10.1 Guida del prodotto

Transcript

Guida del prodotto
McAfee Endpoint Security 10.1
COPYRIGHT
Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
ATTRIBUZIONI DEI MARCHI
Intel e il logo Intel sono marchi registrati di Intel Corporation negli Stati Uniti e/o in altri Paesi. McAfee e il logo McAfee, McAfee Active Protection,
McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee
LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total
Protection, TrustedSource, VirusScan sono marchi registrati o marchi di McAfee, Inc. o sue filiali negli Stati Uniti e in altri Paesi. Altri marchi e
denominazioni potrebbero essere rivendicati come proprietà di terzi.
INFORMAZIONI SULLA LICENZA
Contratto di licenza
AVVISO A TUTTI GLI UTENTI: LEGGERE ATTENTAMENTE IL TESTO DEL CONTRATTO LEGALE RELATIVO ALLA LICENZA ACQUISTATA, CHE STABILISCE LE
CONDIZIONI GENERALI PER L'USO DEL SOFTWARE CONCESSO IN LICENZA. NEL CASO IN CUI NON SI SAPPIA CON ESATTEZZA QUALE TIPO DI
LICENZA È STATO ACQUISTATO, CONSULTARE I DOCUMENTI DI VENDITA E ALTRI DOCUMENTI RELATIVI ALLA CONCESSIONE DELLA LICENZA O
ALL'ORDINE DI ACQUISTO ACCLUSI ALLA CONFEZIONE DEL SOFTWARE O RICEVUTI SEPARATAMENTE IN RELAZIONE ALL'ACQUISTO MEDESIMO
(SOTTO FORMA DI OPUSCOLO, FILE CONTENUTO NEL CD DEL PRODOTTO O FILE DISPONIBILE SUL SITO WEB DAL QUALE È STATO SCARICATO IL
SOFTWARE). SE NON SI ACCETTANO INTEGRALMENTE I TERMINI DEL CONTRATTO, NON INSTALLARE IL SOFTWARE. SE PREVISTO DAL CONTRATTO,
L'UTENTE POTRÀ RESTITUIRE IL PRODOTTO A MCAFEE O AL PUNTO VENDITA IN CUI È STATO ACQUISTATO ED ESSERE INTERAMENTE RIMBORSATO.
2
Guida del prodotto
Sommario
1
McAfee Endpoint Security
5
Introduzione
7
Moduli Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Modalità di protezione del computer da parte di Endpoint Security . . . . . . . . . . . . . .
8
Mantenimento dell'aggiornamento della protezione . . . . . . . . . . . . . . . . . . 8
Interazione con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
Informazioni sull'icona della barra delle applicazioni McAfee . . . . . . . . . . . . . . 10
Informazioni sui messaggi di notifica . . . . . . . . . . . . . . . . . . . . . . . 11
Informazioni su Client Endpoint Security . . . . . . . . . . . . . . . . . . . . . 12
2
Uso di Client Endpoint Security
17
Apertura di Client Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . .
Richiesta di assistenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Risposta a richieste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Risposta a un messaggio di rilevamento minaccia . . . . . . . . . . . . . . . . . .
Risposta a richiesta di scansione . . . . . . . . . . . . . . . . . . . . . . . .
Risposta a una richiesta di reputazione del file . . . . . . . . . . . . . . . . . . .
Informazioni sulla protezione . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipi di gestione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aggiornamento manuale di protezione e software . . . . . . . . . . . . . . . . . . . . .
Elementi aggiornati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualizzazione del Registro eventi . . . . . . . . . . . . . . . . . . . . . . . . . .
Informazioni sui file di registro . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione di Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Accedere come amministratore . . . . . . . . . . . . . . . . . . . . . . . . .
Sblocco dell'interfaccia client . . . . . . . . . . . . . . . . . . . . . . . . . .
Disattivazione e attivazione di funzioni . . . . . . . . . . . . . . . . . . . . . .
Modifica della versione AMCore content . . . . . . . . . . . . . . . . . . . . .
Uso dei file Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione delle impostazioni comuni . . . . . . . . . . . . . . . . . . . . .
Configurazione del comportamento di aggiornamento . . . . . . . . . . . . . . . .
3
Uso di Prevenzione delle minacce
41
Scansione del computer per individuare malware . . . . . . . . . . . . . . . . . . . . .
Tipi di scansioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Esecuzione di una scansione completa o di una scansione rapida . . . . . . . . . . .
Scansione di un file o una cartella . . . . . . . . . . . . . . . . . . . . . . . .
Gestione dei rilevamenti di minacce . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione degli elementi in quarantena . . . . . . . . . . . . . . . . . . . . . . . . .
Nomi rilevamenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ripetizione scansione di elementi in quarantena . . . . . . . . . . . . . . . . . .
Gestione di Prevenzione delle minacce . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione delle esclusioni . . . . . . . . . . . . . . . . . . . . . . . . .
Protezione dei punti di accesso al sistema . . . . . . . . . . . . . . . . . . . . .
17
18
18
18
19
19
20
20
21
22
22
23
25
25
26
26
27
27
29
33
41
41
42
44
45
46
48
49
49
50
51
Guida del prodotto
3
Sommario
Blocco degli exploit da overflow del buffer . . . . . . . . . . . . . . . . . . . . .
Rilevamento di programmi potenzialmente indesiderati . . . . . . . . . . . . . . .
Configurazione delle impostazioni di scansione comuni . . . . . . . . . . . . . . . .
Configurare le impostazioni della policy di scansione all'accesso . . . . . . . . . . . .
Configurazione delle impostazioni Scansione su richiesta . . . . . . . . . . . . . .
Configurazione, pianificazione e attivazione delle attività di scansione . . . . . . . . .
4
Uso di Firewall
77
Funzionamento di Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Attivare o visualizzare i gruppi a tempo Firewall . . . . . . . . . . . . . . . . . . . . .
Gestione di Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modifica delle opzioni Firewall . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione di gruppi e regole Firewall . . . . . . . . . . . . . . . . . . . . .
5
60
62
64
64
69
74
Utilizzo di Controllo Web
77
77
78
78
80
91
Informazioni sulle funzioni di Controllo Web . . . . . . . . . . . . . . . . . . . . . . . 91
Modalità di blocco o segnalazione di un sito o download da parte di Controllo Web . . . .
92
Il pulsante Controllo Web identifica le minacce durante la navigazione . . . . . . . . .
93
Identificazione delle minacce durante la ricerca mediante le icone di sicurezza . . . . . . 94
Fornitura di dettagli da parte dei rapporti sul sito . . . . . . . . . . . . . . . . . . 94
Compilazione delle classificazioni di sicurezza . . . . . . . . . . . . . . . . . . . 95
Accedere alle funzionalità di Controllo Web . . . . . . . . . . . . . . . . . . . . . . .
96
Attivazione del plug-in Controllo Web dal browser . . . . . . . . . . . . . . . . . . 96
Visualizzazione di informazioni su un sito durante la navigazione . . . . . . . . . . .
97
Visualizzazione del rapporto sul sito durante le ricerche . . . . . . . . . . . . . . . 97
Gestione di Controllo Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Configurazione delle opzioni Controllo Web . . . . . . . . . . . . . . . . . . . . 98
Specificare azioni di classificazione e bloccare l'accesso ai siti in base alla categoria Web .
101
6
Uso di Intelligence sulle minacce
Funzionamento di Intelligence sulle minacce . . . . .
Gestione di Intelligence sulle minacce . . . . . . . .
Informazioni su Intelligence sulle minacce . . .
Configurazione opzioni Intelligence sulle minacce
Indice
4
103
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
.
103
. 103
. 104
. 110
173
Guida del prodotto
®
McAfee Endpoint Security è una soluzione di gestione della sicurezza completa che viene eseguita sui
computer di rete per identificare e arrestare le minacce automaticamente. Questa guida spiega come
utilizzare le funzioni di sicurezza di base e risolvere i principali errori.
Guida introduttiva
•
Moduli Endpoint Security a pagina 7
•
Modalità di protezione del computer da parte di Endpoint Security a pagina 8
•
Interazione con Endpoint Security a pagina 9
Attività eseguite di frequente
•
Apertura di Client Endpoint Security a pagina 17
•
Aggiornamento manuale di protezione e software a pagina 21
•
Scansione del computer per individuare malware a pagina 41
•
Sblocco dell'interfaccia client a pagina 26
Ulteriori informazioni
Per accedere a ulteriori informazioni sul prodotto, vedere:
•
Guida all'installazione di McAfee Endpoint Security
•
Guida alla migrazione di McAfee Endpoint Security
•
Note sulla versione di McAfee Endpoint Security
•
Guida Prevenzione delle minacce Endpoint Security
•
Guida Firewall Endpoint Security
•
Guida Controllo Web Endpoint Security
•
Guida Intelligence sulle minacce Endpoint Security
•
Assistenza McAfee
Guida del prodotto
5
6
Guida del prodotto
1
Introduzione
Endpoint Security è una soluzione di gestione della sicurezza completa che viene eseguita sui
computer di rete per identificare e arrestare le minacce automaticamente. Questa guida spiega come
utilizzare le funzioni di sicurezza di base e risolvere i principali errori.
Se il computer è gestito, un amministratore imposta e configura Endpoint Security utilizzando uno dei
seguenti server di gestione:
•
McAfee ePolicy Orchestrator (McAfee ePO )
•
McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)
®
®
®
®
™
™
Se il computer è autogestito, l'utente (o l'amministratore) può configurare il software utilizzando Client
Endpoint Security.
Intelligence sulle minacce è supportato solo su sistemi gestiti da McAfee ePO.
Sommario
Moduli Endpoint Security
Modalità di protezione del computer da parte di Endpoint Security
Interazione con Endpoint Security
Moduli Endpoint Security
L'amministratore configura e installa uno o più moduli Endpoint Security sui computer client.
•
Prevenzione delle minacce - Verifica la presenza di virus, spyware, programmi indesiderati e
altre minacce attraverso la scansione degli elementi - automaticamente ogni volta che vi si accede
o in qualsiasi momento venga richiesta dall'utente.
•
Firewall - Monitora le comunicazioni tra il computer e le risorse di rete e la rete Internet.
Intercetta le comunicazioni sospette.
•
Controllo Web - Mostra le classificazioni di sicurezza e i rapporti per i siti Web durante la
navigazione e la ricerca online. Controllo Web consente all'amministratore del sito di bloccare
l'accesso ai siti Web in base alle classificazioni di sicurezza o al contenuto.
•
Intelligence sulle minacce - Offre una sicurezza adattiva in base al contesto per ambienti di
rete. Intelligence sulle minacce consente di analizzare rapidamente il contenuto di diverse origini
nell'azienda e di decidere in base alla reputazione di un file e ai criteri dell'amministratore.
Inoltre, il modulo In comune fornisce impostazioni per funzioni comuni, come sicurezza e registrazione
dell'interfaccia. Questo modulo viene installato automaticamente se è installato qualsiasi altro modulo.
Guida del prodotto
7
1
Introduzione
Modalità di protezione del computer da parte di Endpoint Security
Modalità di protezione del computer da parte di Endpoint
Security
Normalmente, un amministratore imposta Endpoint Security, installa il software sui computer client,
monitora lo stato della sicurezza e imposta le regole di sicurezza, dette policy.
L'utente del computer client può interagire con Endpoint Security tramite il software client installato
sul computer. Le policy impostate dall'amministratore determinano il modo in cui le funzioni e i moduli
operano sul computer e la possibilità di modificarli.
Se Endpoint Security è autogestito, è possibile specificare il funzionamento di moduli e funzioni. Per
stabilire il tipo di gestione, visualizzare la pagina Informazioni.
A intervalli regolari, il software client del computer si connette a un sito Internet per aggiornare i
propri componenti. Contemporaneamente, invia i dati relativi ai rilevamenti sul computer al server di
gestione. Questi dati vengono utilizzati per generare i report per l'amministratore relativi ai rilevamenti
e ai problemi di sicurezza del computer.
In genere, il software client funziona in background senza interazione dell'utente. Talvolta, tuttavia,
può essere necessario interagire con esso. Ad esempio quando si intende controllare la disponibilità di
aggiornamenti software o eseguire la scansione anti-malware manualmente. A seconda delle policy
impostate dall'amministratore, potrebbe essere possibile personalizzare le impostazioni di sicurezza.
L'amministratore può gestire e configurare centralmente il software client utilizzando McAfee ePO o
McAfee ePO Cloud.
Vedere anche
Informazioni sulla protezione a pagina 20
Mantenimento dell'aggiornamento della protezione
Aggiornamenti regolari di Endpoint Security garantiscono una protezione costante del computer dalle
più recenti minacce.
Per eseguire gli aggiornamenti, il software client si connette a un server McAfee ePO locale o remoto o
direttamente a un sito in Internet. Endpoint Security cerca:
•
Aggiorna i file di contenuto utilizzati per rilevare le minacce. I file di contenuto contengono le
definizioni per le minacce quali virus e spyware e tali definizioni vengono aggiornate non appena
vengono rilevate nuove minacce.
•
Gli upgrade dei componenti software, quali patch e hotfix.
Per semplificare la terminologia, la presente guida fa riferimento sia agli aggiornamenti sia agli
upgrade come aggiornamenti.
Gli aggiornamenti in genere vengono eseguiti automaticamente in background. Potrebbe essere inoltre
necessario controllare manualmente la disponibilità di aggiornamenti. A seconda delle impostazioni, è
possibile aggiornare manualmente la protezione da Client Endpoint Security facendo clic su
.
Vedere anche
8
Guida del prodotto
Introduzione
1
Funzionamento dei file di contenuto
La ricerca delle minacce tra i file effettuata dal motore di scansione avviene sulla base del confronto
del contenuto dei file sottoposti a scansione con le informazioni di minacce note memorizzate nei file
AMCore content. La prevenzione exploit utilizza i propri file di contenuto per proteggersi dagli exploit.
AMCore content
McAfee Labs rileva e aggiunge informazioni sulle minacce note (firme) ai file di contenuto. Insieme alla
firme, i file di contenuto includono informazioni su pulizia e metodo di contrasto del danno che
potrebbe causare il virus.
Se la firma di un virus non si trova in nessuno dei file di contenuto installati, il motore di scansione non
può rilevare e ripulire quel virus.
Nuove minacce appaiono continuamente. McAfee Labs rilascia aggiornamenti del motore e nuovi file di
contenuto che includono i risultati delle ricerche sulle minacce in corso quasi ogni giorno, circa alle
18:00 GMT (ora di Greenwich).
Endpoint Security archivia il file di contenuto attualmente caricato e le due versioni precedenti nella
cartella Program Files\Common Files\McAfee\Engine\content. Se necessario, è possibile tornare a una
versione precedente.
Quando viene scoperto un nuovo malware ed è necessario effettuare ulteriori rilevamenti, McAfee Labs
rende disponibile un file Extra.DAT fino al rilascio dell'aggiornamento dei contenuti successivo.
Contenuto prevenzione exploit
Il contenuto di prevenzione exploit include:
•
Firme di protezione della memoria: Generic Buffer Overflow Protection (GBOP) e Targeted API
Monitoring.
•
Elenco protezione applicazioni – Processi protetti dalla prevenzione exploit.
McAfee rilascia nuovi file di contenuto di prevenzione exploit una volta al mese.
Endpoint Security fornisce componenti visivi per l'interazione con Client Endpoint Security.
•
Icona McAfee nella barra delle applicazioni di Windows – Consente di avviare Client Endpoint
Security e visualizzare gli stati di sicurezza.
•
Messaggi di notifica – Avvisano l'utente di eseguire la scansione e il rilevamento delle intrusioni
firewall e di file con reputazione sconosciuta; richiedono un input.
•
Pagina Scansione all'accesso – Mostra l'elenco dei rilevamenti di minacce quando il programma di
scansione all'accesso rileva una minaccia.
•
Client Endpoint Security - Mostra lo stato di protezione attuale e fornisce accesso alle funzioni.
Per i sistemi gestiti, l'amministratore configura e assegna le policy per specificare quali componenti
sono visualizzati.
Vedere anche
Informazioni sull'icona della barra delle applicazioni McAfee a pagina 10
Informazioni sui messaggi di notifica a pagina 11
Gestione dei rilevamenti di minacce a pagina 45
Informazioni su Client Endpoint Security a pagina 12
Guida del prodotto
9
1
Introduzione
Informazioni sull'icona della barra delle applicazioni McAfee
L'icona McAfee nella barra delle applicazioni di Windows consente di accedere a Client Endpoint
Security e ad alcune attività di base.
L'icona McAfee potrebbe non essere disponibile, in base alla modalità di configurazione delle
impostazioni.
Utilizzare l'icona della barra delle applicazioni di sistema McAfee per:
Verificare lo stato della Fare clic con il pulsante destro del mouse sull'icona e scegliere Visualizza stato
sicurezza.
della sicurezza per visualizzare la pagina Stato della sicurezza McAfee.
Aprire Client Endpoint
Security.
Fare clic con il pulsante destro del mouse sull'icona e selezionare McAfee
Endpoint Security.
Aggiornare
manualmente la
protezione e il
software.
Fare clic con il pulsante destro del mouse sull'icona e selezionare Aggiorna
sicurezza.
Attivare o visualizzare
i gruppi a tempo
Firewall.
Fare clic con il pulsante destro del mouse sull'icona e selezionare un'opzione
dal menu Impostazioni rapide:
Vedere Elementi aggiornati a pagina 22.
• Attiva gruppi a tempo Firewall – Attiva i gruppi a tempo per un periodo definito
per consentire l'accesso a Internet non in rete prima dell'applicazione di
regole che limitano l'accesso.
Ogni volta che si seleziona questa opzione, si reimposta il tempo per i
gruppi.
• Visualizza gruppi a tempo Firewall – Visualizza i nomi dei gruppi a tempo e il
periodo rimanente di attività di ciascun gruppo.
Queste opzioni potrebbero non essere disponibili, in base alla modalità di
configurazione delle impostazioni.
Modalità di indicazione dello stato di Endpoint Security da parte dell'icona
L'aspetto dell'icona cambia per indicare lo stato di Endpoint Security. Mantenere il cursore sull'icona
per visualizzare un messaggio che descrive lo stato.
10
Guida del prodotto
1
Introduzione
Icona Indica...
Endpoint Security protegge il sistema e non è presente alcun problema.
Endpoint Security rileva un problema di sicurezza, ad esempio una tecnologia o un modulo
disattivato.
• Firewall è disattivato.
• Prevenzione delle minacce – prevenzione exploit, scansione all'accesso o ScriptScan sono
disattivati.
Endpoint Security riporta i problemi in modo diverso, in base al tipo di gestione.
• Autogestito:
• Una o più tecnologie sono disattivate.
• Una o più tecnologie non rispondono.
• Gestito:
• Una o più tecnologie sono disattivate, non come risultato dell'imposizione delle policy dal
server di gestione o da Client Endpoint Security.
• Una o più tecnologie non rispondono.
Quando viene rilevato un problema, la pagina Stato della sicurezza McAfee indica quale modulo o
tecnologia sono disattivati.
Vedere anche
Elementi aggiornati a pagina 22
Informazioni sui messaggi di notifica
Endpoint Security utilizza due tipi di messaggi per informare l'utente a proposito dei problemi di
protezione o per richiedere un input. Alcuni messaggi potrebbero non essere visualizzati, in base alla
modalità di configurazione delle impostazioni.
Il processo McTray.exe deve essere in esecuzione affinché Endpoint Security possa visualizzare
messaggi di notifica.
Endpoint Security invia due tipi di notifiche:
•
Gli avvisi compaiono al di sopra dell'icona di McAfee per cinque secondi, quindi scompaiono.
Gli avvisi informano l'utente a proposito dei rilevamenti di minacce, come gli eventi di intrusione
Firewall, o quando una scansione su richiesta viene sospesa o ripristinata. Non è necessaria alcuna
azione da parte dell'utente.
•
Le richieste aprono una pagina nella parte inferiore dello schermo e restano visibili fino a quando
si seleziona un'opzione.
Ad esempio:
•
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe
richiedere all'utente di rinviare la scansione.
•
Quando il programma di scansione all'accesso rileva una minaccia, Endpoint Security potrebbe
richiedere all'utente di rispondere al rilevamento.
•
Quando Intelligence sulle minacce rileva un file con reputazione ignota, Endpoint Security
potrebbe richiedere all'utente di consentire o bloccare il file.
Windows 8 e 10 utilizzano notifiche toast - messaggi che appaiono per comunicare all'utente avvisi e
richieste. Fare clic sulla notifica di tipo avviso popup per visualizzare la notifica in modalità Desktop.
Guida del prodotto
11
1
Introduzione
Vedere anche
Risposta a un messaggio di rilevamento minaccia a pagina 18
Risposta a richiesta di scansione a pagina 19
Risposta a una richiesta di reputazione del file a pagina 19
Informazioni su Client Endpoint Security
Client Endpoint Security consente di verificare le funzioni di accesso e stato di protezione sul
computer.
•
Le opzioni del menu Azione
Impostazioni
consentono di accedere alle funzioni.
Configura le impostazioni delle funzioni.
Questa opzione di menu è disponibile se una delle affermazioni seguenti è
vera:
• La Modalità interfaccia client è impostata su Accesso completo.
• L'utente è collegato come amministratore.
Carica Extra.DAT
Consente di installare un file Extra.DAT scaricato.
Ripristina AMCore
content
Ripristina una versione precedente di AMCore content.
Questa opzione di menu è disponibile se una versione precedente di AMCore
content esiste sul sistema e se una delle seguenti affermazioni è vera:
• La Modalità interfaccia client è impostata su Accesso completo.
• L'utente è collegato come amministratore.
Guida
Mostra la guida.
Link assistenza
Consente di visualizzare una pagina con collegamenti a pagine utili, come
McAfee ServicePortal e il Centro informazioni.
Accesso
amministratore
Consente di accedere come amministratore del sito. (Richiede le credenziali di
amministratore.)
La password predefinita è mcafee.
Questa opzione di menu è disponibile se la Modalità interfaccia client non è
impostata su Accesso completo. Se è stato effettuato l'accesso come
amministratore, questa opzione è Disconnetti amministratore.
•
Informazioni
Mostra informazioni su Endpoint Security.
Esci
Esce da Client Endpoint Security.
I pulsanti nella parte superiore destra della pagina forniscono un accesso rapido alle attività
frequenti.
Verifica la presenza di malware con una scansione completa o
una scansione rapida del sistema.
Questo pulsante è disponibile solo se il modulo Prevenzione
delle minacce è installato.
Aggiorna i file di contenuto e i componenti software sul
computer.
Questo pulsante potrebbe non essere visualizzato, in base
alla modalità di configurazione delle impostazioni.
12
Guida del prodotto
Introduzione
•
1
I pulsanti sul lato sinistro della pagina forniscono informazioni sulla protezione.
Torna alla pagina Stato principale.
Stato
Registro eventi Mostra il registro di tutti gli eventi di protezione e minaccia sul computer.
Quarantena
Apre il Gestore quarantena.
Questo pulsante è disponibile solo se il modulo Prevenzione delle minacce è installato.
•
Riepilogo minacce fornisce informazioni sulle minacce rilevate da Endpoint Security sul sistema
negli ultimi 30 giorni.
Vedere anche
Caricamento di un file Extra.DAT a pagina 28
Accedere come amministratore a pagina 25
Scansione del computer per individuare malware a pagina 41
Visualizzazione del Registro eventi a pagina 22
Gestione degli elementi in quarantena a pagina 46
Gestione di Endpoint Security a pagina 25
Informazioni su Riepilogo minacce a pagina 13
Informazioni su Riepilogo minacce
La pagina Stato di Client Endpoint Security fornisce un riepilogo in tempo reale delle minacce rilevate
sul sistema negli ultimi 30 giorni.
Quando vengono rilevate nuove minacce, la pagina Stato aggiorna in modo dinamico i dati nell'area
Riepilogo minacce, nel riquadro inferiore.
Il Riepilogo minacce include:
•
Data dell'ultima minaccia eliminata
•
I due vettori principali di minaccia, per categoria:
•
Web
Minacce da pagine Web o download.
Dispositivi o supporti
esterni
Minacce da dispositivi esterni, come USB, firewire 1394, eSATA, unità
nastro, CD, DVD o dischi.
Rete
Minacce dalla rete (condivisione di file non in rete).
Sistema locale
Minacce dall'unità di sistema file di boot locale (solitamente C:) o da unità
diverse da quelle classificate come Dispositivi o supporti esterni.
Condivisione file
Minacce da una condivisione di file in rete.
Email
Minacce dai messaggi email.
Messaggio immediato
Minacce da messaggistica immediata.
Sconosciuto
Minacce per le quale il vettore di attacco non è stabilito (a causa di una
condizione di errore o di altri errori).
Numero di minacce per vettore di minaccia
Se Client Endpoint Security non riesce a stabilire una connessione con Event ManagerClient Endpoint
Security, viene visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il proprio
sistema per visualizzare il Riepilogo minacce.
Guida del prodotto
13
1
Introduzione
Influenza delle impostazioni sull'accesso al client
Le impostazioni Modalità interfaccia client assegnate al computer determinano a quali moduli e
funzioni è possibile accedere.
Modificare la Modalità interfaccia client nelle impostazioni In comune.
Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle
apportate dalla pagina Impostazioni.
Le opzioni Modalità interfaccia client per il client sono:
Consente di accedere a tutte le funzionalità, tra cui:
Accesso
completo
• Attivazione e disattivazione di singoli moduli e funzioni.
• Accesso alla pagina Impostazioni per visualizzare o modificare tutte le impostazioni di
Client Endpoint Security.
Questa modalità è l'impostazione predefinita per i sistemi autogestiti.
Visualizza lo stato di protezione e consente di accedere alla maggior parte delle
funzionalità:
Accesso
standard
• Aggiorna i file di contenuto e i componenti software sul computer (se attivato
dall'amministratore).
• Esecuzione di un controllo approfondito di tutte le zone del sistema (consigliato se si
sospetta che il computer sia infetto).
• Esecuzione di un controllo rapido (2 minuti) delle zone del sistema più soggette alle
infezioni.
• Accesso al registro eventi.
• Gestione di elementi in quarantena.
Questa modalità è l'impostazione predefinita per i sistemi gestiti da McAfee ePO o
McAfee ePO Cloud.
Dalla modalità interfaccia Accesso standard, è possibile eseguire l'accesso come
amministratore e accedere a tutte le funzioni, comprese tutte le impostazioni.
Richiede una password per accedere al client.
Blocca
interfaccia
client
Una volta sbloccata l'interfaccia client, è possibile accedere a tutte le funzioni.
Se non è possibile accedere a Client Endpoint Security o ad attività e funzioni specifiche necessarie per
il proprio lavoro, contattare l'amministratore.
Vedere anche
Configurazione delle impostazioni per la sicurezza dell'interfaccia client a pagina 31
Come influiscono i moduli installati sul client
Alcuni aspetti del client potrebbero non essere disponibili, a seconda dei moduli installati sul computer.
Le seguenti funzionalità sono disponibili solo se Prevenzione delle minacce è installato:
•
Pulsante
•
14
Pulsante Quarantena
Guida del prodotto
Introduzione
1
Le funzioni installate sul sistema determinano le funzionalità visualizzate:
•
Nel menu a discesa del Registro eventi, Filtra per modulo.
•
Nella pagina Impostazioni.
In comune
Viene visualizzato se è installato un modulo.
Prevenzione delle minacce Viene visualizzato solo se Prevenzione delle minacce è installato.
Firewall
Viene visualizzato solo se Firewall è installato.
Controllo Web
Viene visualizzato solo se Controllo Web è installato.
Intelligence sulle minacce Viene visualizzato solo se Intelligence sulle minacce e Prevenzione delle
minacce sono installati.
Intelligence sulle minacce è supportato solo su sistemi gestiti da McAfee
ePO.
Intelligence sulle minacce richiede l'installazione di Prevenzione delle
minacce.
In base alla Modalità interfaccia client e al tipo di configurazione dell'accesso da parte
dell'amministratore, alcune o tutte queste funzioni potrebbero non essere disponibili.
Vedere anche
Influenza delle impostazioni sull'accesso al client a pagina 14
Guida del prodotto
15
1
Introduzione
16
Guida del prodotto
2
Utilizzare il client in modalità di accesso Standard per eseguire la maggior parte delle funzioni, incluse
le scansioni di sistema e la gestione degli elementi in quarantena.
Sommario
Apertura di Client Endpoint Security
Richiesta di assistenza
Risposta a richieste
Informazioni sulla protezione
Aggiornamento manuale di protezione e software
Visualizzazione del Registro eventi
Gestione di Endpoint Security
Apertura di Client Endpoint Security
Aprire Client Endpoint Security per visualizzare lo stato delle funzioni di protezione installate sul
computer.
Se la modalità interfaccia è impostata su Blocca interfaccia client, inserire la password amministratore per
aprire Client Endpoint Security.
Attività
1
2
Utilizzare uno di questi metodi per visualizzare Client Endpoint Security:
•
Fare clic con il pulsante destro del mouse sull'icona della barra delle applicazioni, quindi
selezionare McAfee Endpoint Security.
•
Selezionare Start | Tutti i programmi | McAfee | McAfee Endpoint Security.
•
In Windows 8 e 10, avviare l'app McAfee Endpoint Security.
1
Premere il tasto Windows.
2
Inserire McAfee Endpoint Security nell'area di ricerca, quindi fare doppio clic o toccare
l'app McAfee Endpoint Security.
Se richiesto, immettere la password amministratore nella pagina Accesso amministratore, quindi fare
clic su Accedi.
Client Endpoint Security si apre nella modalità interfaccia configurata dall'amministratore.
Vedere anche
Guida del prodotto
17
2
I due metodi di richiesta di assistenza durante l'uso del client sono l'opzione di menu Guida e l'icona ?.
Attività
1
Aprire Client Endpoint Security.
2
A seconda della pagina in cui ci si trova:
•
Pagine Stato, Registro eventi e Quarantena: dal menu Azione
•
Pagine Impostazioni, Aggiorna, Esegui scansione del sistema, Ripristina AMCore content e Carica Extra.DAT: fare
clic su ? nell'interfaccia.
, selezionare Guida.
A seconda della configurazione delle impostazioni, Endpoint Security può richiedere all'utente un input
quando sta per iniziare una scansione su richiesta pianificata.
Attività
•
Risposta a un messaggio di rilevamento minaccia a pagina 18
Quando il programma di scansione rileva una minaccia, Endpoint Security potrebbe
richiedere all'utente un input per procedere, in base alla modalità di configurazione delle
impostazioni.
•
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe
richiedere all'utente un input per procedere. La richiesta viene visualizzata solo se la
scansione è configurata per consentire all'utente di rinviare, sospendere, riprendere o
annullare la scansione.
•
Risposta a una richiesta di reputazione del file a pagina 19
Quando si tenta di eseguire un file con un determinato livello di reputazione, Endpoint
Security potrebbe inviare una richiesta di conferma per continuare. La richiesta si presenta
solo se Intelligence sulle minacce è configurato per eseguirla.
Risposta a un messaggio di rilevamento minaccia
Quando il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere
all'utente un input per procedere, in base alla modalità di configurazione delle impostazioni.
Attività
Per le definizioni delle opzioni, fare clic su ? nell'interfaccia.
•
Dalla pagina Scansione all'accesso, selezionare le opzioni per gestire i rilevamenti di minacce.
È possibile aprire nuovamente e in qualsiasi momento la pagina di scansione per gestire i
rilevamenti.
L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint
Security o del sistema.
Vedere anche
18
Guida del prodotto
2
Risposta a richiesta di scansione
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe richiedere
all'utente un input per procedere. La richiesta viene visualizzata solo se la scansione è configurata per
consentire all'utente di rinviare, sospendere, riprendere o annullare la scansione.
Se non si seleziona un'opzione, la scansione viene avviata automaticamente.
Esclusivamente per i sistemi gestiti, se la scansione è configurata per essere eseguita solo quando il
computer è inattivo, Endpoint Security mostra una finestra di dialogo quando la scansione viene
sospesa. Se configurato, è inoltre possibile riprendere le scansioni sospese o reimpostarle per
l'esecuzione solo quando il sistema è inattivo.
Attività
•
Quando viene visualizzata la richiesta, selezionare una delle seguenti opzioni.
Le opzioni visualizzate dipendono dal tipo di configurazione della scansione.
Avvia scansione
Avvia immediatamente la scansione.
Visualizza scansione Visualizza i rilevamenti per una scansione in corso.
Sospendi scansione Sospende la scansione. A seconda della configurazione, se si fa clic su Sospendi
scansione la scansione potrebbe essere reimpostata per l'esecuzione solamente
quando il sistema è inattivo. Fare clic su Riprendi scansione per riprendere la
scansione da dove è stata sospesa.
Riprendi scansione
Riprende una scansione sospesa.
Annulla scansione
Annulla la scansione.
Rinvia scansione
Ritarda la scansione per il numero di ore specificato.
Le opzioni della scansione pianificata determinano quante volte è possibile
rinviare la scansione per un'ora. Potrebbe essere possibile rinviare la scansione
più di una volta.
Chiude la pagina di scansione.
Chiudi
Se il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere all'utente
un input per procedere, in base alla modalità di configurazione delle impostazioni.
Risposta a una richiesta di reputazione del file
Quando si tenta di eseguire un file con un determinato livello di reputazione, Endpoint Security
potrebbe inviare una richiesta di conferma per continuare. La richiesta si presenta solo se Intelligence
sulle minacce è configurato per eseguirla.
L'amministratore configura una soglia di reputazione, che, nel momento in cui viene superata,
determina l'invio della richiesta di conferma. Ad esempio, se la soglia di reputazione è Sconosciuti,
Endpoint Security invia una richiesta di conferma per tutti i file con reputazione sconosciuta e
inferiore.
Guida del prodotto
19
2
Se non viene selezionata alcuna opzione, Intelligence sulle minacce esegue l'azione predefinita
configurata dall'amministratore.
Le azioni di richiesta, timeout e opzione predefinita dipendono dalla configurazione di Intelligence sulle
minacce.
Attività
1
(Opzionale) Insieme alla richiesta, è possibile inserire un messaggio da inviare all'amministratore.
Ad esempio, il messaggio potrebbe descrivere il file o spiegare il motivo per cui l'accesso al file è
stato bloccato o consentito nel sistema.
2
Cliccare su Consenti o Blocca.
Consenti
Consente l'accesso al file.
Blocca
Blocca l'accesso al file nel sistema.
Per impostare Intelligence sulle minacce e non far inviare nuovamente una richiesta di conferma
per lo stesso file, selezionare Memorizza questa decisione.
Intelligence sulle minacce, basandosi sulla scelta dell'utente o l'azione predefinita, interviene e chiude
la finestra di richiesta.
È possibile ottenere informazioni sulla protezione Endpoint Security, inclusi tipo di gestione, moduli,
funzioni, stato, numeri di versione e licenze della protezione.
Attività
1
2
Dal menu Azione
3
Fare clic sul nome di un modulo o di una funzione a sinistra per passare alle informazioni su
quell'elemento.
4
Fare clic sul pulsante Chiudi del browser per chiudere la pagina Informazioni.
, selezionare Informazioni.
Vedere anche
Tipi di gestione a pagina 20
Tipi di gestione
Il tipo di gestione indica la modalità di gestione di Endpoint Security.
20
Guida del prodotto
2
Tipo gestione
Descrizione
McAfee ePolicy Orchestrator
Un amministratore gestisce Endpoint Security utilizzando McAfee ePO
(in sede).
McAfee ePolicy Orchestrator
Cloud
Un amministratore gestisce Endpoint Security utilizzando McAfee ePO
Cloud.
Autogestito
Endpoint Security è gestito localmente utilizzando Client Endpoint
Security. Questa modalità è anche definita non gestito o autonomo.
In base al tipo di configurazione delle impostazioni, è possibile eseguire la ricerca e scaricare gli
aggiornamenti manualmente per i file di contenuto e i componenti software dal Client Endpoint
Security.
Gli aggiornamenti manuali sono denominati aggiornamenti su richiesta.
È inoltre possibile eseguire aggiornamenti manuali dall'icona della barra delle applicazioni di sistema
McAfee. Per ulteriori informazioni vedere Informazioni sull'icona della barra delle applicazioni McAfee a
pagina 10.
Endpoint Security non supporta recupero e copia manuale dei file di contenuto aggiornati nel sistema
client. Per assistenza durante l'aggiornamento di una specifica versione di contenuto, mettersi in
contatto con l' Assistenza McAfee .
Attività
1
2
Fare clic su
.
non viene visualizzato nel client, è possibile attivarlo nelle impostazioni. Per
Se
ulteriori informazioni vedere Configurazione del comportamento predefinito per gli aggiornamenti a
pagina 35.
Client Endpoint Security verifica la disponibilità di aggiornamenti.
•
Per annullare l'aggiornamento, fare clic su Annulla.
Questa opzione è disponibile solamente sui sistemi autogestiti e gestiti da McAfee ePO.
•
Se il sistema è aggiornato, la pagina mostra l'opzione Nessun aggiornamento disponibile e la data e
l'ora dell'ultimo aggiornamento.
•
Se l'aggiornamento viene completato, la pagina visualizza la data e l'ora correnti dell'ultimo
aggiornamento.
Tutti i messaggi o errori vengono visualizzati nell'area Messaggi.
Per maggiori informazioni consultare il file PackageManager_Activity.log o
PackageManager_Debug.log.
3
Fare clic su Chiudi per chiudere la pagina di aggiornamento.
Guida del prodotto
21
2
Vedere anche
Mantenimento dell'aggiornamento della protezione a pagina 8
Informazioni sui file di registro a pagina 23
Elementi aggiornati a pagina 22
Elementi aggiornati
Endpoint Security aggiorna contenuto di sicurezza, software (hotfix e patch) e impostazioni della policy
in modo diverso, a seconda del tipo di gestione.
Nei sistemi gestiti da McAfee ePO e autogestiti, la visibilità e il comportamento del pulsante
è configurabile. Per ulteriori informazioni vedere Configurazione, pianificazione e
attivazione delle attività di aggiornamento a pagina 37.
Tipo gestione
Metodo di aggiornamento
Aggiornamenti
McAfee ePO
Opzione Aggiorna sicurezza nel menu dell'icona
della barra delle applicazioni di sistema
McAfee
Solo contenuto e software, non le
impostazioni della policy.
Pulsante
Security
McAfee ePO
Cloud
in Client Endpoint
McAfee
Pulsante
Security
Autogestito
in Client Endpoint
McAfee
Pulsante
Security
in Client Endpoint
Contenuto, software e impostazioni
della policy, se configurate.
della policy.
Solo contenuto e software.
Nei registri attività e debug è memorizzato un record degli eventi che si verificano nel sistema protetto
da McAfee. È possibile visualizzare il registro eventi da Client Endpoint Security.
Attività
Per assistenza, nel menu Azione
1
2
Fare clic su Registro eventi nella parte sinistra della pagina.
Nella pagina sono visualizzati gli eventi registrati da Endpoint Security nel sistema negli ultimi 30
giorni.
Se Client Endpoint Security non riesce a raggiungere Gestore eventi, visualizza un messaggio di
errore di comunicazione. In questo caso, riavviare il sistema per visualizzare il registro eventi.
22
Guida del prodotto
3
2
Selezionare un evento dal riquadro superiore per visualizzare i dettagli nel riquadro inferiore.
Per modificare le dimensioni relative dei riquadri, fare clic e trascinare il widget sash tra i riquadri.
4
Nella pagina Registro eventi, ordinare, cercare, filtrare o ricaricare eventi.
Le opzioni visualizzate dipendono dal tipo di configurazione della scansione.
Per...
Passaggi
Ordinare gli eventi per data,
funzioni, azione intrapresa e
gravità.
Fare clic sull'intestazione colonna della tabella.
Eseguire ricerche nel registro
eventi.
Inserire il testo da cercare nel campo Cerca e premere Invio o
fare clic su Cerca.
La ricerca distingue fra maiuscole e minuscole e viene eseguita
in tutti i campi del registro eventi. Nell'elenco eventi sono
mostrati tutti gli elementi che contengono il testo
corrispondente.
Per annullare la ricerca e visualizzare tutti gli eventi, fare clic
su x nel campo Cerca.
5
Filtrare gli eventi per gravità o
modulo.
Selezionare un'opzione dall'elenco a discesa del filtro.
Aggiornare la visualizzazione del
Registro eventi con eventuali eventi.
Fare clic su
Aprire la cartella che contiene i
file di registro.
Fare clic su Visualizza cartella registri.
Per rimuovere il filtro e visualizzare tutti gli eventi, selezionare
Mostra tutti gli eventi dall'elenco a discesa.
.
Sfogliare il registro eventi.
Per...
Passaggi
Visualizzare la pagina di eventi precedente.
Fare clic su Pagina precedente.
Visualizzare la pagina di eventi successiva.
Fare clic su Pagina successiva.
Visualizzare una pagina specifica nel
registro.
Immettere un numero di pagina e premere Invio o
fare clic su Vai.
Per impostazione predefinita, il registro eventi mostra 20 eventi per pagina. Per visualizzare più
eventi per pagina, selezionare un'opzione dall'elenco a discesa Eventi per pagina.
Vedere anche
Informazioni sui file di registro
I file dei registri delle attività e di debug registrano eventi che si verificano nei sistemi con Endpoint
Security attivato. Configurare la registrazione nelle impostazioni In comune.
I file di registro attività vengono visualizzati nella lingua specificata dalle impostazioni locali predefinite
del sistema.
Per impostazione predefinita, tutti i file di registro attività e di debug vengono memorizzati in uno dei
seguenti percorsi, a seconda del sistema operativo.
Guida del prodotto
23
2
Sistema operativo
Percorso predefinito
Microsoft Windows 10
%ProgramData%\McAfee\Endpoint Security\Logs
Microsoft Windows 8 e 8.1
Microsoft Windows 7
Microsoft Vista
C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint
Security\Logs
Ogni modulo, funzione o tecnologia posiziona registrazioni di attività o debug in un file separato. Tutti i
moduli posizionano registrazioni di errore in un singolo file denominato
EndpointSecurityPlatform_Errors.log.
L'attivazione della registrazione debug per qualsiasi modulo attiva anche la registrazione di debug per le
funzioni del modulo In comune, come l'autoprotezione.
Tabella 2-1 File di registro
Modulo
Funzionalità o tecnologia
In comune
Nome file
EndpointSecurityPlatform_Activity.log
EndpointSecurityPlatform_Debug.log
Autoprotezione
SelfProtection_Activity.log
SelfProtection_Debug.log
Aggiornamenti
PackageManager_Activity.log
PackageManager_Debug.log
Errori
Prevenzione delle
minacce
EndpointSecurityPlatform_Errors.log
L'attivazione della
registrazione debug per
qualsiasi tecnologia
Prevenzione delle minacce
attiva anche la registrazione
debug per Client Endpoint
Security.
Protezione dell'accesso
ThreatPrevention_Activity.log
ThreatPrevention_Debug.log
AccessProtection_Activity.log
AccessProtection_Debug.log
Prevenzione exploit
ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
Programma di scansione
all'accesso
OnAccessScan_Activity.log
Programma di scansione su
richiesta
OnDemandScan_Activity.log
• Scansione rapida
OnAccessScan_Debug.log
OnDemandScan_Debug.log
• Scansione completa
• Scansione di scelta rapida
Client Endpoint Security
Firewall
MFEConsole_Debug.log
Firewall_Activity.log
Firewall_Debug.log
24
Guida del prodotto
2
Tabella 2-1 File di registro (segue)
Modulo
Funzionalità o tecnologia
Nome file
FirewallEventMonitor.log
Registra gli eventi di traffico bloccati e
consentiti, se configurato.
Controllo Web
WebControl_Activity.log
WebControl_Debug.log
Intelligence sulle
minacce
L'attivazione della
registrazione debug per
qualsiasi tecnologia
attiva anche la registrazione
debug per Intelligence sulle
minacce.
ThreatIntelligence_Activity.log
ThreatIntelligence_Debug.log
Per impostazione predefinita, i file di registro di installazione vengono memorizzati nelle seguenti
posizioni:
Autogestito
%TEMP%\McAfeeLogs (cartella TEMP dell'utente Windows)
Gestito
TEMP\McAfeeLogs (cartella TEMP del sistema Windows)
In qualità di amministratore, è possibile gestire Endpoint Security da Client Endpoint Security e ciò
include la disattivazione e l'attivazione di funzioni, la gestione di file di contenuto, la specifica della
modalità di comportamento dell'interfaccia client, la pianificazione delle attività e la configurazione
delle impostazioni in comune.
Vedere anche
Disattivazione e attivazione di funzioni a pagina 26
Modifica della versione AMCore content a pagina 27
Uso dei file Extra.DAT a pagina 27
Configurazione delle impostazioni comuni a pagina 29
Accedere come amministratore
Se la modalità interfaccia per Client Endpoint Security è impostata su Accesso standard, è possibile
accedere come amministratore in modo che siano disponibili tutte le impostazioni.
Prima di iniziare
La modalità dell'interfaccia per Client Endpoint Security deve essere impostata su Accesso
standard.
Guida del prodotto
25
2
Attività
1
2
Dal menu Azione
3
Nel campo Password immettere la password dell'amministratore, quindi fare clic su Accesso.
selezionare Accesso amministratore.
È ora possibile accedere a tutte le funzionalità di Client Endpoint Security.
Per disconnettersi, selezionare Azione | Disconnetti amministratore. Il client ritorna alla modalità interfaccia
Accesso standard.
Sblocco dell'interfaccia client
Se l'interfaccia di Client Endpoint Security è bloccata, sbloccarla con la password amministratore per
accedere a tutte le impostazioni.
Prima di iniziare
La modalità dell'interfaccia per Client Endpoint Security deve essere impostata su Blocca
interfaccia client.
Attività
1
2
Nella pagina Accesso amministratore, immettere la password amministratore nel campo Password, quindi
fare clic su Accedi.
Viene visualizzato Client Endpoint Security ed è quindi possibile accedere a tutte le funzioni del client.
Per uscire e chiudere il client, dal menu Azione
, selezionare Disconnetti amministratore.
Disattivazione e attivazione di funzioni
In qualità di amministratore, è possibile disattivare e attivare le funzioni di Endpoint Security da Client
Endpoint Security.
Prima di iniziare
La modalità dell'interfaccia per Client Endpoint Security è impostata su Accesso completo
oppure è necessario essere registrati come amministratore.
La pagina Stato mostra lo stato attivato del modulo di funzioni, che potrebbe non riflettere lo stato reale
della funzione. È possibile visualizzare lo stato di ciascuna funzione nella pagina Impostazioni. Ad esempio,
se l'impostazione Attiva ScriptScan non è applicata correttamente, lo stato potrebbe essere (Stato:
disattivato).
26
Guida del prodotto
2
Attività
1
2
Fare clic sul nome del modulo (come Threat Prevention o Firewall) nella pagina Stato principale.
In alternativa, dal menu Azione
pagina Impostazioni.
3
, selezionare Impostazioni, quindi fare clic sul nome del modulo nella
Selezionare o deselezionare l'opzione Attiva modulo o funzione.
Attivando una delle funzioni di Prevenzione delle minacce verrà attivato il modulo Prevenzione delle
minacce.
Vedere anche
Modifica della versione AMCore content
Utilizzare Client Endpoint Security per modificare la versione di AMCore content sul sistema.
Prima di iniziare
Endpoint Security archivia il file di contenuto attualmente caricato e le due versioni precedenti nella
cartella Program Files\Common Files\McAfee\Engine\content. Se necessario, è possibile tornare a una
versione precedente.
Attività
1
2
Dal menu Azione
3
Dall'elenco a discesa, selezionare la versione da caricare.
4
Fare clic su Applica.
, selezionare Ripristina AMCore content.
I rilevamenti nel file AMCore content caricato vengono applicati immediatamente.
Vedere anche
Funzionamento dei file di contenuto a pagina 9
Uso dei file Extra.DAT
È possibile installare un file Extra.DAT per proteggere il sistema da infezioni malware significative fino
al rilascio dell'aggiornamento AMCore content successivo.
Attività
•
Download di file Extra.DAT a pagina 28
Per scaricare un file Extra.DAT fare clic sul link di download fornito da McAfee Labs.
•
Caricamento di un file Extra.DAT a pagina 28
Per installare il file Extra.DAT scaricato, utilizzare Client Endpoint Security.
Guida del prodotto
27
2
Vedere anche
Informazioni sui file Extra.DAT a pagina 28
Informazioni sui file Extra.DAT
Quando viene scoperto un nuovo malware ed è necessario effettuare ulteriori rilevamenti, McAfee Labs
rende disponibile un file Extra.DAT. I file Extra.DAT contengono informazioni utilizzate da Prevenzione
delle minacce per gestire i nuovi malware.
È possibile scaricare file Extra.DAT per minacce specifiche dalla pagina di richiesta file Extra.DAT McAfee
Labs.
Prevenzione delle minacce supporta l'utilizzo di un solo file Extra.DAT.
Ogni file Extra.DAT include una data di scadenza. Quando il file Extra.DAT viene caricato, questa data
di scadenza viene confrontata con la data di creazione di AMCore content installato sul sistema. Se la
data di creazione del contenuto AMCore è più recente rispetto alla data di scadenza del file Extra.DAT,
quest'ultimo viene considerato scaduto e non viene più caricato e utilizzato dal motore. Durante
l'aggiornamento successivo, il file Extra.DAT viene rimosso dal sistema.
Se il successivo aggiornamento di AMCore content include la firma Extra.DAT, il file Extra.DAT viene
rimosso.
Endpoint Security archivia i file Extra.DAT nella cartella al seguente percorso: c:\Program Files
\Common Files\McAfee\Engine\content\avengine\extradat.
Download di file Extra.DAT
Per scaricare un file Extra.DAT fare clic sul link di download fornito da McAfee Labs.
Attività
1
Fare clic sul link di download, specificare un percorso in cui salvare il file Extra.DAT, quindi fare clic
su Salva.
2
Se necessario, estrarre il file EXTRA.ZIP.
3
Caricare il file Extra.DAT con Client Endpoint Security.
Caricamento di un file Extra.DAT
Per installare il file Extra.DAT scaricato, utilizzare Client Endpoint Security.
Prima di iniziare
Attività
1
2
Nel menu Azione
3
Fare clic su Sfoglia, individuare il percorso in cui è stato scaricato il file Extra.DAT, quindi fare clic su
Apri.
4
Fare clic su Applica.
, selezionare Carica Extra.DAT.
I nuovi rilevamenti nel file Extra.DAT hanno effetto immediato.
28
Guida del prodotto
2
Vedere anche
Configurazione delle impostazioni comuni
Configurare le impostazioni applicabili a tutti i moduli e le funzionalità di Endpoint Security nel modulo
In comune. Queste impostazioni includono le impostazioni della lingua e della sicurezza
dell'interfacciaClient Endpoint Security, la registrazione, le impostazioni del server proxy per McAfee
GTI e la configurazione degli aggiornamenti.
Attività
•
Protezione di risorse Endpoint Security a pagina 29
Una delle prime operazioni che i malware cercano di eseguire durante un attacco è la
disattivazione del software di sicurezza del sistema. Configurare le impostazioni di
autoprotezione di Endpoint Security nelle impostazioni del In comune per impedire l'arresto
o la modifica dei servizi e i file Endpoint Security.
•
Configurazione delle impostazioni di registrazione a pagina 30
Configurare la registrazione Endpoint Security nelle impostazioni del modulo In comune.
•
Consentire autenticazione mediante certificato a pagina 30
I certificati consentono a un fornitore di eseguire codice nei processi McAfee.
•
Configurare la password dell'interfaccia e le opzioni di visualizzazione per Client Endpoint
Security nelle impostazioni del modulo In comune.
•
Configurazione delle impostazioni del server proxy per McAfee GTI a pagina 32
Specificare le opzioni server proxy per recuperare la reputazione McAfee GTI nelle
impostazioni del modulo In comune.
Protezione di risorse Endpoint Security
Una delle prime operazioni che i malware cercano di eseguire durante un attacco è la disattivazione
del software di sicurezza del sistema. Configurare le impostazioni di autoprotezione di Endpoint
Security nelle impostazioni del In comune per impedire l'arresto o la modifica dei servizi e i file
Endpoint Security.
Prima di iniziare
Utenti, amministratori, sviluppatori o professionisti della sicurezza non dovrebbero mai disattivare la
protezione Endpoint Security sui sistemi.
Attività
1
2
Dal menu Azione
3
Fare clic su Mostra Avanzate.
4
Da Autoprotezione, verificare che Autoprotezione sia attivata.
, selezionare Impostazioni.
Guida del prodotto
29
2
5
6
Specificare l'azione per ciascuna delle seguenti risorse Endpoint Security:
•
File e cartelle – Impedisce agli utenti di modificare il database McAfee, i file binari, i file di ricerche
sicure e i file di configurazione.
•
Registro – Impedisce agli utenti di modificare l'hive del registro McAfee, i componenti COM e di
eseguire disinstallazioni utilizzando il valore di registro.
•
Processi - Impedisce l'arresto dei processi McAfee.
Fare clic su Applica per salvare le modifiche o fare clic su Annulla.
Vedere anche
Configurazione delle impostazioni di registrazione
Configurare la registrazione Endpoint Security nelle impostazioni del modulo In comune.
Prima di iniziare
Attività
1
2
Dal menu Azione
3
4
Configurare le impostazioni Registrazione client nella pagina.
5
Vedere anche
Consentire autenticazione mediante certificato
I certificati consentono a un fornitore di eseguire codice nei processi McAfee.
A seguito del rilevamento di un processo, la tabella dei certificati viene compilata con Fornitore,
Soggetto e Chiave pubblica SHA-1.
Questa impostazione potrebbe causare problemi di compatibilità e ridurre la sicurezza.
Attività
30
1
2
Dal menu Azione
3
Guida del prodotto
4
Nella sezione Certificati, selezionare Consenti.
5
2
Visualizza i dettagli della certificazione nella tabella.
Configurazione delle impostazioni per la sicurezza dell'interfaccia client
Configurare la password dell'interfaccia e le opzioni di visualizzazione per Client Endpoint Security
nelle impostazioni del modulo In comune.
Prima di iniziare
Modificare queste impostazioni con attenzione in quanto possono consentire agli utenti di modificare la
configurazione di sicurezza, lasciando quindi il sistema non protetto dagli attacchi malware.
Attività
1
2
Dal menu Azione
3
Configurare le impostazioni Modalità interfaccia client nella pagina.
4
Vedere anche
Effetti dell'impostazione di una password amministratore a pagina 31
Effetti dell'impostazione di una password amministratore
Quando si imposta la modalità dell'interfaccia su Accesso standard, è inoltre necessario impostare una
password amministratore.
L'impostazione di una password amministratore in Client Endpoint Security ha effetto per i seguenti
utenti:
Guida del prodotto
31
2
Non amministratori
Gli utenti non amministratori possono:
(utenti privi di diritti di
amministratore)
• Visualizzare alcuni parametri di configurazione.
• Eseguire scansioni.
• Verificare la disponibilità di aggiornamenti (se attivato).
• Visualizzare la quarantena.
• Visualizzare il registro eventi.
• Accedere alla pagina Impostazioni per visualizzare o modificare le
regole Firewall (se attivate).
Gli utenti non amministratori non possono:
• Modificare i parametri di configurazione.
• Visualizzare, creare, eliminare o modificare le impostazioni delle .
Un'eccezione è la possibilità di visualizzare o modificare le regole
Firewall (se attivate).
Amministratori
Gli amministratori devono immettere la password per accedere alle aree
(utenti che dispongono dei protette e modificare le impostazioni.
privilegi amministrativi)
Configurazione delle impostazioni del server proxy per McAfee GTI
Specificare le opzioni server proxy per recuperare la reputazione McAfee GTI nelle impostazioni del
modulo In comune.
Prima di iniziare
Attività
1
2
Dal menu Azione
3
4
Configurare le impostazioni Server proxy per McAfee GTI nella pagina.
5
Vedere anche
Funzionamento di McAfee GTI a pagina 32
Funzionamento di McAfee GTI
Se si attiva McAfee GTI per il programma di scansione all'accesso o su richiesta, il programma di
scansione utilizza l'euristica per verificare i file sospetti. Il server McAfee GTI archivia le classificazioni
sito e i report per Controllo Web. Se si configura Controllo Web per la scansione dei file scaricati, il
32
Guida del prodotto
2
programma di scansione utilizza la reputazione dei file fornita da McAfee GTIper verificare la presenza
di file sospetti.
Il programma di scansione invia impronte digitali degli esempi o hash, a un server database centrale
ospitato da McAfee Labs per stabilire se si tratta di malware. Inviando gli hash, il rilevamento potrebbe
essere reso disponibile prima del successivo aggiornamento dei file di contenuto, quando McAfee Labs
pubblica l'aggiornamento.
È possibile configurare il livello di sensibilità utilizzato da McAfee GTI per stabilire se un campione
rilevato è un malware. Un livello di sensibilità più elevato comporta un maggior numero di rilevamenti
di malware. Tuttavia, consentendo un maggior numero di rilevamenti è possibile ottenere un maggior
numero di falsi risultati positivi. Per Prevenzione delle minacce, il livello di sensibilità di McAfee GTI è
impostato su Medio per impostazione predefinita. Configurare il livello di sensibilità per ciascun
programma di scansione nelle impostazioni di Prevenzione delle minacce. Per Controllo Web, il livello
di sensibilità di McAfee GTI è impostato su Molto elevato per impostazione predefinita. Configurare il
livello di sensibilità per la scansione dei download di file nelle impostazioni Opzioni di Controllo Web.
È possibile configurare Endpoint Security per utilizzare un server proxy per il recupero delle
informazioni di reputazione di McAfee GTI nelle impostazioni del In comune.
Configurazione del comportamento di aggiornamento
Specificare il comportamento per gli aggiornamenti avviati da Client Endpoint Security nelle
impostazioni In comune.
Attività
•
Configurazione dei siti di origine per gli aggiornamenti a pagina 33
Per i sistemi autogestiti e gestiti da McAfee ePO, è possibile configurare i siti dai quali il
Client Endpoint Security ottiene file di sicurezza aggiornati nelle impostazioni del In
comune.
•
Configurazione del comportamento predefinito per gli aggiornamenti a pagina 35
Per i sistemi autogestiti e gestiti da McAfee ePO, è possibile specificare il comportamento
predefinito per gli aggiornamenti avviati da Client Endpoint Security nelle impostazioni del
In comune.
•
Configurazione, pianificazione e attivazione delle attività di aggiornamento a pagina 37
Per i sistemi autogestiti e gestiti da McAfee ePO, è possibile configurare le attività di
aggiornamento personalizzato o modificare l'Aggiornamento client predefinito dal Client Endpoint
Security nelle impostazioni del In comune.
•
Configurazione, pianificazione e attivazione dei compiti di mirroring a pagina 38
È possibile modificare o pianificare le attività di mirroring da Client Endpoint Securitynelle
impostazioni del In comune .
Configurazione dei siti di origine per gli aggiornamenti
Per i sistemi autogestiti e gestiti da McAfee ePO, è possibile configurare i siti dai quali il Client Endpoint
Security ottiene file di sicurezza aggiornati nelle impostazioni del In comune.
Prima di iniziare
È possibile configurare queste impostazioni solamente nei sistemi autogestiti e gestiti da McAfee ePO.
Guida del prodotto
33
2
Attività
1
2
Dal menu Azione
3
4
Da In comune, fare clic su Opzioni.
5
Configurare le impostazioni Siti di origine per gli aggiornamenti nella pagina.
È possibile attivare e disattivare il sito di origine backup predefinito, McAfeeHttp, e il server di gestione
(per i sistemi gestiti), ma non è possibile modificarli o eliminarli.
L'ordine dei siti determina l'ordine utilizzato da Endpoint Security per cercare il sito di
aggiornamento.
Per...
Attenersi alla seguente procedura
Aggiungere un sito
all'elenco.
1 Fare clic su Aggiungi.
2 Specificare le impostazioni del sito, quindi fare clic su OK.
Il sito viene visualizzato all'inizio dell'elenco.
Modificare un sito
esistente.
1 Fare doppio clic sul nome del sito.
Eliminare un sito.
Selezionare il sito, quindi fare clic su Elimina.
Importare siti da un file
contenente un elenco di
siti di origine.
1 Fare clic su Importa.
2 Modificare le impostazioni, quindi fare clic su OK.
2 Selezionare il file da importare, quindi fare clic su OK.
Il file con l'elenco di siti sostituisce l'elenco dei siti di origine esistente.
Esportare l'elenco di siti
di origine in un file
SiteList.xml.
1 Fare clic su Esporta tutto.
Riordinare i siti
nell'elenco.
Per spostare gli elementi:
2 Selezionare la posizione in cui salvare il file con l'elenco di siti di
origine e fare clic su OK.
1 Selezionare gli elementi da spostare.
Il simbolo di spostamento
viene visualizzato a sinistra degli
elementi che possono essere spostati.
2 Trascinare e rilasciare gli elementi nella nuova posizione.
Viene visualizzata una riga blu tra gli elementi dove è possibile
rilasciare gli elementi trascinati.
6
Vedere anche
Contenuto dell'elenco degli archivi a pagina 35
Funzionamento dell'attività Aggiornamento client predefinito a pagina 36
34
Guida del prodotto
2
Contenuto dell'elenco degli archivi
L'elenco degli archivi specifica informazioni sugli archivi utilizzati da McAfee Agent per aggiornare i
prodotti McAfee, compresi i file DAT e del motore.
L'elenco degli archivi include:
•
Informazioni sugli archivi e relativi percorsi
•
Preferenza dell'ordine degli archivi
•
Impostazioni del server proxy, se necessario
•
Credenziali crittografate necessarie per accedere a ciascun archivio
L'attività client di aggiornamento del prodotto McAfee Agent si connette al primo archivio attivato (sito
di aggiornamento) nell'elenco degli archivi. Se questo archivio non è disponibile, l'attività contatta il
sito successivo nell'elenco fino a stabilire correttamente la connessione o a raggiungere la fine
dell'elenco.
Se la rete utilizza un server proxy, è possibile specificare le impostazioni proxy da utilizzare, l'indirizzo
del server proxy e determinare se utilizzare o meno l'autenticazione. Le informazioni relative al proxy
vengono memorizzate nell'elenco degli archivi. Le impostazioni proxy configurate si applicano a tutti
gli archivi presenti nell'elenco.
La posizione dell'elenco degli archivi dipende dal sistema operativo:
Sistema operativo Posizione elenco degli archivi
Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml
Microsoft Windows 7
Versioni precedenti
C:\Documents and Settings\All Users\Application Data\McAfee\Common
Framework\SiteList.xml
Configurazione del comportamento predefinito per gli aggiornamenti
Per i sistemi autogestiti e gestiti da McAfee ePO, è possibile specificare il comportamento predefinito
per gli aggiornamenti avviati da Client Endpoint Security nelle impostazioni del In comune.
Prima di iniziare
Utilizzare le impostazioni seguenti per:
•
Visualizzare o nascondere il pulsante
•
nel client.
Specificare cosa aggiornare quando l'utente fa clic sul pulsante o esegue l'attività Aggiornamento
client predefinito.
Per impostazione predefinita, l'attività Aggiornamento client predefinito viene eseguita ogni giorno
all'una di notte e ripetuta ogni quattro ore fino alle 23:59. Per modificare la pianificazione, vedere
Configurazione, pianificazione e attivazione delle attività di aggiornamento a pagina 37.
Sui sistemi autogestiti, l'attività Aggiornamento client predefinito aggiorna tutti i contenuti e il software.
Sui sistemi gestiti, questa attività aggiorna solo i contenuti.
Guida del prodotto
35
2
Attività
1
2
Dal menu Azione
3
4
Configurare le impostazioni di Aggiornamento client predefinito nella pagina.
5
Vedere anche
Funzionamento dell'attività Aggiornamento client predefinito
L'attività Aggiornamento client predefinito esegue il download della protezione più recente nel Client
Endpoint Security.
Endpoint Security include l'attività Aggiornamento client predefinito che viene eseguita ogni giorno
all'una di notte e ripetuta ogni quattro ore fino alle 23:59.
L'attività Aggiornamento client predefinito:
1
Esegue la connessione al primo sito di origine attivato nell'elenco.
Se questo sito non è disponibile, l'attività contatta il sito successivo fino a stabilire la connessione o
a raggiungere la fine dell'elenco.
2
Scarica un file CATALOG.Z crittografato dal sito.
Il file contiene le informazioni necessarie per eseguire l'aggiornamento, compresi i file e gli
aggiornamenti disponibili.
3
Verifica le versioni del software contenute nel file confrontandole con quelle presenti nel computer e
scarica eventuali nuovi aggiornamenti software disponibili.
Se l'attività Aggiornamento client predefinito viene interrotta durante l'aggiornamento:
Aggiornamenti da...
Se interrotto...
HTTP, UNC o un sito locale
All'avvio successivo la scansione verrà ripresa dal punto in cui
era stata sospesa.
Sito FTP (download di un singolo file) Non riprende se viene interrotta.
Sito FTP (download di più file)
Riprende prima del file che si trovava in fase di download al
momento dell'interruzione.
Vedere anche
Contenuto dell'elenco degli archivi a pagina 35
36
Guida del prodotto
2
Configurazione, pianificazione e attivazione delle attività di aggiornamento
Per i sistemi autogestiti e gestiti da McAfee ePO, è possibile configurare le attività di aggiornamento
personalizzato o modificare l'Aggiornamento client predefinito dal Client Endpoint Security nelle impostazioni
del In comune.
Prima di iniziare
Utilizzare queste impostazioni per configurare dal client l'esecuzione dell'attività Aggiornamento client
predefinito. Vedere Configurazione del comportamento predefinito per gli aggiornamenti a pagina 35 per
configurare il comportamento predefinito per gli aggiornamenti client avviati da Client Endpoint
Security.
Attività
1
2
Dal menu Azione
3
4
Da In comune, fare clic su Attività.
5
Configurare le impostazioni dell'attività di aggiornamento nella pagina.
Per...
Creare un'attività di
aggiornamento
personalizzata.
2 Immettere il nome, quindi dall'elenco a discesa Seleziona tipo di attività
selezionare Aggiorna.
3 Configurare le impostazioni, quindi fare clic su OK per salvare
l'attività.
Modificare un'attività di
aggiornamento.
• Fare doppio clic sull'attività, apportare le modifiche quindi fare clic
su OK per salvare l'attività.
Rimuovere un'attività di
aggiornamento
personalizzata.
• Selezionare l'attività, quindi fare clic su Elimina.
Creare una copia di
un'attività di
aggiornamento.
1 Selezionare l'attività, quindi fare clic su Duplica.
2 Immettere il nome, configurare le impostazioni, quindi fare clic su
OK per salvare l'attività.
Guida del prodotto
37
2
Per...
Modificare la
pianificazione per
un'attività Aggiornamento
client predefinito.
1 Fare doppio clic su Aggiornamento client predefinito.
2 Fare clic sulla scheda Pianificazione, modificare la pianificazione, quindi
fare clic su OK per salvare l'attività.
Vedere Configurazione del comportamento predefinito per gli
aggiornamenti a pagina 35 per configurare il comportamento
predefinito per gli aggiornamenti client avviati da Client Endpoint
Security.
Eseguire un'attività di
aggiornamento.
• Selezionare l'attività, quindi fare clic su Esegui adesso.
Se l'attività è già in esecuzione, incluse le pause o i rinvii, il pulsante
cambia in Visualizza.
Se si esegue un'attività prima di aver applicato le modifiche, Client
Endpoint Security richiede di salvare le impostazioni.
6
Vedere anche
Funzionamento dell'attività Aggiornamento client predefinito a pagina 36
Configurazione, pianificazione e attivazione dei compiti di mirroring
È possibile modificare o pianificare le attività di mirroring da Client Endpoint Securitynelle impostazioni
del In comune .
Prima di iniziare
Attività
38
1
2
Dal menu Azione
3
4
5
Configurare le impostazioni dell'attività di mirroring nella pagina.
Guida del prodotto
Per...
mirroring.
2
2 Immettere il nome, quindi dall'elenco a discesa Seleziona tipo di attività
selezionare Esegui il mirroring.
3 Configurare le impostazioni, quindi fare clic su OK.
Modificare un'attività
di mirroring.
• Fare doppio clic sull'attività di mirroring, apportare le modifiche, quindi
fare clic su OK.
Rimuovere un'attività
di mirroring.
• Selezionare l'attività, quindi fare clic su Elimina.
Creare una copia di
un'attività di
mirroring.
Pianificare un'attività
di mirroring.
1 Fare doppio clic sull'attività.
mirroring.
2 Immettere il nome, configurare le impostazioni, quindi fare clic su OK.
6
Funzionamento delle attività di mirroring
L'attività di mirroring consente di replicare su un sito di mirroring della rete i file di aggiornamento
contenuti nel primo archivio accessibile definito nell'elenco degli archivi.
L'utilizzo più comune di questa attività è il mirroring dei contenuti del sito di download di McAfee in un
server locale.
Dopo aver replicato il sito McAfee che contiene i file di aggiornamento, i computer della rete possono
scaricare i file dal sito di mirroring. Questo approccio consente di aggiornare qualsiasi computer nella
rete, a prescindere che abbia accesso a Internet. L'utilizzo di un sito replicato è più efficiente poiché i
sistemi comunicano con un server più vicino rispetto a un sito Internet McAfee, con un risparmio in
termini di tempo di accesso e download.
Prevenzione delle minacce utilizza una directory per aggiornarsi. Di conseguenza, quando si esegue il
mirroring di un sito, è necessario replicare l'intera struttura della directory.
Guida del prodotto
39
2
40
Guida del prodotto
3
Prevenzione delle minacce verifica la presenza di virus, spyware, programmi indesiderati e altre
minacce eseguendo la scansione degli elementi del computer.
Sommario
Scansione del computer per individuare malware
Gestione dei rilevamenti di minacce
Gestione degli elementi in quarantena
Gestione di Prevenzione delle minacce
Scansione per rilevare malware sul computer selezionando opzioni in Client Endpoint Security o
Windows Explorer.
Attività
•
Esecuzione di una scansione completa o di una scansione rapida a pagina 42
Utilizzare Client Endpoint Security per eseguire una scansione completa o una scansione
rapida manuale sul computer.
•
Scansione di un file o una cartella a pagina 44
Fare clic con il pulsante destro del mouse in Windows Explorer per eseguire
immediatamente la scansione di un singolo file o cartella che si ritiene possano contenere
minacce.
Vedere anche
Tipi di scansioni a pagina 41
Tipi di scansioni
Endpoint Security fornisce due tipi di scansione: scansioni all'accesso e su richiesta.
•
Scansione all'accesso – L'amministratore configura le scansioni all'accesso per l'esecuzione sui
computer gestiti. Per i computer autogestiti, configurare il programma di scansione all'accesso nella
Quando si accede a file, cartelle e programmi, il programma di scansione all'accesso intercetta
l'operazione ed esegue la scansione dell'elemento, sulla base dei criteri definiti nelle impostazioni.
•
Scansione su richiesta
Guida del prodotto
41
3
Manuale
L'amministratore (o utente, per i sistemi autogestiti) configura scansioni su richiesta
predefinite o personalizzate che gli utenti possono eseguire sui computer gestiti.
• Eseguire una scansione su richiesta predefinita in qualsiasi momento da Client
Endpoint Security facendo clic su
un tipo di scansione:
e selezionando
Scansione rapida esegue un rapido controllo delle zone del sistema più soggette a
infezione.
Scansione completa esegue un controllo approfondito di tutte le zone del sistema.
(consigliato se si teme che il computer sia infetto.)
• Eseguire la scansione di un singolo file o una cartella in qualsiasi momento da
Windows Explorer facendo clic con il pulsante destro del mouse sul file o la cartella
e selezionando Ricerca minacce dal menu popup.
• Configurare ed eseguire una scansione su richiesta personalizzata come
amministratore da Client Endpoint Security:
1 Selezionare Impostazioni | In comune | Attività.
2 Selezionare l'attività da eseguire.
3 Fare clic su Esegui adesso.
Pianificata L'amministratore (o utente, per i sistemi autogestiti) configura e pianifica le scansioni
su richiesta per l'esecuzione sui computer.
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security
mostra una richiesta di scansione nella parte bassa della schermata. È possibile
avviare la scansione immediatamente o ritardarla, se configurato.
Per configurare e pianificare le scansioni su richiesta predefinite, Scansione rapida e
Scansione completa:
1 Scheda Impostazioni | Scansione su richiesta | Scansione completa o Scansione rapida –
Configura le scansioni su richiesta.
2 Impostazioni | Common | Attività – Pianifica scansioni su richiesta.
Vedere anche
Configurazione, pianificazione e attivazione delle attività di scansione a pagina 74
Esecuzione di una scansione completa o di una scansione
rapida
Utilizzare Client Endpoint Security per eseguire una scansione completa o una scansione rapida
manuale sul computer.
Prima di iniziare
Il modulo Prevenzione delle minacce deve essere installato.
Il comportamento della scansione completa e scansione rapida dipende dalla modalità di configurazione delle
impostazioni. È possibile modificare e pianificare queste scansioni nelle impostazioni della Scansione su
richiesta con le credenziali di amministratore.
42
Guida del prodotto
3
Attività
1
2
Fare clic su
3
.
Nella pagina Esegui scansione del sistema, fare clic su Avvia scansione per la scansione che si desidera
eseguire.
Scansione completa Esegue un controllo approfondito di tutte le zone del sistema (consigliato se si
sospetta che il computer sia infetto).
Scansione rapida
Esegue un controllo rapido delle zone del sistema più soggette alle infezioni.
Se è già in corso una scansione, il pulsante Avvia scansione diventa Visualizza scansione.
È inoltre possibile visualizzare il pulsante Visualizza rilevamenti per il programma di scansione
all'accesso, in base alla configurazione delle impostazioni e al rilevamento o meno di una minaccia.
Fare clic su questo pulsante per aprire la pagina Scansione all'accesso e gestire i rilevamenti in qualsiasi
momento. Vedere Gestione dei rilevamenti di minacce a pagina 45.
Client Endpoint Security mostra lo stato della scansione su una nuova pagina.
La Data creazione AMCore content indica l'ultimo orario di aggiornamento del contenuto. Se la data
del contenuto risale a più di due giorni prima, McAfee consiglia di aggiornare la protezione prima di
eseguire la scansione.
4
5
Fare clic sui pulsanti nella parte superiore della pagina di stato per controllare la scansione.
Sospendi scansione
Sospende la scansione prima di terminarla.
Riprendi scansione
Annulla scansione
Annulla una scansione in esecuzione.
Al termine della scansione, nella pagina vengono visualizzati il numero di file sottoposti a
scansione, il tempo trascorso e gli eventuali rilevamenti.
Nome rilevamento
Identifica il nome del malware rilevato.
Tipo
Mostra il tipo di minaccia.
File
Identifica il file infetto.
Azione
Descrive l'ultima azione di sicurezza intrapresa sul file infetto:
• Accesso negato
• Ripulito
• Eliminato
• Nessuna
L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione
su richiesta successiva.
Guida del prodotto
43
3
6
Selezionare un rilevamento nella tabella, quindi fare clic su Ripulisci o Elimina per ripulire o eliminare
il file infetto.
A seconda del tipo di minaccia e delle impostazioni di scansione, queste azioni potrebbero non
essere disponibili.
7
Fare clic su Chiudi per chiudere la pagina.
Vedere anche
Nomi rilevamenti a pagina 48
Configurazione delle impostazioni Scansione su richiesta a pagina 69
Scansione di un file o una cartella
Fare clic con il pulsante destro del mouse in Windows Explorer per eseguire immediatamente la
scansione di un singolo file o cartella che si ritiene possano contenere minacce.
Prima di iniziare
Il comportamento della scansione di scelta rapida dipende dalla modalità di configurazione delle
impostazioni. È possibile modificare queste scansioni nelle impostazioni della Scansione su richiesta con le
credenziali di amministratore.
Attività
1
In Windows Explorer, fare clic con il pulsante destro del mouse sul file o sulla cartella e selezionare
Ricerca minacce dal menu popup.
Client Endpoint Security mostra lo stato della scansione nella pagina Ricerca minacce.
2
3
Fare clic sui pulsanti nella parte superiore della pagina per controllare la scansione.
Sospendi scansione
Sospende la scansione prima di terminarla.
Riprendi scansione
Annulla scansione
Annulla una scansione in esecuzione.
Al termine della scansione, nella pagina vengono visualizzati il numero di file sottoposti a
scansione, il tempo trascorso e gli eventuali rilevamenti.
Nome rilevamento
Identifica il nome del malware rilevato.
Tipo
Mostra il tipo di minaccia.
File
Identifica il file infetto.
Azione
Descrive l'ultima azione di sicurezza intrapresa sul file infetto:
• Accesso negato
• Ripulito
• Eliminato
• Nessuna
L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione
su richiesta successiva.
44
Guida del prodotto
4
3
Selezionare un rilevamento nella tabella, quindi fare clic su Ripulisci o Elimina per ripulire o eliminare
il file infetto.
A seconda del tipo di minaccia e delle impostazioni di scansione, queste azioni potrebbero non
essere disponibili.
5
Fare clic su Chiudi per chiudere la pagina.
Vedere anche
In base al tipo di configurazione delle impostazioni, è possibile gestire i rilevamenti di minacce da
Prima di iniziare
Attività
1
2
Fare clic su Avvia scansione per aprire la pagina Esegui scansione del sistema.
3
In Scansione all'accesso, fare clic su Visualizza rilevamenti.
Questa opzione non è disponibile se l'elenco non contiene rilevamenti o se l'opzione di messaggistica
utente è disattivata.
4
Nella pagina Scansione all'accesso, selezionare una di queste opzioni.
Pulisci
Cerca di ripulire l'elemento (file, voce di registro) e di posizionarlo in quarantena.
Endpoint Security utilizza le informazioni del file di contenuto per pulire i file. Se il file
di contenuto non dispone di uno strumento di pulizia o il file è stato danneggiato oltre
la riparazione, il programma di scansione vi nega l'accesso. In questo caso, McAfee
consiglia di eliminare il file dalla quarantena e di ripristinarlo da una copia di backup
pulita.
Elimina
Elimina l'elemento che contiene la minaccia.
Rimuovi voce Rimuove la voce dall'elenco di rilevamenti.
Chiudi
Chiude la pagina di scansione.
Se per la minaccia non è disponibile alcuna azione, l'opzione corrispondente è disattivata. Ad
esempio, Pulisci non è disponibile se il file è già stato eliminato.
Guida del prodotto
45
3
Endpoint Security salva gli elementi rilevati come minacce nella quarantena. Sugli elementi in
quarantena è possibile eseguire azioni.
Prima di iniziare
Ad esempio, è possibile ripristinare un elemento dopo aver scaricato una versione successiva del
contenuto, che contiene informazioni in grado di eliminare la minaccia.
Gli elementi in quarantena possono includere diversi tipi di oggetti sottoposti a scansione, come file,
registri o qualsiasi elemento per il quale Endpoint Security ha eseguito una scansione per rilevare
malware.
Attività
1
2
Fare clic su Quarantena nella parte sinistra della pagina.
La pagina mostra tutti gli elementi in quarantena.
Se Client Endpoint Security non riesce a stabilire una connessione con Gestore quarantena, viene
visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il sistema per
visualizzare la pagina Quarantena.
46
Guida del prodotto
3
3
Selezionare un elemento dal riquadro superiore per visualizzare i dettagli nel riquadro inferiore.
Per...
Eseguire questa operazione
Modificare le dimensioni relative dei riquadri. Fare clic e trascinare il widget scorrevole tra i
riquadri.
Ordinare gli elementi nella tabella per nome
o tipo di minaccia.
4
Fare clic sull'intestazione colonna della tabella.
Nella pagina Quarantena, eseguire azioni sugli elementi selezionati.
Per...
Eliminare elementi
dalla quarantena.
Selezionare gli elementi, fare clic su Elimina, quindi ancora su Elimina per
confermare.
Gli elementi eliminati non possono essere ripristinati.
Ripristinare elementi Selezionare gli elementi, fare clic su Ripristina, quindi ancora su Ripristina per
dalla quarantena.
confermare.
Endpoint Security ripristina gli elementi nella posizione originale e li
rimuove dalla quarantena.
Se un elemento costituisce ancora una minaccia valida, Endpoint Security
lo reinserisce in quarantena al successivo accesso.
Ripetere la scansione Selezionare gli elementi, quindi fare clic su Ripeti scansione.
di elementi.
Ad esempio, è possibile ripetere la scansione di un elemento dopo aver
aggiornato la protezione. Se l'elemento non costituisce più una minaccia, è
possibile ripristinarlo nella posizione originale e rimuoverlo dalla
quarantena.
Visualizzare un
elemento nel
registro eventi.
Selezionare un elemento, quindi fare clic sul link Visualizza in registro eventi nel
riquadro dei dettagli.
Ottenere ulteriori
informazioni su una
minaccia.
Selezionare un elemento, quindi fare clic sul link Ulteriori informazioni su questa
minaccia nel riquadro dei dettagli.
Viene visualizzata la pagina del registro eventi con l'evento relativo
all'elemento selezionato evidenziato.
Si apre una nuova finestra del browser nella pagina del sito Web McAfee
Labs che riporta ulteriori informazioni sulla minaccia che ha causato
l'inserimento in quarantena dell'elemento.
Vedere anche
Ripetizione scansione di elementi in quarantena a pagina 49
Guida del prodotto
47
3
Nomi rilevamenti
Minacce riportate dalla quarantena per nome rilevamento.
Nome
rilevamento
Descrizione
Adware
Genera fatturato visualizzando messaggi pubblicitari indirizzati all'utente.
L'adware acquisisce guadagni dal fornitore o dai relativi partner. Alcuni tipi di
adware possono acquisire o trasmettere dati personali.
Dialer
Reindirizza le connessioni Internet verso un corrispondente diverso dall'ISP
predefinito dell'utente. Il reindirizzamento è finalizzato a provocare addebiti per
la connessione a un fornitore di contenuti, fornitore o terza parte.
Joke
Finto danneggiamento di un computer, senza addebiti o usi nocivi. I joke non
recano danno alla sicurezza o alla privacy, ma potrebbero allarmare o infastidire
un utente.
Keylogger
Intercetta i dati tra l'inserimento da parte dell'utente e l'applicazione di
destinazione prevista. I keylogger di trojan horse o programmi potenzialmente
indesiderati potrebbero presentare un funzionamento identico. Il software
McAfee rileva entrambi i tipi per prevenire violazioni della privacy.
Password cracker
Consente a un utente o amministratore di recuperare le password smarrite o
dimenticate di account o file dati. In mano agli autori di attacchi, questi
strumenti consentono di accedere a informazioni riservate e rappresentano una
minaccia alla sicurezza e alla privacy.
Programma
potenzialmente
indesiderato
Software spesso legittimi (non malware) che possono alterare lo stato di
sicurezza o la privacy del sistema. Questo software può essere scaricato insieme
a un programma desiderato. Può includere spyware, adware, keylogger,
password cracker, strumenti di hacking e dialer.
Strumento di
amministrazione
remota
Fornisce a un amministratore il controllo remoto di un sistema. Questi strumenti
possono costituire una minaccia significativa per la sicurezza se controllati da un
autore di attacchi.
Spyware
Trasmette informazioni personali a una terza parte senza che l'utente ne sia a
conoscenza o fornisca il consenso. Uno spyware sfrutta i computer infetti per
acquisire vantaggi commerciali:
• Fornendo contenuti pubblicitari pop-up non richiesti
• Carpendo i dati personali, comprese le informazioni finanziarie come i numeri
delle carte di credito
• Monitorando l'attività di navigazione sul Web a scopo di marketing
• Indirizzando le richieste HTTP a siti di contenuti pubblicitari
Vedere anche Programmi potenzialmente indesiderati.
Stealth
Si tratta di un tipo di virus che cerca di evitare il rilevamento da parte dei
software antivirus.
Noto anche come intercettatore di interrupt.
Molti virus stealth intercettano le richieste di accesso al disco. In questo modo,
quando un'applicazione antivirus cerca di leggere i file o settori di boot per
individuare il virus, il virus invia al programma un'immagine "pulita"
dell'elemento richiesto. Altri virus nascondono le dimensioni reale di un file
infetto e mostrano le dimensioni del file prima dell'infezione.
48
Guida del prodotto
3
Nome
rilevamento
Descrizione
Trojan horse
Si tratta di un programma dannoso che finge di essere un'applicazione innocua.
Un trojan non esegue repliche ma danneggia o compromette la sicurezza del
computer.
Generalmente, un computer diventa infetto:
• Quando un utente apre un allegato contenente un trojan in un'email.
• Quando un utente scarica un trojan da un sito Web.
• Networking peer-to-peer.
Poiché non eseguono repliche di sé stessi, i trojan non sono considerati virus.
Virus
Si unisce ai dischi o ad altri file e si replica ripetutamente, generalmente a
insaputa o senza il permesso dell'utente.
Alcuni virus si uniscono ai file in modo che quando il file infetto viene eseguito,
anche il virus va in esecuzione. Altri virus risiedono nella memoria del computer
e infettano i file nel momento in cui il computer li apre, modifica o crea. Alcuni
virus presentano sintomi, mentre altri danneggiano file e sistemi del computer.
Ripetizione scansione di elementi in quarantena
Quando si ripete la scansione di elementi in quarantena, Endpoint Security utilizza le impostazioni di
scansione designate per fornire la massima protezione.
Si consiglia di ripetere sempre la scansione degli elementi in quarantena prima del ripristino. Ad
esempio, è possibile ripetere la scansione di un elemento dopo aver aggiornato la protezione. Se
l'elemento non costituisce più una minaccia, è possibile ripristinarlo nella posizione originale e
rimuoverlo dalla quarantena.
Nell'intervallo di tempo tra quando la minaccia è stata identificata e quando la scansione viene
ripetuta, le condizioni di scansione possono cambiare, influenzando il rilevamento degli elementi in
quarantena.
Durante la ripetizione della scansione degli elementi in quarantena, Endpoint Security sempre:
•
Scansiona file con codifica MIME.
•
Scansiona file di archivio compressi.
•
Esegue una ricerca McAfee GTI nel file.
•
Imposta il livello di sensibilità di McAfee GTI su Molto elevato.
Sebbene vengano utilizzate queste impostazioni di scansione, la ripetizione della scansione di un
elemento in quarantena potrebbe non rilevare una minaccia. Ad esempio, se sono cambiati i metadati
dell'elemento (percorso o posizione nel registro), la ripetizione della scansione potrebbe dare un falso
positivo anche se l'elemento è ancora infetto.
In qualità di amministratore, è possibile specificare le impostazioni Prevenzione delle minacce per
impedire l'accesso di minacce e configurare le scansioni.
Guida del prodotto
49
3
Configurazione delle esclusioni
Prevenzione delle minacce consente di ottimizzare la protezione specificando gli elementi da escludere.
Ad esempio, potrebbe essere necessario escludere alcuni tipi di file per impedire al programma di
scansione di bloccare un file utilizzato da un database o un server. (un file bloccato può causare
problemi al database o al server o produrre errori.)
Per escludere una cartella sui sistemi Windows, aggiungere una barra rovesciata (\) alla fine del
percorso. Per escludere una cartella sui sistemi Mac, aggiungere una barra (/) alla fine del percorso.
Per questa
funzione...
Specificare gli
elementi da
escludere
Dove eseguire la
configurazione
Escludi elementi
per
Protezione
dell'accesso
Processi (per tutte
le regole o una
regola specificata)
Impostazioni
Nome o percorso
Si - Nome file
file eseguibile, hash e percorso
MD5 o firmatario.
No - hash
MD5 e
firmatario
Prevenzione exploit
Processi
Impostazioni
Prevenzione exploit
Nome processo,
Modulo chiamante
o API.
No
Tutte le scansioni
Nomi rilevamenti
Opzioni impostazioni
Nome rilevamento
(distinzione tra
maiuscole e
minuscole)
Sì
Nome
Sì
Nome file o
cartella, tipo di file
o data del file
Sì
URL ScriptScan
Nome URL
No
File, cartelle e unità Impostazioni
Scansione su richiesta
Nome file o
o data del file
Sì
File, cartelle e unità In comune | Attività |
Aggiungi attività |
Scansione personalizzata
Nome file o
o data del file
Sì
Programmi
potenzialmente
indesiderati
Scansione
all'accesso
File, tipi di file e
cartelle
Impostazioni
Scansione all'accesso
• Predefinito
• Rischio elevato
Utilizzare
caratteri
jolly?
• Rischio basso
Scansione su
richiesta
• Scansione rapida
• Scansione completa
• Scansione di scelta
rapida
Scansione su
richiesta
personalizzata
Vedere anche
Caratteri jolly nelle esclusioni di scansione a pagina 51
50
Guida del prodotto
3
Caratteri jolly nelle esclusioni di scansione
È possibile utilizzare caratteri jolly per rappresentare i caratteri nelle esclusioni per le scansioni di file,
cartelle, nomi rilevamenti e programmi potenzialmente indesiderati.
Tabella 3-1 Caratteri jolly validi
Carattere jolly Nome
?
Rappresenta
Punto interrogativo Singolo carattere.
Questo carattere jolly verrà applicato solo se il numero di
caratteri corrisponde alla lunghezza del nome del file o della
cartella. Ad esempio: L'esclusione W?? esclude WWW, ma non
WW o WWWW.
*
Asterisco
Caratteri multipli, eccetto la barra rovesciata (\).
**
Doppio asterisco
Zero o più caratteri qualsiasi, inclusa la barra rovesciata (\).
Questo carattere jolly corrisponde a zero o più caratteri. Ad
esempio: C:\ABC\**\XYZ corrisponde a C:\ABC\DEF\XYZ e C:
\ABC\XYZ.
I caratteri jolly possono essere visualizzati davanti a barre rovesciate (\) nei percorsi. Ad esempio, il
percorso C:\ABC\*\XYZ corrisponde a C:\ABC\DEF\XYZ.
Esclusioni a livello di root
Prevenzione delle minacce richiede un percorso assoluto per le esclusioni a livello di root. Questo
significa che non è consentito utilizzare \ o i caratteri jolly ?:\ all'inizio di un percorso per far
corrispondere i nomi delle unità a livello di root.
Questo comportamento è diverso da VirusScan Enterprise. Vedere l'articolo KB85746 della
KnowledgeBase e la Guida di Migrazione McAfee Endpoint Security.
Con Prevenzione delle minacce, è possibile utilizzare i caratteri jolly **\ all'inizio di un percorso per far
corrispondere unità e sottocartelle nelle esclusioni a livello di root. Ad esempio, **\test corrisponde ai
seguenti percorsi:
C:\test
D:\test
C:\temp\test
D:\foo\test
Protezione dei punti di accesso al sistema
La prima linea di difesa contro i malware consiste nella protezione dei punti di accesso al sistema
dall'ingresso di minacce. La protezione dell'accesso impedisce che il computer gestito subisca
modifiche indesiderate mediante la limitazione dell'accesso a file, condivisioni e chiavi e valori di
registro.
La protezione dell'accesso utilizza regole definite sia da McAfee sia dall'utente (dette anche regole
personalizzate) per segnalare o bloccare l'accesso agli elementi. La protezione dell'accesso confronta
un'azione richiesta con l'elenco di regole e agisce secondo la regola.
Guida del prodotto
51
3
La protezione dell'accesso deve essere attivata per rilevare tentativi di accesso a file, condivisioni,
chiavi e valori di registro.
La protezione dell'accesso è attivata per impostazione predefinita.
Modalità di accesso delle minacce
Le minacce accedono al sistema tramite diversi punti di accesso.
Punto di accesso
Descrizione
Macro
Come parte dei documenti di elaboratori di testo e delle applicazioni di fogli
elettronici.
File eseguibili
Programmi apparentemente innocui che insieme al programma previsto
possono contenere virus. Alcune estensioni di file comuni
sono .EXE, .COM, .VBS, .BAT, .HLP e .DLL.
Script
Associati a pagine Web ed email, gli script, come ad esempio ActiveX e
JavaScript, se eseguiti possono contenere virus.
Messaggi Internet
Relay Chat (IRC)
File inviati con questi messaggi possono facilmente contenere malware. Ad
esempio, i processi ad avvio automatico possono contenere minacce quali
worm e cavalli di Troia.
File della guida del
browser e delle
applicazioni
Il download di questi file della Guida espone il sistema a virus ed eseguibili
incorporati.
Email
Scherzi, giochi e immagini vengono inviati come parte di messaggi email
con allegati.
Combinazione di tutti
questi punti di accesso
Autori di programmi malware sofisticati combinano tutti questi metodi di
invio delle minacce e incorporano persino programmi malware uno dentro
l'altro per tentare di accedere al computer gestito.
Modalità di arresto delle minacce da parte della protezione dell'accesso
La protezione dell'accesso arresta le potenziali minacce gestendo le azioni in base alle regole di
protezione definite da McAfee e dall'utente.
Prevenzione delle minacce segue questo processo di base per fornire la protezione dell'accesso.
Quando si verifica una minaccia
Quando un utente o un processo agisce:
1
La protezione dell'accesso esamina l'azione in base a regole definite.
2
Se l'azione viola una regola, la protezione dell'accesso gestisce l'azione utilizzando le informazioni
nelle regole configurate.
3
La protezione dell'accesso aggiorna il file di registro e genera e invia un evento al server gestito, se
gestito.
Esempio di minaccia all'accesso
52
1
Un utente scarica un programma legittimo (non malware), ad esempio MyProgram.exe, da
Internet.
2
L'utente avvia il programma MyProgram.exe che sembra partire nel modo previsto.
3
MyProgram.exe avvia un processo figlio, denominato AnnoyMe.exe.
4
AnnoyMe.exe tenta di modificare il sistema operativo per assicurarsi che venga sempre caricato
all'avvio.
Guida del prodotto
3
5
La protezione dell'accesso elabora la richiesta e la confronta con una regola esistente che è
configurata per bloccare le minacce e inviare un report.
6
La protezione dell'accesso impedisce ad AnnoyMe.exe di modificare il sistema operativo e registra i
dettagli del tentativo. La protezione dell'accesso, inoltre, genera e invia un avviso al server di
gestione.
Informazioni sulle regole di protezione dell'accesso
Utilizzare le regole di protezione dell'accesso per proteggere i punti di accesso del sistema.
Tipo di regola
Parametri
Regole definite da
McAfee
• Queste regole impediscono la modifica delle impostazioni e dei file utilizzati più
di frequente.
• È possibile attivare, disattivare e modificare la configurazione delle regole
definite da McAfee, ma non è possibile eliminarle.
Regole definite
dall'utente
• Queste regole integrano la protezione offerta dalle regole definite da McAfee.
• Una tabella degli eseguibili vuota indica che si stanno includendo tutti gli
eseguibili.
• È possibile aggiungere ed eliminare, ma anche attivare, disattivare e
modificare la configurazione di queste regole.
Esclusioni
A livello di regola, esclusioni e inclusioni si applicano alla regola specificata. A livello di policy, le
esclusioni si applicano a tutte le regole. Le esclusioni sono facoltative.
Configurare le regole di protezione dell'accesso predefinite da McAfee
Le regole predefinite da McAfee impediscono la modifica delle impostazioni e dei file utilizzati più di
frequente. È possibile cambiare le impostazioni blocca e segnala, aggiungere eseguibili esclusi e
inclusi, ma non è possibile eliminare queste regole o modificare file e impostazioni protetti da queste
regole.
Prima di iniziare
Non è possibile aggiungere sottoregole a una regola definita da McAfee.
Attività
1
2
Fare clic su Threat Prevention nella pagina Stato principale.
3
4
Fare clic su Protezione dell'accesso.
, selezionare Impostazioni, quindi fare clic su Threat Prevention nella
Guida del prodotto
53
3
5
Verificare che la protezione dell'accesso sia attivata.
La protezione dell'accesso è attivata per impostazione predefinita.
6
Modificare la regola:
a
Nella sezione Regole, selezionare Blocca, Segnala o entrambe le opzioni per la regola.
Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga.
Se non sono selezionati né Blocca né Report, la regola è disattivata.
b
Fare doppio clic su una regola definita da McAfee da modificare.
c
Nella pagina Modifica regola definita da McAfee, configurare le impostazioni.
d
Nella sezione Eseguibili, fare clic su Aggiungi, configurare le impostazioni e fare clic due volte su
Salva per salvare la regola.
Vedere anche
Regole definite da McAfee a pagina 54
Regole definite da McAfee
Utilizzare le regole definite da McAfee per proteggere il computer da modifiche indesiderate.
Tabella 3-2
Regola definita da
McAfee
Descrizione
Alterazione delle registrazioni Protegge le chiavi di registro in HKEY_CLASSES_ROOT dove sono registrate
delle estensioni di file
le estensioni dei file.
Questa regola impedisce ai malware di modificare le registrazioni di
estensione dei file per consentire ai malware di essere eseguiti in
background.
Disattivare questa regola durante l'installazione di applicazioni valide che
modificano le registrazioni dell'estensione dei file nel registro.
Questa regola costituisce un'alternativa più restrittiva a Assunzione del controllo
di file eseguibili con estensione .EXE e altre estensioni.
Alterazione delle policy di
diritti utente
Protegge i valori di registro che contengono informazioni di sicurezza
Windows.
Questa regola impedisce ai worm di modificare gli account che dispongono
di diritti amministratore.
Creazione di nuovi file
eseguibili nella cartella
Programmi
Impedisce la creazione di nuovi file eseguibili nella cartella Programmi.
Questa regola impedisce ad adware e spyware di creare nuovi file .EXE
e .DLL e di installare nuovi file eseguibili nella cartella Programmi.
Si consiglia di installare le applicazioni prima di attivare questa regola o di
inserire i processi bloccati nell'elenco di esclusioni.
Creazione di nuovi file
eseguibili nella cartella
Windows
Impedisce la creazione di file da qualsiasi processo, non soltanto in rete.
Questa regola impedisce la creazione di file .EXE e .DLL nella cartella
Windows.
Aggiungere all'elenco di esclusioni i processi che devono salvare file nella
cartella Windows.
54
Guida del prodotto
3
Tabella 3-2
(segue)
Regola definita da
McAfee
Descrizione
Disattivazione di Editor del
Registro e Task Manager
Protegge le voci di registro Windows, impedendo la disattivazione dell'Editor
del Registro e di Task Manager.
Durante un'epidemia, disattivare questa regola per poter modificare il
registro oppure aprire Task Manager per arrestare i processi attivi.
Esecuzione di script di
Windows script host
(CScript.exe o Wscript.exe) da
qualsiasi cartella temporanea
Impedisce a Windows Scripting Host di eseguire script VBScript e JavaScript
da qualsiasi cartella che contiene "temp" nel nome.
Questa regola protegge da numerosi trojan e meccanismi di installazione
Web discutibili utilizzati da applicazioni adware e spyware.
Questa regola potrebbe bloccare l'installazione o l'esecuzione di applicazioni
di terze parti e script legittimi.
Assunzione del controllo di
file eseguibili con
estensione .EXE o altre
estensioni
Protegge .EXE, .BAT e altre chiavi di registro eseguibili in
HKEY_CLASSES_ROOT.
Questa regola impedisce ai malware di modificare le chiavi di registro per
eseguire il virus quando si sta eseguendo un altro eseguibile.
Questa regola è un'alternativa meno restrittiva a Modifica di tutte le registrazioni
delle estensioni di file.
Installazione di oggetti helper
browser o estensioni shell
Impedisce l'installazione di adware, spyware e trojan come oggetti helper
browser nel computer host.
Questa regola impedisce l'installazione di adware e spyware sui sistemi.
Per consentire ad applicazioni personalizzate o di terze parti legittime di
installare questi oggetti, aggiungerli all'elenco di esclusioni. Dopo
l'installazione, è possibile riattivare la regola in quanto non impedisce il
funzionamento degli oggetti helper browser installati.
Installazione di nuovi CLSID,
APPID e TYPELIB
Impedisce l'installazione o la registrazione di nuovi server COM.
Questa regola protegge da programmi adware e spyware che si installano
come add-on COM in Internet Explorer o nelle applicazioni Microsoft Office.
Per impedire il blocco di app legittime che registrano componenti aggiuntivi
COM, incluse alcune applicazioni comuni come Macromedia Flash,
aggiungerle all'elenco di esclusioni.
Apertura automatica di file
dalla cartella Programmi
scaricati di Internet Explorer
Impedisce l'installazione di software tramite il browser Web. Questa regola è
specifica per Microsoft Internet Explorer.
Poiché questa regola potrebbe bloccare anche l'installazione di software
legittimo, installare l'app prima di attivarla o aggiungere il processo di
installazione come esclusione.
L'impostazione predefinita della regola è Segnala.
Questa regola impedisce ad adware e spyware di installare ed eseguire
eseguibili da questa cartella.
Modifica di processi Windows Impedisce la creazione o l'esecuzione di file con i nomi contraffatti più
principali
comuni.
Questa regola impedisce a virus e trojan di essere eseguiti con il nome di un
processo Windows. Questa regola esclude i file Windows autentici.
Guida del prodotto
55
3
Tabella 3-2
(segue)
Regola definita da
McAfee
Descrizione
Modifica di impostazioni
Internet Explorer
Impedisce ai processi di modificare le impostazioni di Internet Explorer.
Questa regola impedisce a trojan, adware e spyware della pagina iniziale di
modificare le impostazioni browser, come cambiare la pagina iniziale o
installare i preferiti.
Modifica delle impostazioni di Impedisce ai processi non presenti nell'elenco di esclusioni di modificare le
rete
impostazioni di rete di un sistema.
Questa regola protegge dai Layered Service Provider che trasmettono dati,
come i comportamenti di navigazione, acquisendo il traffico di rete e
inviandolo a siti di terze parti.
Per i processi che devono modificare le impostazioni di rete, è possibile
aggiungerli all'elenco di esclusioni o disattivare la regola quando si
apportano modifiche.
Registrazione di programmi
da eseguire automaticamente
Blocca i tentativi di adware, spyware, trojan e virus di registrarsi per il
caricamento a ogni riavvio del sistema.
Questa regola impedisce ai processi non presenti nell'elenco di esclusioni di
registrare processi che vengono eseguiti a ogni riavvio del sistema.
Aggiungere applicazioni legittime all'elenco di esclusioni o installarle prima
dell'attivazione della regola.
Accesso remoto a file o
cartelle locali
Impedisce l'accesso al computer in lettura e scrittura da computer remoti.
Questa regola impedisce la diffusione di un worm di tipo share-hopping.
In un ambiente standard, questa regola è adatta alle workstation, ma non ai
server, ed è utile solamente quando i computer si trovano sotto attacco
attivo.
Se un computer viene gestito eseguendovi il push di file, questa regola
impedisce l'installazione di aggiornamenti o patch. Questa regola non
influisce sulle funzioni di gestione di McAfee ePO.
Creazione remota di file di
esecuzione automatica
Impedisce ad altri computer di stabilire una connessione e creare o
modificare i file di esecuzione automatica (autorun.inf).
I file di esecuzione automatica vengono utilizzati per avviare
automaticamente i file di programmi, normalmente file di configurazione da
CD.
Questa regola impedisce l'esecuzione di spyware e adware distribuiti su CD.
Questa regola è selezionata per impostazione predefinita per Blocca e Segnala.
Creazione o modifica di file o
cartelle da remoto
Blocca l'accesso in scrittura a tutte le condivisioni.
Questa regola è utile durante un'epidemia, in quanto impedisce l'accesso in
scrittura per limitare la diffusione dell'infezione. La regola blocca i malware
che altrimenti limiterebbero gravemente l'uso del computer o della rete.
In un ambiente standard, questa regola è adatta alle workstation, ma non ai
server, ed è utile solamente quando i computer si trovano sotto attacco
attivo.
Se un computer viene gestito eseguendovi il push di file, questa regola
impedisce l'installazione di aggiornamenti o patch. Questa regola non
influisce sulle funzioni di gestione di McAfee ePO.
56
Guida del prodotto
3
Tabella 3-2
(segue)
Regola definita da
McAfee
Descrizione
Creazione o modifica remota
di tipi di file quali eseguibile
portabile, .INI, .PIF e percorsi
sistema principale
Impedisce ad altri computer di stabilire una connessione e modificare i file
eseguibili, come i file nella cartella Windows. Questa regola riguarda
solamente i tipi di file generalmente infettati da virus.
Questa regola protegge da worm o virus che si diffondono rapidamente, che
attraversano una rete tramite le condivisioni aperte o amministrative.
Questa regola è un'alternativa meno sicura a Impostare tutte le condivisioni come di
sola lettura.
Esecuzione di file da qualsiasi Impedisce agli eseguibili di eseguire o avviare file da qualsiasi cartella che
cartella temporanea
contiene "temp" nel nome.
Questa regola protegge contro il malware salvato ed eseguito dalla cartella
Temp dell'utente o del sistema. Tale malware potrebbe includere allegati
eseguibili nell'email e nei programmi scaricati.
Nonostante questa regola fornisca la protezione maggiore, potrebbe
bloccare l'installazione di applicazioni legittime.
Esecuzione file dalla cartella
temporanea da parte di
programmi comuni
Impedisce alle applicazioni di installare software dal browser o dal client
email.
Questa regola impedisce l'esecuzione di allegati email ed eseguibili nelle
pagine Web.
Per installare un'app che utilizza la cartella temporanea, aggiungere il
processo all'elenco di esclusioni.
Vedere anche
Configurare le regole di protezione dell'accesso predefinite da McAfee a pagina 53
Configurare le regole di protezione all'accesso definite dall'utente
Queste regole definite dall'utente integrano la protezione offerta dalle regole definite da McAfee. È
possibile aggiungere ed eliminare, ma anche attivare, disattivare e modificare la configurazione di
queste regole.
Prima di iniziare
Attività
1
2
3
4
Guida del prodotto
57
3
5
Verificare che Protezione dell'accesso sia attivata.
La Protezione dell'accesso è attivata per impostazione predefinita.
6
Creare la regola:
a
Nella sezione Regole, fare clic su Aggiungi.
b
Nella pagina Aggiungi regola, configurare le impostazioni.
c
Nella sezione Eseguibili, fare clic su Aggiungi, configurare le proprietà dell'eseguibile e fare clic due
volte su Salva.
Una tabella degli eseguibili vuota indica che si stanno includendo tutti gli eseguibili.
d
Nella sezione Sottoregole, fare clic su Aggiungi e configurare le proprietà della sottoregola.
Le prestazioni potrebbero subire conseguenze se si seleziona l'operazione Leggi.
e
Nella sezione Parametri, fare clic su Aggiungi, configurare le informazioni sul parametro e fare clic
due volte su Salva.
f
Nella sezione Regole, selezionare Blocca, Segnala o entrambe le opzioni per la regola.
Attività
•
Valutazione dei parametri nelle sottoregole della protezione dell'accesso a pagina 58
Ciascun parametro viene aggiunto con una direttiva Includi o Escludi.
Valutazione dei parametri nelle sottoregole della protezione dell'accesso
Ciascun parametro viene aggiunto con una direttiva Includi o Escludi.
Quando si valuta un evento di sistema utilizzando una sottoregola, questa lo valuta come vero se:
58
Guida del prodotto
•
3
Almeno una direttiva includi è vera.
e
•
Tutte le direttive escludi sono false.
Escludi ha la precedenza su Includi. Di seguito sono riportati alcuni esempi:
•
Se una singola sottoregola include un file C:\marketing\jjohns ed esclude lo stesso file, la
sottoregola non viene attivata quando il file è C:\marketing\jjohns.
•
Se una sottoregola include tutti i file ma esclude il file C:\marketing\jjohns, la sottoregola viene
attivata se il file non è C:\marketing\jjohns.
•
Se una sottoregola include il file C:\marketing\* ma esclude C:\marketing\jjohns, la sottoregola
viene attivata solo quando il file è marketing\qualsiasi, a meno che il file sia C:\marketing\jjohns,
nel qual caso non viene attivata.
Esclusione dei processi dalla protezione dell'accesso
Se viene bloccato un programma ritenuto affidabile, escludere il processo creando un'esclusione
basata su policy o basata su regole.
Attività
1
2
3
4
5
Verificare che Protezione dell'accesso sia attivata.
La Protezione dell'accesso è attivata per impostazione predefinita.
6
Eseguire una delle seguenti operazioni:
Per...
Eseguire questa operazione...
Creare un'esclusione 1 Nella sezione Esclusioni, fare clic su Aggiungi per aggiungere processi da
basata su policy.
escludere da tutte le regole.
2 Nella pagina Aggiungi eseguibile, configurare le proprietà dell'eseguibile.
3 Fare clic su Salva, quindi su Applica per salvare le impostazioni.
Creare un'esclusione 1 Modificare una regola esistente o aggiungerne una nuova.
basata su regole.
2 Nella pagina Aggiungi regola o Modifica regola, fare clic su Aggiungi per
aggiungere un eseguibile da escludere.
3 Nella pagina Aggiungi eseguibile, configurare le proprietà dell'eseguibile.
4 Fare clic su Salva per salvare le esclusioni.
Guida del prodotto
59
3
Blocco degli exploit da overflow del buffer
Prevenzione exploit impedisce l'esecuzione di codici arbitrari da parte di overflow del buffer interessati
da exploit. La funzione controlla le chiamate all'API della modalità utente e riconosce se sono il
risultato di un overflow del buffer.
Al verificarsi di un rilevamento, le informazioni vengono memorizzate nel registro attività, visualizzate
nel sistema client e inviate al server di gestione, se configurato.
Prevenzione delle minacce si serve dei file di contenuto di prevenzione exploit per proteggere
applicazioni come Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word e
MSN Messenger.
Host Intrusion Prevention 8.0 può essere installato nello stesso sistema di Endpoint Security 10.1. Se
McAfee Host IPS è attivato, Prevenzione exploit viene disattivato anche se attivato nelle impostazioni
della policy.
Modalità di verifica dell'exploit di overflow del buffer
Gli autori dell'attacco sfruttano gli exploit di overflow del buffer per avviare codice eseguibile tramite
l'overflow dei buffer di memoria di dimensioni fisse per un processo di input. Tale codice consente
all'autore dell'attacco di assumere il controllo del computer bersaglio o di comprometterne i dati.
Oltre il 25% degli attacchi malware è costituito da attacchi di overflow del buffer che cercano di
sovrascrivere la memoria adiacente nello stack frame.
Esistono due tipologie di exploit di overflow del buffer:
•
Gli attacchi basati su stack utilizzano gli oggetti della memoria stack per memorizzare l'input
dell'utente e sono i più comuni.
•
Gli attacchi basati su heap occupano lo spazio di memoria riservato a un programma, ma sono rari.
L'oggetto della memoria stack di dimensioni fisse è in genere vuoto e in attesa dell'input dell'utente.
Quando un programma riceve l'input dell'utente, i dati vengono memorizzati nella parte superiore
dello stack e viene loro assegnato un indirizzo di memoria di restituzione. Quando lo stack viene
elaborato, l'input dell'utente viene inviato all'indirizzo di restituzione specificato dal programma.
Di seguito viene fornita una descrizione degli attacchi tramite overflow del buffer basati su stack:
1
Overflow dello stack.
Quando il programma viene compilato, una quantità di spazio di memoria specifica viene riservata
ai dati. Gli overflow dello stack si verificano se la quantità di dati scritti supera lo spazio a essi
riservato nello stack della memoria. Questo rappresenta un problema solo quando è presente un
input pericoloso.
2
Exploit dell'overflow.
Il programma attende l'input dell'utente. Se l'autore dell'attacco digita un comando eseguibile che
supera la dimensione dello stack, tale comando viene salvato al di fuori dello spazio riservato.
60
Guida del prodotto
3
3
Esecuzione del malware.
Il comando non viene eseguito automaticamente perché supera la quantità di spazio disponibile nel
buffer dello stack. Prima il programma inizia ad arrestarsi in modo anomalo a causa dell'overflow
del buffer. Se l'autore dell'attacco ha fornito un indirizzo di memoria di restituzione che fa
riferimento al comando dannoso, il programma cerca di recuperarlo utilizzando l'indirizzo di
restituzione. Se l'indirizzo di restituzione è un indirizzo valido, il comando dannoso viene eseguito.
4
Exploit delle autorizzazioni.
Il malware viene ora eseguito con le stesse autorizzazioni dell'applicazione compromessa. Poiché i
programmi vengono in genere eseguiti in modalità kernel o con autorizzazioni ereditate da un
account di servizio, l'autore dell'attacco ora è in grado di controllare completamente il sistema
operativo.
Configurare le impostazioni della policy di prevenzione exploit
Per impedire l'esecuzione di codice arbitrario da parte delle applicazioni sul computer personale,
configurare le impostazioni della policy di prevenzione exploit.
Prima di iniziare
Attività
1
2
3
4
Fare clic su Prevenzione exploit.
5
Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su
Annulla.
Vedere anche
Esclusione di processi dalla prevenzione exploit
Quando si verifica un evento di violazione di prevenzione exploit, esiste un processo associato e un
possibile modulo chiamante o API.
Se si sospetta che l'evento di violazione sia un falso positivo, è possibile aggiungere un'esclusione che
specifica il nome file del processo. È inoltre possibile specificare il modulo chiamante o l'API.
All'interno di una stessa esclusione, il processo, il modulo e l'API sono collegati con un AND logico.
Tutti gli elementi corrispondono al processo, al modulo e all'API associati all'evento di violazione per
impedire alla violazione di verificarsi di nuovo.
Ogni esclusione è indipendente: più esclusioni sono collegate con un OR logico, per cui, se
un'esclusione corrisponde, l'evento di violazione non si verifica.
Guida del prodotto
61
3
Rilevamento di programmi potenzialmente indesiderati
Per proteggere il computer gestito da programmi potenzialmente indesiderati, è necessario configurare
i file e i programmi da rilevare nell'ambiente, quindi attivare il rilevamento.
I programmi potenzialmente indesiderati sono programmi software fastidiosi o in grado di alterare lo
stato di protezione oppure i criteri di riservatezza del sistema. I programmi potenzialmente
indesiderati possono essere contenuti in programmi scaricati intenzionalmente dall'utente. I
programmi potenzialmente indesiderati possono includere spyware, adware e dialer.
1
Specificare i programmi indesiderati personalizzati che i programmi di scansione all'accesso e su
richiesta dovranno rilevare nelle impostazioni della policy Opzioni.
2
Attivare il rilevamento dei programmi indesiderati e specificare quali azioni intraprendere quando si
verificano dei rilevamenti nelle seguenti impostazioni:
•
Impostazioni della policy di scansione all'accesso
•
Impostazioni della policy di scansione su richiesta
Vedere anche
Specificare programmi potenzialmente indesiderati personalizzati da rilevare a pagina 62
Attivazione e configurazione di rilevamenti di programmi potenzialmente indesiderati e
risposte a pagina 63
Configurare le impostazioni della policy di scansione all'accesso a pagina 64
Specificare programmi potenzialmente indesiderati personalizzati da
rilevare
Specificare i programmi aggiuntivi che i programmi di scansione all'accesso e su richiesta dovranno
gestire come indesiderati nelle impostazioni Opzioni.
Prima di iniziare
I programmi di scansione rilevano i programmi specificati dall'utente e quelli specificati nei file AMCore
content.
Attività
1
2
3
4
Fare clic su Opzioni.
5
Da Rilevamenti di programmi potenzialmente indesiderati:
•
Fare clic su Aggiungi per specificare il nome e la descrizione facoltativa di singoli file o programmi
da rilevare come programmi potenzialmente indesiderati.
Quando viene effettuato un rilevamento, la descrizione compare come nome rilevamento.
62
Guida del prodotto
3
•
Fare doppio clic sul nome o la descrizione di un programma potenzialmente indesiderato
esistente per modificarli.
•
Selezionare un programma potenzialmente indesiderato esistente, quindi fare clic su Elimina per
rimuoverlo dall'elenco.
Vedere anche
Attivazione e configurazione di rilevamenti di programmi potenzialmente
indesiderati e risposte
Attivare il rilevamento di programmi potenzialmente indesiderati e specificare le risposte in caso di
rilevamento da parte dei programmi di scansione all'accesso e su richiesta.
Prima di iniziare
Attività
1
Configurare le impostazioni della policy di scansione all'accesso.
a
b
2
c
d
Fare clic su Scansione all'accesso.
e
In Impostazioni per i processi, per ciascun tipo di scansione all'accesso, selezionare Rileva programmi
indesiderati.
f
In Azioni, configurare le risposte a programmi indesiderati.
Configurare le impostazioni della policy di scansione su richiesta.
a
b
c
d
Fare clic su Scansione su richiesta.
e
Per ciascun tipo di scansione (scansione completa, scansione rapida e scansione di scelta rapida):
•
Selezionare Rileva programmi indesiderati.
•
In Azioni, configurare le risposte a programmi indesiderati.
Vedere anche
Guida del prodotto
63
3
Configurazione delle impostazioni di scansione comuni
Per specificare impostazioni che si applicano sia alle scansioni all'accesso sia a quelle su richiesta,
configurare le impostazioni della policy Prevenzione delle minacce Opzioni.
Prima di iniziare
Queste impostazioni si applicano a tutte le scansioni:
•
Posizione di quarantena e numero di giorni in cui gli elementi resteranno in quarantena prima di
essere automaticamente eliminati
•
Nomi dei rilevamenti da escludere dalle scansioni
•
Programmi potenzialmente indesiderati da rilevare, come spyware e adware
•
Feedback telemetria basato su McAfee GTI
Attività
1
2
Fare clic su Prevenzione delle minacce nella pagina Stato principale.
nella pagina Impostazioni.
, selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce
3
4
5
Annulla.
Vedere anche
Configurare le impostazioni della policy di scansione all'accesso
Queste impostazioni attivano e configurano la scansione all'accesso e ciò include la specifica di
messaggi da inviare al rilevamento di una minaccia e diverse impostazioni basate sul tipo di processo.
Prima di iniziare
Consultare la Guida per le impostazioni delle Opzioni del modulo Prevenzione delle minacce.
64
Guida del prodotto
3
Attività
1
2
3
4
Fare clic su Scansione all'accesso.
5
Selezionare Attiva scansione all'accesso per attivare il programma di scansione all'accesso e modificare
le opzioni.
6
Specificare se utilizzare le impostazioni Standard per tutti i processi o diverse impostazioni per i
processi con rischio basso ed elevato.
7
•
Impostazioni standard – Configurare le impostazioni di scansione nella scheda Standard.
•
Diverse policy basate sul tipo di processo – Selezionare la scheda (Standard, Rischio elevato o
Rischio basso) e configurare le impostazioni di scansione per ciascun tipo di processo.
Vedere anche
Configurazione delle impostazioni di scansione comuni a pagina 64
Funzionamento della scansione all'accesso
Il programma di scansione all'accesso si integra con i livelli più bassi del sistema (driver di filtro del file
system) ed esegue la scansione dei file nel punto in cui entrano nel sistema.
Il programma di scansione all'accesso consegna notifiche all'interfaccia del servizio in caso di
rilevamenti.
Quando viene eseguito un tentativo di apertura o chiusura di un file, il programma di scansione
intercetta l'operazione e intraprende le azioni seguenti:
1
Il programma di scansione determina se sottoporre l'elemento a scansione in base ai criteri
seguenti:
•
L'estensione del file corrisponde a quanto indicato nella configurazione.
•
Il file non è stato memorizzato nella cache, escluso o precedentemente sottoposto a scansione.
Se si configura McAfee GTI, il programma di scansione utilizza l'euristica per verificare la presenza di
file sospetti.
2
Se il file soddisfa il criterio di scansione, ne viene eseguita la scansione confrontando le firme
contenute nell'elemento con le firme dei file AMCore content correntemente caricati.
•
Se il file non è infetto, il risultato viene memorizzato nella cache e l'accesso viene consentito in
lettura o scrittura.
•
Se il file contiene una minaccia, l'operazione viene negata e il programma di scansione esegue
l'azione configurata.
Guida del prodotto
65
3
Se ad esempio l'azione consiste nel ripulire il file, il programma di scansione:
1
Utilizza le informazioni del file AMCore content correntemente caricato per ripulire il file.
2
Registra i risultati nel registro attività.
3
Notifica all'utente il rilevamento di una minaccia nel file e richiede che venga intrapresa
l'azione appropriata (ripulire o eliminare il file).
Windows 8 e 10 – Se il programma di scansione rileva una minaccia nel percorso di un'app del
Windows Store installata, contrassegna tale file come alterato. Windows aggiunge il
contrassegno di alterato al riquadro dell'app. Quando si cerca di eseguirla, Windows informa
l'utente del problema e lo reindirizza a Windows Store per la reinstallazione.
3
Se il file non soddisfa i requisiti di scansione, il programma di scansione memorizza il file nella
cache e consente l'accesso.
L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security
o del sistema.
Prevenzione delle minacce scarica la cache di scansione globale ed esegue nuovamente la scansione di
tutti i file quando:
•
La configurazione della scansione all'accesso subisce modifiche.
•
È stato aggiunto un file Extra.DAT.
Scansione durante la scrittura su disco, la lettura dal disco o consentire a McAfee
di decidere
È possibile specificare quando il programma di scansione all'accesso deve eseguire la scansione dei
file: durante la scrittura su disco, durante la lettura dal disco o consentire a McAfee di decidere quando
eseguire la scansione.
66
Guida del prodotto
3
Quando i file vengono scritti sul disco, il programma di scansione all'accesso esegue la scansione di
questi file:
•
File in ingresso che vengono scritti sul disco rigido locale.
•
File creati sul disco rigido locale o su un'unità di rete mappata, se attivata (compresi i file nuovi,
modificati o copiati/spostati da un'unità all'altra).
Poiché la scansione potrebbe non riuscire quando si scrive il file su disco, si consiglia vivamente di
attivare l'opzione Durante la lettura dal disco.
Quando i file vengono letti dal disco, il programma di scansione esegue la scansione di questi file:
•
File in uscita che vengono letti dal disco rigido locale o dalle unità di rete mappate (se attivate).
•
Qualsiasi file che tenta di eseguire un processo sul disco rigido locale.
•
File aperti sul disco rigido locale.
Se si consente a McAfee di decidere se un file deve essere sottoposto a scansione, il programma di
scansione all'accesso utilizza la logica di affidabilità per ottimizzare la scansione. La logica di
affidabilità migliora la sicurezza e le prestazioni evitando scansioni non necessarie. Ad esempio,
McAfee analizza alcuni programmi e li considera affidabili. Se McAfee verifica che questi programmi
non sono stati alterati, il programma di scansione potrebbe eseguire una scansione ridotta o
ottimizzata.
Informazioni su ScriptScan
Il programma di scansione script di Prevenzione delle minacce agisce come componente proxy nel
Windows Script Host nativo, intercettando ed eseguendo la scansione di script prima della loro
esecuzione.
Guida del prodotto
67
3
•
Se uno script non è infetto, il programma di scansione degli script lo trasmette al sistema Windows
Script Host nativo.
•
Se lo script contiene una minaccia potenziale, il programma di scansione script ne impedisce
l'esecuzione.
Esclusioni di ScriptScan
I siti e le applicazioni Web ad alta densità di script potrebbero funzionare in maniera non ottimale
quando ScriptScan è attivato. Anziché disattivare ScriptScan, si consiglia di specificare esclusioni URL
per i siti affidabili, come quelli all'interno dell'Intranet o le applicazioni Web ritenute sicure.
Quando si creano esclusioni URL:
•
Non utilizzare caratteri jolly.
•
Non includere numeri di porta.
•
Si consiglia di utilizzare solo nomi di dominio completi (FQDN) e nomi NetBIOS.
Sui sistemi Windows Server 2008, le esclusioni degli URL ScriptScan non funzionano con Internet
Explorer, a meno che non si selezionino estensioni di browser di terze parti e si riavvii il sistema. Vedere
l'articolo KB69526 della KnowledgeBase.
ScriptScan e Internet Explorer
Quando Prevenzione delle minacce è installato, al primo avvio di Internet Explorer viene visualizzata
una richiesta di attivare i componenti aggiuntivi di McAfee. Affinché ScriptScan esegua la scansione
degli script:
•
L'impostazione Attiva ScriptScan deve essere selezionata.
•
Il componente aggiuntivo deve essere attivato nel browser.
Se ScriptScan è disattivato all'avvio di Internet Explorer e viene attivato in seguito, non rileva gli script
dannosi in quella istanza di Internet Explorer. È necessario riavviare Internet Explorer dopo aver attivato
ScriptScan affinché rilevi gli script dannosi.
Determinazione delle impostazioni di scansione per i processi
Seguire questa procedura per determinare se configurare diverse impostazioni in base al tipo di
processo.
68
Guida del prodotto
3
Configurazione delle impostazioni Scansione su richiesta
Queste impostazioni consentono di configurare il comportamento di tre scansioni su richiesta
predefinite: Scansione completa, Scansione rapida e Scansione di scelta rapida.
Prima di iniziare
Consultare la Guida per le impostazioni delle Opzioni del modulo Prevenzione delle minacce.
Guida del prodotto
69
3
Attività
1
2
Fare clic su Prevenzione delle minacce nella pagina Stato principale.
, selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce
3
4
Fare clic su Scansione su richiesta.
5
Fare clic su una scheda per configurare le impostazioni per la scansione specificata.
6
•
Scansione completa
•
Scansione rapida
•
Scansione di scelta rapida
Annulla.
Vedere anche
Modalità di funzionamento della scansione su richiesta
Il programma di scansione su richiesta esamina file, cartelle, memoria e registro del sistema alla
ricerca di eventuali malware che avrebbero potuto infettare il sistema.
Il momento e la frequenza di esecuzione delle scansioni su richiesta vengono stabiliti dall'utente. È
possibile eseguire la scansione del sistema manualmente, a un orario pianificato o all'avvio.
1
Il programma di scansione su richiesta applica i seguenti criteri per stabilire se l'elemento deve
essere sottoposto a scansione:
•
L'estensione del file corrisponde a quanto indicato nella configurazione.
•
Il file non è stato memorizzato nella cache, escluso o esaminato in precedenza (se il programma
di scansione utilizza una cache di scansione).
Se si configura McAfee GTI, il programma di scansione utilizza l'euristica per verificare la presenza di
file sospetti.
2
70
Se il file soddisfa il criterio di scansione, ne viene eseguita la scansione confrontando le
informazioni contenute nell'elemento con le firme di malware note nei file AMCore content
correntemente caricati.
•
Se il file è pulito, il risultato viene inserito nella cache e viene eseguita la verifica del successivo
elemento.
•
Se il file contiene una minaccia, il programma di scansione applica l'azione configurata.
Guida del prodotto
3
Ad esempio, se l'azione è quella di ripulire il file, il programma di scansione:
1
Utilizza le informazioni del file AMCore content correntemente caricato per ripulire il file.
2
Registra i risultati nel registro attività.
3
Invia una notifica all'utente a proposito del rilevamento di una minaccia nel file e include il
nome dell'elemento e l'azione intrapresa.
Windows 8 e 10 – Se il programma di scansione rileva una minaccia nel percorso di un'app del
Windows Store installata, contrassegna tale file come alterato. Windows aggiunge il
contrassegno di alterato al riquadro dell'app. Quando si cerca di eseguirla, Windows informa
l'utente del problema e lo reindirizza a Windows Store per la reinstallazione.
3
Se l'elemento non soddisfa i requisiti di scansione, il programma di scansione non lo controlla. Anzi,
il programma continua fino ad aver eseguito la scansione di tutti i dati.
L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione su
richiesta successiva.
Prevenzione delle minacce scarica la cache di scansione globale ed esegue nuovamente la scansione di
tutti i file al caricamento di un Extra.DAT.
Riduzione dell'impatto delle scansioni sugli utenti
Per minimizzare l'impatto prodotto dalle scansioni su richiesta su un sistema, specificare le opzioni
relative alle prestazioni durante la configurazione di queste scansioni.
Esegui scansione solo quando il sistema è inattivo
Il modo più semplice per assicurarsi che la scansione non produca alcun impatto sugli utenti consiste
nell'eseguirla su richiesta solo quando il computer è inattivo.
Guida del prodotto
71
3
Quando questa opzione è selezionata, Prevenzione delle minacce mette in pausa la scansione quando
rileva attività del disco o dell'utente, come l'accesso mediante tastiera o mouse. Prevenzione delle
minacce riprende la scansione dopo tre minuti dall'ultimo accesso al sistema da parte dell'utente.
È inoltre possibile:
•
Consentire agli utenti di riprendere le scansioni messe in pausa a causa di attività dell'utente.
•
Ripristinare l'esecuzione della scansione solo quando il sistema è inattivo.
McAfee consiglia di disattivare questa opzione sui sistemi server e i sistemi ai quali gli utenti accedono
solamente tramite connessione desktop remota (RDP). Prevenzione delle minacce dipende da McTray
per stabilire se il sistema è inattivo. Sui sistemi ai quali si accede solamente tramite RDP, McTray non
viene avviato e il programma di scansione su richiesta non viene mai eseguito.
Per aggirare questo problema, gli utenti possono avviare McTray (in C:\Program Files
\McAfee\Agent\mctray.exe, per impostazione predefinita) manualmente quando accedono
tramite RDP.
Selezionare Scansiona solo quando il sistema è inattivo nella sezione Prestazioni della
schedaImpostazionidell'attività di scansione su richiesta.
Mettere in pausa le scansioni automaticamente
Per migliorare le prestazioni, è possibile mettere in pausa le scansioni su richiesta quando la batteria è
quasi esaurita. È inoltre possibile mettere in pausa la scansione quando un'applicazione, come un
browser, programma di riproduzione multimediale o una presentazione, vengono eseguiti in modalità a
schermo intero. La scansione riprende immediatamente quando il sistema viene connesso
all'alimentazione o non si trova più in modalità a schermo intero.
Selezionare queste opzioni nella sezione Prestazioni della scheda Impostazioni dell'attività di
scansione:
•
Non eseguire la scansione quando il sistema è alimentato a batteria
•
Non eseguire la scansione quando il sistema è in modalità presentazione (disponibile quando Scansiona in qualsiasi
momento è selezionato)
Consentire agli utenti di rinviare le scansioni
Se si sceglie Scansiona in qualsiasi momento, è possibile consentire agli utenti di rinviare le scansioni
pianificate in incrementi di un'ora, fino a 24 ore, o per sempre. Ciascun rinvio dell'utente può durare
un'ora. Ad esempio, se l'opzione Numero massimo di ore di rinvio da parte dell'utente è impostata su 2, l'utente
può rinviare l'attività di scansione per due volte (due ore). Quando il numero di ore massimo
specificato scade, la scansione riprende. Se si consente di configurare rinvii illimitati impostando
l'opzione sul valore zero, l'utente potrà continuare a rinviare la scansione a tempo indeterminato.
Selezionare L'utente può rinviare le scansioni nella sezione Prestazioni delle impostazioni dell'attività di
scansione:
Limitazione dell'attività di scansione con scansioni incrementali
Utilizzare scansioni incrementali o recuperabili per impostare un limite di tempo per il verificarsi
dell'attività di scansione su richiesta e di eseguire la scansione dell'intero sistema in più sessioni. Per
utilizzare la scansione incrementale aggiungere un limite di tempo alla scansione pianificata. La
scansione si interrompe quando viene raggiunto il limite. Al successivo avvio, questa attività
riprenderà dal punto nel file e nella struttura della cartella in cui la scansione precedente si era
interrotta.
72
Guida del prodotto
3
Selezionare Termina l'attività se eseguita per oltre nella sezione opzioni della scheda Pianifica dell'Attività di
scansione. Vedere Configurazione, pianificazione e attivazione delle attività di scansione a pagina 74.
Configurare l'utilizzo del sistema
Utilizzo del sistema specifica la quantità di tempo della CPU che il programma di scansione riceve
durante la scansione. Per i sistemi con attività dell'utente finale, impostare l'utilizzo del sistema su
Basso.
Selezionare Utilizzo del sistema nella sezione Prestazioni della scheda Impostazioni dell'attività di
scansione.
Vedere anche
Modalità di funzionamento dell'utilizzo del sistema
Il programma di scansione su richiesta utilizza l'impostazione di priorità di Windows per la priorità dei
processi di scansione e dei thread. L'impostazione di utilizzo del sistema (limitazione delle richieste)
consente al sistema operativo di impostare la quantità di tempo della CPU che il programma di
scansione su richiesta riceve durante il processo di scansione.
Se si imposta l'utilizzo del sistema per la scansione su un valore basso, aumentano le prestazioni delle
altre applicazioni in esecuzione. L'impostazione sul livello basso è utile per i sistemi con attività
dell'utente finale. Di contro, impostando l'utilizzo del sistema su un valore normale, la scansione viene
eseguita più rapidamente. L'impostazione normale è utile per i sistemi che dispongono di grandi
volumi e una minima attività dell'utente finale.
Ogni attività viene eseguita in maniera indipendente e senza considerare i limiti impostati per le altre
attività.
Tabella 3-3 Impostazioni processo predefinite
Impostazione processo Questa opzione...
Prevenzione delle
minacce
Impostazione della
priorità di Windows
Basso
Fornisce prestazioni migliori per le altre
Basso
applicazioni in uso. Selezionare questa opzione
per i sistemi con attività dell'utente finale.
Al di sotto del normale
Imposta l'utilizzo di sistema per la scansione
sul valore McAfee ePO predefinito.
Normale (predefinito)
Consente di completare la scansione più
Normale
rapidamente. Selezionare questa opzione per i
sistemi che dispongono di grandi volumi e una
minima attività dell'utente finale.
Al di sotto del normale
Modalità di funzionamento della scansione dell'archivio remoto
È possibile configurare il programma di scansione su richiesta per eseguire la scansione del contenuto
dei file gestiti dall'archivio remoto.
Archivio remoto monitora la quantità di spazio disponibile nel sistema locale. Quando necessario,
l'archivio remoto esegue una migrazione automatica del contenuto (dati) da file qualificati del sistema
client a un dispositivo di archiviazione, come una libreria di nastri. Quando un utente apre un file i cui
dati sono stati migrati, l'archivio remoto recupera automaticamente i dati dal dispositivo di
archiviazione.
Guida del prodotto
73
3
Selezionare l'opzione File di cui è stata eseguita la migrazione nell'archivio per configurare il programma di
scansione su richiesta per eseguire la scansione di file gestiti dall'archivio remoto. Quando il
programma di scansione incontra un file il cui contenuto è stato migrato, il file viene ripristinato nel
sistema locale prima della scansione.
Per ulteriori informazioni, vedere What is Remote Storage.
Configurazione, pianificazione e attivazione delle attività di
scansione
È possibile pianificare le attività di scansione completa e scansione rapida predefinite oppure creare attività di
scansione personalizzata da Client Endpoint Security nelle impostazioni di In comune.
Prima di iniziare
Attività
1
2
Dal menu Azione
3
4
5
Configurare le impostazioni dell'attività di scansione nella pagina.
Per...
scansione
personalizzata.
2 Immettere il nome, selezionare Scansione personalizzata dall'elenco a
discesa, quindi fare clic su Avanti.
3 Configurare le impostazioni e la pianificazione dell'attività di
scansione, quindi fare clic su OK per salvare l'attività.
Modificare un'attività di
scansione.
• Fare doppio clic sull'attività, apportare le modifiche quindi fare clic su
OK per salvare l'attività.
Rimuovere un'attività di • Selezionare l'attività, quindi fare clic su Elimina.
scansione
personalizzata.
Creare una copia di
un'attività di scansione.
74
2 Immettere il nome, configurare le impostazioni, quindi fare clic su OK
per salvare l'attività.
Guida del prodotto
Per...
Modificare la
pianificazione per
un'attività di scansione
completa o di scansione
rapida.
1 Fare doppio clic su Scansione completa o Scansione rapida.
3
È possibile configurare le impostazioni delle attività Scansione completa e
Scansione rapida solamente nei sistemi autogestiti.
Vedere Configurazione delle impostazioni Scansione su richiesta a
pagina 69 per informazioni sulla configurazione del comportamento
predefinito delle attività di scansione completa e scansione rapida avviate da
Per impostazione predefinita, l'esecuzione della Scansione completa è
pianificata ogni mercoledì a mezzanotte. L'esecuzione della Scansione
rapida è pianificata ogni giorno alle 19:00. Le pianificazioni sono attivate.
scansione.
6
Vedere anche
Guida del prodotto
75
3
76
Guida del prodotto
4
Uso di Firewall
Il Firewall agisce come filtro tra il computer e la rete o Internet.
Sommario
Funzionamento di Firewall
Attivare o visualizzare i gruppi a tempo Firewall
Gestione di Firewall
Funzionamento di Firewall
Firewall esegue la scansione di tutto il traffico in ingresso e in uscita.
Poiché esamina il traffico in ingresso e in uscita, Firewall controlla i relativi elenchi di regole, che sono
costituiti da una serie di criteri con azioni associate. Se il traffico corrisponde a tutti i criteri di una
regola, Firewall agisce secondo la regola, bloccando o consentendo il traffico attraverso Firewall.
Le informazioni sui rilevamenti delle minacce vengono salvate nei rapporti inviati all'amministratore
per la notifica di qualsiasi problema di sicurezza per il computer.
Le regole e opzioni Firewall definiscono il funzionamento del Firewall. I gruppi di regole organizzano le
regole firewall per una gestione semplificata.
Se la Modalità interfaccia client è impostata su Accesso completo oppure è stato effettuato l'accesso come
amministratore, è possibile configurare regole e gruppi utilizzando Client Endpoint Security. Per i
sistemi gestiti, le regole e i gruppi creati potrebbero essere sovrascritti quando l'amministratore
distribuisce una policy aggiornata.
Vedere anche
Configurazione Firewall a pagina 78
Funzionamento delle regole firewall a pagina 81
Funzionamento dei gruppi di regole firewall a pagina 82
Attivare o visualizzare i gruppi a tempo Firewall
Attivare o visualizzare i gruppi a tempo Firewall dall'icona della barra delle applicazioni di sistema
McAfee.
Queste opzioni potrebbero non essere disponibili, in base alla modalità di configurazione delle
impostazioni.
Guida del prodotto
77
4
Uso di Firewall
Attività
•
Fare clic con il pulsante destro del mouse sull'icona della barra delle applicazioni di sistema McAfee
e selezionare un'opzione dal menu Impostazioni rapide.
•
Attiva gruppi a tempo Firewall – Attiva i gruppi a tempo per un periodo definito per consentire l'accesso
a Internet non in rete prima dell'applicazione di regole che limitano l'accesso.
Ogni volta che si seleziona questa opzione, si reimposta il tempo per i gruppi.
•
Visualizza gruppi a tempo Firewall – Visualizza i nomi dei gruppi a tempo e il periodo rimanente di
attività di ciascun gruppo.
In qualità di amministratore, è possibile configurare opzioni Firewall e creare regole e gruppi in Client
Endpoint Security.
Modifica delle opzioni Firewall
In qualità di amministratore, è possibile modificare le opzioni Firewall da Client Endpoint Security.
Attività
•
Configurare le impostazioni in Opzioni di disattivare e attivare la protezione firewall,
attivare la modalità adattiva e configurare altre opzioni Firewall.
•
Blocco del traffico DNS a pagina 79
Per affinare la protezione firewall, creare un elenco di FQDN da bloccare. Firewall blocca le
connessioni agli indirizzi IP spostandole ai nomi di dominio.
Vedere anche
FAQ – McAfee GTI e Firewall a pagina 79
Configurazione Firewall
Configurare le impostazioni in Opzioni di disattivare e attivare la protezione firewall, attivare la
modalità adattiva e configurare altre opzioni Firewall.
Prima di iniziare
Attività
1
2
Fare clic su Firewall nella pagina Stato principale.
Impostazioni.
78
, selezionare Impostazioni, quindi fare clic su Firewall nella pagina
Guida del prodotto
Uso di Firewall
3
4
Selezionare Attiva Firewall per attivare il Firewall e modificarne le opzioni.
Host Intrusion Prevention 8.0 può essere installato nello stesso sistema di Endpoint Security 10.1.
Se McAfee Host IPS è installato e attivato, Firewall Endpoint Security viene disattivato anche se è
attivato nelle impostazioni della policy.
4
5
Annulla.
Vedere anche
Blocco del traffico DNS
Per affinare la protezione firewall, creare un elenco di FQDN da bloccare. Firewall blocca le connessioni
agli indirizzi IP spostandole ai nomi di dominio.
Prima di iniziare
Attività
1
2
Impostazioni.
3
In Blocco DNS, fare clic su Aggiungi.
4
Immettere l'FQDN dei domini da bloccare.
È possibile utilizzare i caratteri jolly * e ?. Ad esempio, *domain.com.
Eventuali voci duplicate saranno rimosse automaticamente.
5
FAQ – McAfee GTI e Firewall
Di seguito sono riportate le risposte alle domande più frequenti.
Le impostazioni delle Opzioni Firewall consentono di bloccare il traffico in ingresso e in uscita da una
connessione di rete valutata come a rischio elevato da McAfee GTI. Queste domande frequenti
spiegano la funzione di McAfee GTI e come influisce sul firewall.
Che cos'è McAfee GTI?
McAfee GTI è un sistema informativo globale della reputazione su Internet che determina quali
sono i comportamenti corretti e dannosi sul Web. McAfee GTI si serve dell'analisi in tempo reale
dei criteri globali di comportamento e invio relativi a email, attività Web, malware e
comportamento tra i sistemi. Tramite i dati ottenuti dall'analisi, McAfee GTI calcola
dinamicamente il punteggio reputazione che rappresenta il livello di rischio per la rete posto da
una determinata pagina Web. Il risultato è un database di punteggi reputazione per indirizzi IP,
domini, messaggi specifici, URL e immagini.
Guida del prodotto
79
4
Uso di Firewall
Come funziona?
Quando le opzioni McAfee GTI sono selezionate, vengono create due regole firewall: McAfee GTI –
Consenti il servizio Endpoint Security Firewall e McAfee GTI – Ottieni classificazione. La prima regola consente un
collegamento a McAfee GTI e la seconda blocca o consente il traffico basato sulla reputazione
della connessione e la soglia di blocco impostata.
Cosa significa "reputazione"?
Per ogni indirizzo IP su Internet, McAfee GTI calcola un valore di reputazione. McAfee GTI basa il
valore sui comportamenti di invio o hosting e su vari dati di ambiente raccolti da clienti e partner
sullo stato delle minacce su Internet. La reputazione viene espressa in quattro classi, basate
sulla nostra analisi:
•
Non bloccare (rischio minimo) – Questo sito è una fonte o destinazione legittima di contenuti/
traffico.
•
Non verificato – Questo sito è una fonte o destinazione legittima di contenuti/traffico. Tuttavia,
presenta anche proprietà che necessitano di un'ulteriore verifica.
•
Rischio medio – Questa origine/destinazione mostra comportamenti ritenuti sospetti e
contenuti/traffico che richiedono un'osservazione speciale.
•
Rischio elevato – Questa origine/destinazione invia o potrebbe effettuare l'invio o l'hosting di
contenuti/traffico potenzialmente dannosi. Presenta un rischio elevato.
McAfee GTI provoca tempi di latenza? Quanto durano?
Quando McAfee GTI viene contattato per una ricerca della reputazione è inevitabile che si
verifichi una latenza. McAfee ha adottato tutte le misure necessarie per minimizzarla. McAfee
GTI:
•
Verifica le reputazioni solo se le opzioni sono state selezionate.
•
Utilizza un'architettura intelligente di memorizzazione nella cache. Nei normali criteri di
utilizzo della rete, la cache risolve le connessioni più richieste senza una query di reputazione
in tempo reale.
Se il firewall non può contattare i server McAfee GTI, il traffico si interrompe?
Se il firewall non riesce a contattare i server, McAfee GTI assegna automaticamente a tutte le
connessioni applicabili una reputazione consentita predefinita. Il firewall quindi continua ad
analizzare le regole che seguono.
Configurazione di gruppi e regole Firewall
In qualità di amministratore, è possibile configurare gruppi e regole Firewall da Client Endpoint
Security.
Attività
80
•
Creazione e gestione di regole e gruppi Firewall a pagina 86
Per i sistemi gestiti, le regole e i gruppi configurati da Client Endpoint Security potrebbero
essere sovrascritti quando l'amministratore distribuisce una policy aggiornata.
•
Creazione di gruppi di isolamento connessione a pagina 88
Creare un gruppo di regole firewall di isolamento connessione per stabilire un set di regole
che si applicano solo in caso di connessione a una rete con particolari parametri.
•
Creazione di gruppi a tempo a pagina 88
Creare gruppi a tempo Firewall per limitare l'accesso a Internet fino alla connessione del
sistema client tramite VPN.
Guida del prodotto
4
Uso di Firewall
Funzionamento delle regole firewall
Le regole Firewall consentono di stabilire come gestire il traffico di rete. Ogni regola fornisce una serie
di condizioni alle quali il traffico deve risultare conforme e un'azione per consentire o bloccare il
traffico.
Quando Firewall rileva del traffico corrispondente alle condizioni di una regola, esegue l'azione
associata.
È possibile definire le regole in modo ampio (ad esempio, tutto il traffico IP) o singolarmente (ad
esempio, identificando una specifica applicazione o servizio) e specificare le opzioni. È possibile
raggruppare le regole in base a una funzione operativa, a un servizio o a un'applicazione per una
gestione più semplice. Come le regole, è possibile definire gruppi di regole per rete, trasporto,
applicazione, pianificazione e opzioni di posizione.
Firewall applica le regole in base alla priorità:
1
Firewall applica la prima regola dell'elenco regole firewall.
Se il traffico è conforme alle condizioni di questa regola, Firewall consente o blocca il traffico. Non
cerca di applicare nessun'altra regola all'elenco.
2
Se il traffico non è conforme alle condizioni della prima regola, Firewall cerca la regola successiva
nell'elenco e così via fino a trovare una regola che corrisponda al traffico.
3
Se nessuna regola corrisponde, il firewall blocca automaticamente il traffico.
Se la modalità adattiva è attivata, viene creata una regola di consenso per il traffico. A volte il traffico
intercettato corrisponde a più di una regola nell'elenco. In questo caso, priorità significa che Firewall
applica solo la prima regola che corrisponde nell'elenco.
Guida del prodotto
81
4
Uso di Firewall
Procedure consigliate
Posizionare le regole più specifiche all'inizio dell'elenco e le più generali alla fine. Questo ordine
garantisce che Firewall filtri correttamente il traffico.
Ad esempio, per consentire tutte le richieste HTTP eccetto quelle provenienti da un indirizzo specifico
(ad esempio, indirizzo IP 10.10.10.1), creare due regole:
•
Regola di blocco – Blocca il traffico HTTP dall'indirizzo IP 10.10.10.1. Questa regola è specifica.
•
Regola di consenso – Consente tutto il traffico tramite il servizio HTTP. Questa regola è generale.
Posizionare la regola di blocco più in alto nell'elenco delle regole firewall rispetto alla regola di
consenso. Quando il firewall intercetta la richiesta HTTP dall'indirizzo 10.10.10.1, la prima regola
corrispondente trovata è quella che blocca questo traffico attraverso il firewall.
Se la regola di consenso si trova in una posizione più elevata rispetto alla specifica regola di blocco,
Firewall esegue la corrispondenza delle richieste nei confronti della regola di consenso prima di trovare
la regola di blocco. Consente il traffico, anche se si voleva bloccare la richiesta HTTP da un indirizzo
specifico.
Funzionamento dei gruppi di regole firewall
I gruppi di regole Firewall organizzano le regole firewall per una gestione semplificata. I gruppi di
regole Firewall non influenzano il modo in cui Firewall gestisce le regole al loro interno; Firewall
elabora comunque le regole dalla prima all'ultima.
Firewall elabora le impostazioni per il gruppo prima di elaborare quelle per le regole che contiene. Se è
presente un conflitto tra queste impostazioni, le impostazioni del gruppo hanno la priorità.
Impostazione dei gruppi come in grado di riconoscere la posizione
Firewall consente di creare un gruppo e le relative regole in grado di riconoscere la posizione e di
creare un isolamento della connessione. La Posizione e le Opzioni di rete del gruppo consentono di
creare i gruppi in modo che siano in grado di riconoscere l'adattatore di rete. Utilizzare i gruppi
dell'adattatore di rete per applicare le regole specifiche della scheda per i computer con interfacce di
rete multiple. Dopo aver attivato lo stato e aver assegnato un nome alla posizione, i parametri per le
connessioni consentite possono includere quanto segue, per ciascun adattatore di rete:
Posizione:
•
Richiede la raggiungibilità di McAfee ePO
•
Indirizzo IP Server WINS principale
•
Suffisso DNS specifico per la connessione
•
Indirizzo IP Server WINS secondario
•
Indirizzo IP Gateway predefinito
•
Raggiungibilità dominio (HTTPS)
•
Indirizzo IP Server DHCP
•
Chiave di registro
•
Server DNS interrogato per risolvere URL
Reti:
•
Indirizzo IP Rete locale
•
Tipi di connessione
Se due gruppi in grado di riconoscere la posizione sono applicabili a una connessione, Firewall utilizza
la priorità normale, elaborando il primo gruppo applicabile nel suo elenco delle regole. Se nessuna
delle regole nel primo gruppo corrisponde, l'elaborazione delle regole prosegue.
82
Guida del prodotto
Uso di Firewall
4
Quando Firewall esegue una corrispondenza tra i parametri di un gruppo in grado di riconoscere la
posizione e una connessione attiva, applica le regole all'interno di un gruppo. Gestisce le regole come
piccoli set di regole e applica una priorità normale. Se alcune regole non corrispondono al traffico
intercettato, il firewall le ignora.
Se questa opzione è
selezionata...
Quindi...
Attiva riconoscimento della
posizione
Un nome posizione è obbligatorio.
Richiede la raggiungibilità di
McAfee ePO
McAfee ePO è raggiungibile e l'FQDN del server è stato risolto.
Rete locale
L'indirizzo IP dell'adattatore deve corrispondere a una delle voci
dell'elenco.
Suffisso DNS specifico per la
connessione
Il suffisso DNS dell'adattatore deve corrispondere a una delle
voci dell'elenco.
Gateway predefinito
L'indirizzo IP dell'adattatore predefinito deve corrispondere a una
delle voci dell'elenco.
Server DHCP
L'indirizzo IP del server dell'adattatore DHCP deve corrispondere
a una delle voci dell'elenco.
Server DNS
L'indirizzo IP della scheda del server DNS deve corrispondere a
una delle voci dell'elenco.
Server WINS principale
L'indirizzo IP del server WINS principale deve corrispondere a
Server WINS secondario
L'indirizzo IP del server WINS secondario deve corrispondere a
Raggiungibilità dominio (HTTPS)
Il dominio specificato deve essere raggiungibile mediante HTTPS.
Gruppi di regole Firewall e isolamento della connessione
Utilizzare l'isolamento della connessione per i gruppi per impedire l'accesso di traffico indesiderato alla
rete designata.
Quando l'isolamento della connessione è attivato per un gruppo e una scheda d'interfaccia di rete (NIC
o Network Interface Card) attiva corrisponde ai criteri del gruppo, Firewall elabora solo il traffico che
corrisponde:
•
Alle regole di assenso sopra il gruppo nell'elenco delle regole firewall
•
Ai criteri gruppo
Tutto il resto del traffico viene bloccato.
Qualsiasi gruppo con un isolamento connessione attivato non può avere eseguibili o opzioni di trasporto
associate.
Guida del prodotto
83
4
Uso di Firewall
Come esempi dell'uso dell'isolamento della connessione, considerare due impostazioni: un ambiente
aziendale e un hotel. L'elenco delle regole firewall attive contiene regole e gruppi in questo ordine:
1
Regole per la connessione di base
2
Regole di connessione VPN
3
Gruppo con regole di connessione LAN aziendali
4
Gruppo con regole di connessione VPN
Esempio: isolamento connessione nella rete aziendale
Le regole di connessione vengono elaborate fino a quando viene incontrato il gruppo con regole di
connessione LAN aziendali. Questo gruppo contiene le impostazioni seguenti:
•
Tipo di connessione = Cablata
•
Suffisso DNS specifico per la connessione = mycompany.com
•
Gateway predefinito
•
Isolamento connessione = Attivato
Il computer dispone di adattatori di rete wireless e LAN. Il collegamento alla rete aziendale viene
effettuato tramite connessione cablata. Tuttavia, l'interfaccia wireless è ancora attiva, quindi si collega
a un hotspot fuori dall'ufficio. Il computer esegue la connessione a entrambe le reti in quanto le regole
per l'accesso di base sono in alto nell'elenco delle regole firewall. La connessione LAN cablata è attiva
e soddisfa i criteri del gruppo LAN aziendale. Il firewall elabora il traffico attraverso la LAN ma poiché
l'isolamento della connessione è attivato, tutto il resto del traffico che non passa per la LAN viene
bloccato.
84
Guida del prodotto
4
Uso di Firewall
Esempio: isolamento connessione in un hotel
Le regole di connessione vengono elaborate fino a quando viene incontrato il gruppo con regole di
connessione VPN. Questo gruppo contiene le impostazioni seguenti:
•
Tipo di connessione = Virtuale
•
Suffisso DNS specifico per la connessione = vpn.mycompany.com
•
Indirizzo IP = Un indirizzo in un intervallo specifico per il concentratore VPN
•
Isolamento connessione = Attivato
Le regole di connessione generali consentono di impostare un account a tempo nell'hotel per poter
accedere a Internet. Le regole di connessione VPN consentono la connessione e l'uso di un tunnel VPN.
Dopo aver stabilito il tunnel, il client VPN crea un adattatore virtuale che corrisponde ai criteri del
gruppo VPN. Il solo traffico consentito dal firewall si trova dentro il tunnel VPN e il traffico di base
sull'adattatore reale. I tentativi di accesso al computer tramite la rete da parte di altri ospiti dell'hotel,
sia di tipo cablato che wireless, vengono bloccati.
Gruppi di regole firewall predefiniti
Firewall include vari gruppi firewall predefiniti.
Gruppo Firewall
Descrizione
Funzionalità di base rete
McAfee
Contiene le regole di funzionalità di base rete fornite da McAfee e include
regole per consentire app e DNS McAfee.
Non è possibile modificare o eliminare queste regole. È possibile disattivare il
gruppo in Firewall Opzioni, ma tale opzione potrebbe interrompere le
comunicazioni di rete sul client.
Aggiunto
dall'amministratore
Contiene regole definite dall'amministratore dal server di gestione.
Non è possibile modificare o eliminare queste regole in Client Endpoint
Security.
Aggiunto dall'utente
Contiene regole definite in Client Endpoint Security.
A seconda delle impostazioni della policy, queste regole potrebbero essere
sovrascritte quando si impone la policy.
Dinamico
Contiene regole create dinamicamente da altri moduli Endpoint Security
installati nel sistema.
Ad esempio, Prevenzione delle minacce potrebbe inviare un evento al modulo
Client Endpoint Security per creare una regola che blocca l'accesso a un
sistema nella rete.
Adattivo
Contiene regole di eccezione client create automaticamente quando il sistema
è in modalità adattiva.
A seconda delle impostazioni della policy, queste regole potrebbero essere
sovrascritte quando si impone la policy.
Predefinito
Contiene regole predefinite fornite da McAfee.
Non è possibile modificare o eliminare queste regole.
Guida del prodotto
85
4
Uso di Firewall
Creazione e gestione di regole e gruppi Firewall
Per i sistemi gestiti, le regole e i gruppi configurati da Client Endpoint Security potrebbero essere
sovrascritti quando l'amministratore distribuisce una policy aggiornata.
Prima di iniziare
I gruppi e le regole vengono visualizzati in ordine di priorità nella tabella Regole Firewall. Non è possibile
ordinare le regole per colonna.
Attività
1
2
Impostazioni.
3
Utilizzare queste attività per gestire le regole e i gruppi firewall.
Per eseguire queste
operazioni...
Visualizzare le regole in un gruppo Fare clic su
firewall.
.
Comprimere un gruppo firewall.
Fare clic su
.
Modificare una regola esistente.
1 Espandere il gruppo Aggiunto dall'utente.
È possibile modificare regole
solo nel gruppo Aggiunto
dall'utente.
2 Fare doppio clic sulla regola.
3 Modificare le impostazioni della regola.
4 Per salvare le modifiche, fare clic su OK.
Visualizzare una regola esistente
in ogni nuovo gruppo.
1 Espandere il gruppo.
Creare una regola.
1 Fare clic su Aggiungi regola.
2 Selezionare la regola per visualizzarne i dettagli nel riquadro
inferiore.
2 Specificare le impostazioni della regola.
La regola viene visualizzata alla fine del gruppo Aggiunto
dall'utente.
Creare copie di regole.
1 Selezionare la regola o le regole e fare clic su Duplica.
Le regole copiate vengono visualizzate alla fine del gruppo
Aggiunto dall'utente con lo stesso nome.
2 Modificare le regole per cambiare il nome e le impostazioni.
86
Guida del prodotto
Uso di Firewall
Per eseguire queste
operazioni...
Eliminare regole.
1 Espandere il gruppo.
È possibile eliminare regole
solo dal gruppo Aggiunto
dall'utente e dal gruppo Adattivo.
Creare un gruppo.
4
2 Selezionare la regola o le regole e fare clic su Elimina.
1 Fare clic su Aggiungi gruppo.
2 Specificare le impostazioni del gruppo.
Il gruppo viene visualizzato nel gruppo Aggiunto dall'utente.
Sposta regole e gruppi all'interno
e tra gruppi.
È possibile spostare regole e
gruppi solo nel gruppo
Aggiunto dall'utente.
Per spostare gli elementi:
1 Selezionare gli elementi da spostare.
Il simbolo di spostamento
viene visualizzato a sinistra
degli elementi che possono essere spostati.
2 Trascinare e rilasciare gli elementi nella nuova posizione.
Viene visualizzata una riga blu tra gli elementi dove è
possibile rilasciare gli elementi trascinati.
4
Vedere anche
Caratteri jolly nelle regole firewall a pagina 87
Creazione di gruppi di isolamento connessione a pagina 88
Caratteri jolly nelle regole firewall
È possibile utilizzare caratteri jolly al fine di rappresentare caratteri per alcuni valori nelle regole
firewall.
Caratteri jolly in percorsi e valori indirizzo
Per percorsi di file, chiavi di registro, eseguibili e URL, utilizzare i seguenti caratteri jolly.
I percorsi chiave di registro per le posizioni gruppo firewall non riconoscono i caratteri jolly.
?
Punto interrogativo Singolo carattere.
*
Asterisco
Caratteri multipli, esclusi barra (/) e barra rovesciata (\). Utilizzare questo
carattere per creare una corrispondenza tra i contenuti a livello di radice di
una cartella senza sottocartelle.
** Doppio asterisco
Caratteri multipli, inclusi barra (/) e barra rovesciata (\).
|
Carattere jolly di escape.
Barra verticale
Per il doppio asterisco (**) il carattere di escape è |*|*.
Caratteri jolly in tutti gli altri valori
Per i valori che normalmente non contengono informazioni di percorso con barre, utilizzare questi
caratteri jolly.
Guida del prodotto
87
4
Uso di Firewall
?
Punto interrogativo
Singolo carattere.
*
Asterisco
Caratteri multipli, inclusi barra (/) e barra rovesciata (\).
|
Barra verticale
Carattere jolly di escape.
Creazione di gruppi di isolamento connessione
Creare un gruppo di regole firewall di isolamento connessione per stabilire un set di regole che si
applicano solo in caso di connessione a una rete con particolari parametri.
Prima di iniziare
Attività
1
2
Impostazioni.
3
In REGOLE, fare clic su Aggiungi gruppo.
4
In Descrizione, specificare le opzioni per il gruppo.
5
In Posizione, selezionare Attiva riconoscimento della posizione e Attiva isolamento connessione. Quindi, selezionare
i criteri di posizione per la corrispondenza.
6
In Reti, per Tipi di connessione, selezionare il tipo di connessione (Cablata, Wireless o Virtuale) per applicare
le regole nel gruppo.
Le impostazioni per Trasporto ed Eseguibili non sono disponibili per i gruppi di isolamento della
connessione.
7
Fare clic su OK.
8
Creare nuove regole nel gruppo o spostarvi le regole esistenti dall'elenco di regole firewall.
9
Vedere anche
Gruppi di regole Firewall e isolamento della connessione a pagina 83
Funzionamento dei gruppi di regole firewall a pagina 82
Creazione di gruppi a tempo
Creare gruppi a tempo Firewall per limitare l'accesso a Internet fino alla connessione del sistema client
tramite VPN.
Quando gli utenti devono connettersi per accedere a siti Web interni da reti pubbliche, è possibile
creare un gruppo a tempo per consentire di stabilire una connessione VPN.
Per attivare un gruppo a tempo, nel sistema client fare clic con il pulsante destro del mouse sull'icona
della barra delle applicazioni di sistema McAfee e selezionare Impostazioni rapide | Attiva gruppi a tempo Firewall.
Il gruppo è quindi attivo per il numero di minuti specificato e il sistema client può connettersi a una
rete pubblica e stabilire una connessione VPN.
88
Guida del prodotto
4
Uso di Firewall
Attività
1
2
Impostazioni.
3
Creare un gruppo Firewall con impostazioni predefinite che consentono la connettività Internet.
Ad esempio, consentire il traffico HTTP sulla porta 80.
4
In Pianificazione, selezionare Disattiva pianificazione e attiva il gruppo dalla barra delle applicazioni di McAfee e
immettere il numero di minuti per i quali attivare il gruppo.
5
Per salvare le modifiche, fare clic su OK.
6
Creare un gruppo di isolamento connessione corrispondente alla rete VPN per consentire il traffico
necessario.
Vedere Creazione di gruppi di isolamento connessione a pagina 88.
Per impedire il traffico in uscita dal sistema client tranne che dal gruppo di isolamento connessione,
non inserire alcuna regola Firewall in questo gruppo.
7
Guida del prodotto
89
4
Uso di Firewall
90
Guida del prodotto
5
Accedere alle funzionalità di protezione di Controllo Web dal browser durante la navigazione o la
ricerca.
Sommario
Informazioni sulle funzioni di Controllo Web
Accedere alle funzionalità di Controllo Web
Gestione di Controllo Web
Poiché viene eseguito su ogni sistema gestito, Controllo Web segnala le minacce all'utente mentre si
effettuano ricerche o si naviga sui siti Web.
Un team di McAfee analizza ciascun sito Web e assegna classificazioni di sicurezza con codifica a colori
in base ai risultati del test. Il colore indica il livello di sicurezza del sito.
Il software utilizza i risultati del test per segnalare all'utente le minacce basate sul Web che si
potrebbero incontrare.
Sulle pagine dei risultati di ricerca – Viene visualizzata un'icona accanto a ciascun sito in elenco. Il
colore dell'icona indica la classificazione di sicurezza del sito. L'utente può accedere a ulteriori
informazioni con le icone.
Nella finestra del browser – Viene visualizzato un pulsante. Il colore del pulsante indica la
classificazione della sicurezza del sito. È possibile accedere a ulteriori informazioni facendo clic sul
pulsante.
Il pulsante segnala anche quando si verificano problemi di comunicazione e offre un accesso rapido a
test che consentono di identificare problemi comuni.
Nei rapporti sulla sicurezza – I dettagli mostrano in che modo è stata calcolata la classificazione di
sicurezza in base ai tipi di minacce rilevate, ai risultati dei test e ad altri dati.
Per i sistemi gestiti, gli amministratori creano policy per:
•
Attivare e disattivare Controllo Web sul sistema e impedire o consentire la disattivazione del plug-in
del browser.
•
Controllare l'accesso a siti, pagine e download in base alla classificazione della sicurezza o al tipo di
contenuto.
Ad esempio, blocco dei siti rossi e avvisi per gli utenti che provano ad accedere ai siti gialli.
•
Identificare i siti come bloccati o consentiti, in base agli URL e ai domini.
•
Impedire di disinstallare o modificare file, chiavi di registro, valori di registro, servizi e processi di
Controllo Web.
Guida del prodotto
91
5
•
Personalizzare la notifica visualizzata quando si tenta di accedere a un sito Web bloccato.
•
Monitorare e regolare l'attività del browser sui computer della rete e creare report dettagliati sui siti
Web.
Per i sistemi autogestiti, è possibile configurare le impostazioni per:
•
Attivare e disattivare Controllo Web sul sistema.
•
Controllare l'accesso a siti, pagine e download in base alla classificazione della sicurezza o al tipo di
contenuto.
Ad esempio, blocco dei siti rossi e avvisi per gli utenti che provano ad accedere ai siti gialli.
Il software supporta i browser Microsoft Internet Explorer, Mozilla Firefox e Google Chrome.
Nei sistemi autogestiti, per impostazione predefinita sono consentiti tutti i browser (supportati e non
supportati).
Chrome non supporta l'imposizione di download di file o l'opzione Mostra area commenti.
Vedere anche
Il pulsante Controllo Web identifica le minacce durante la navigazione a pagina 93
Identificazione delle minacce durante la ricerca mediante le icone di sicurezza a pagina 94
Fornitura di dettagli da parte dei rapporti sul sito a pagina 94
Compilazione delle classificazioni di sicurezza a pagina 95
Modalità di blocco o segnalazione di un sito o download da
parte di Controllo Web
Quando un utente visita un sito che è stato bloccato o segnalato, Controllo Web mostra una pagina o
un messaggio popup che ne indica il motivo.
Se le azioni di classificazione dei siti sono impostate su:
•
Avviso - Controllo Web mostra un avviso per informare gli utenti delle potenziali minacce associate
al sito.
•
Annulla ritorna al sito precedente.
Se in precedenza non sono stati visitati altri siti, Annulla non è disponibile.
•
•
Continua procede con l'accesso al sito.
Blocca - Controllo Web mostra un messaggio che indica il blocco del sito.
OK ritorna al sito precedente.
Se in precedenza non sono stati visitati altri siti, OK non è disponibile.
Se le azioni di classificazione dei download sono impostate su:
•
•
Avviso - Controllo Web mostra un avviso per informare gli utenti delle potenziali minacce associate
al download del file.
•
Blocca previene il download e ritorna al sito.
•
Continua procede con il download.
Blocca - Controllo Web mostra un messaggio che indica il blocco del sito e previene il download.
OK ritorna al sito.
92
Guida del prodotto
5
Il pulsante Controllo Web identifica le minacce durante la
navigazione
Quando si accede a un sito Web, nel browser viene visualizzato un pulsante con codifica a colori
. Il colore del pulsante corrisponde alla classificazione della sicurezza del sito.
La classificazione della sicurezza si applica solo agli URL con protocollo HTTP e HTTPS.
Internet Explorer
e Safari
(Macintosh)
Firefox e
Chrome
Descrizione
Questo sito viene controllato quotidianamente e certificato
come sicuro da McAfee SECURE . (solo Windows)
™
Questo sito è sicuro.
Questo sito potrebbe presentare dei problemi.
Questo sito presenta dei problemi gravi.
Non è disponibile una classificazione per questo sito.
Questo pulsante viene visualizzato per gli URL con protocollo
FILE (file://).
Si è verificato un errore di comunicazione con il server McAfee
GTI che contiene le informazioni di classificazione.
Controllo Web non ha posto una query a McAfee GTI per
questo sito e ciò indica che il sito è interno o si trova in un
intervallo di indirizzi IP privati.
Questo è un sito di phishing.
Il phishing è un tentativo di acquisizione di informazioni
riservate, come nomi utente, password e dettagli di carte di
credito. I siti di phishing si nascondono sotto le false spoglie
di enti affidabili in una comunicazione elettronica.
Un'impostazione consente questo sito.
Un'impostazione ha disattivato Controllo Web.
La posizione del pulsante dipende dal browser:
•
Internet Explorer - Barra degli strumenti Controllo Web
•
Firefox – Angolo destro della barra degli strumenti Firefox
•
Chrome - Barra degli indirizzi
Vedere anche
Visualizzazione di informazioni su un sito durante la navigazione a pagina 97
Guida del prodotto
93
5
Identificazione delle minacce durante la ricerca mediante le
icone di sicurezza
Quando l'utente digita parole chiave in un motore di ricerca come Google, Yahoo, Bing o Ask, vengono
visualizzate icone di sicurezza accanto ai siti nella pagina dei risultati della ricerca. Il colore del
pulsante corrisponde alla classificazione di sicurezza del sito.
I test non hanno rivelato problemi significativi.
I test hanno rilevato problemi dei quali informare l'utente. Ad esempio, il sito ha cercato di
modificare le impostazioni predefinite del browser di chi ha eseguito il test, ha visualizzato
popup o inviato a chi ha eseguito il test una quantità significativa di email non classificate come
spam.
I test hanno rilevato problemi gravi che l'utente deve tenere in considerazione prima di accedere
a questo sito. Ad esempio, il sito ha inviato a chi ha eseguito il test email di spam o adware in
bundle con un download.
Un'impostazione ha bloccato questo sito.
Questo sito non è classificato.
Vedere anche
Visualizzazione del rapporto sul sito durante le ricerche a pagina 97
Fornitura di dettagli da parte dei rapporti sul sito
L'utente può visualizzare il rapporto sul sito per un sito Web per dettagli sulle minacce specifiche.
I rapporti sul sito sono forniti dal server delle classificazioni McAfee GTI e offrono le seguenti
informazioni.
Questo
elemento...
Indica...
Panoramica
La classificazione complessiva del sito Web, determinata da questi test:
• Vengono valutate le pratiche di email e download di un sito Web utilizzando
tecniche proprietarie di raccolta e analisi dei dati.
• Viene esaminato il sito Web stesso per verificare se attiva pratiche fastidiose quali
popup eccessivi o richieste di modifica della home page.
• Viene eseguita un'analisi delle affiliazioni online per valutare se il sito è associato
ad altri siti sospetti.
• La valutazione dei siti sospetti di McAfee viene integrata con i commenti dei servizi
Threat Intelligence.
Affiliazioni
online
Indicazione del livello di aggressività con cui il sito tenta di indirizzare ad altri siti
contrassegnati da McAfee come rossi.
I siti sospetti spesso si associano con altri siti sospetti. Lo scopo principale dei siti
feeder è quello di far visitare il sito sospetto. Un sito può essere classificato in rosso
se, ad esempio, collega in modo troppo aggressivo ad altri siti rossi. In questo caso,
Controllo Web considera il sito come rosso per associazione.
94
Guida del prodotto
Questo
elemento...
Indica...
Test di spam
Web
La classificazione complessiva delle procedure di invio di email di un sito Web, in
base ai risultati dei test.
5
McAfee classifica i siti in base alla quantità di messaggi email ricevuti dopo aver
inserito un indirizzo nel sito e al fatto che tali messaggi siano di spam. Se uno di
questi valori è superiore a quanto considerato accettabile, McAfee classifica il sito
come giallo. Se entrambi i valori sono elevati o se uno dei due è particolarmente
elevato, McAfee classifica il sito come rosso.
Test di
download
La classificazione complessiva dell'impatto che un software scaricabile dal sito ha
avuto sul computer che ha eseguito il test, in base ai risultati del test.
McAfee contrassegna come rossi i siti con download con virus o che aggiungono
software non correlato che molti utenti considererebbero adware o spyware. La
classificazione tiene anche conto dei server di rete contattati dal programma
scaricato durante la sua esecuzione, nonché di eventuali modifiche alle impostazioni
del browser o ai file di registro del computer.
Vedere anche
Compilazione delle classificazioni di sicurezza
Un team McAfee sviluppa le classificazioni di sicurezza tramite la verifica di numerosi criteri per ogni
sito e la valutazione dei risultati in modo da rilevare le minacce comuni.
La compilazione delle classificazioni di sicurezza per un sito web a seguito delle verifiche automatiche
viene eseguita mediante:
•
Download di file per verificare la presenza di virus e programmi potenzialmente indesiderati uniti al
download.
•
Immissione delle informazioni di contatto nei moduli di registrazione e verifica dello spam risultante
o di un volume elevato di email non indesiderate provenienti dal sito o dalle sue affiliate.
•
Verifica di una presenza eccessiva di finestre popup.
•
Verifica dei tentativi da parte del sito di sfruttare le vulnerabilità del browser.
•
Verifica di eventuali pratiche ingannevoli o fraudolente utilizzate da un sito.
Il team inserisce i risultati delle verifiche in un rapporto sulla sicurezza, che può anche contenere:
•
Commenti inviati dal proprietario del sito, che possono includere descrizioni delle precauzioni di
sicurezza utilizzate dal sito o risposte ai commenti degli utenti sul sito.
•
Commenti inviati dagli utenti del sito, che possono comprendere rapporti sui messaggi di phishing o
sulle esperienze negative durante gli acquisti.
•
Ulteriori analisi effettuate da esperti McAfee.
Il server McAfee GTI archivia le classificazioni sito e i report.
Guida del prodotto
95
5
È possibile accedere alle funzionalità di Controllo Web dal browser.
Attività
•
Attivazione del plug-in Controllo Web dal browser a pagina 96
In alcuni browser, è necessario attivare manualmente il plug-in Controllo Web per ricevere
una notifica delle minacce basate su Web quando si naviga e si effettuano ricerche.
•
Utilizzare il pulsante Controllo Web nel browser per visualizzare informazioni su un sito. Il
funzionamento del pulsante varia a seconda del browser.
•
Utilizzare l'icona di sicurezza nella pagina dei risultati della ricerca per visualizzare ulteriori
informazioni riguardo al sito.
Attivazione del plug-in Controllo Web dal browser
In alcuni browser, è necessario attivare manualmente il plug-in Controllo Web per ricevere una notifica
delle minacce basate su Web quando si naviga e si effettuano ricerche.
Prima di iniziare
È necessario attivare il modulo Controllo Web.
Al primo avvio di Internet Explorer o Chrome, viene chiesto di attivare i plug-in. Il plug-in Controllo
Web è attivato per impostazione predefinita in Firefox.
Attività
•
Quando viene visualizzata la richiesta, fare clic sul pulsante per attivare il plug-in.
Internet
Explorer
Chrome
• Fare clic su Attiva.
• Se è disponibile più di un plug-in, fare clic su Scegli componenti aggiuntivi, quindi
fare clic su Attiva in corrispondenza della barra degli strumenti Controllo Web.
Fare clic su Attiva estensione.
In Internet Explorer, se si disattiva la barra degli strumenti Controllo Web, viene chiesto di
disattivare anche il plug-in Controllo Web. Per i sistemi gestiti, se le impostazioni della policy
impediscono la disinstallazione o la disattivazione del plug-in, il plug-in Controllo Web resta attivato
anche se la barra degli strumenti non è visibile.
96
Guida del prodotto
5
Visualizzazione di informazioni su un sito durante la
navigazione
Utilizzare il pulsante Controllo Web nel browser per visualizzare informazioni su un sito. Il
funzionamento del pulsante varia a seconda del browser.
Prima di iniziare
•
È necessario attivare il modulo Controllo Web.
•
Il plug-in Controllo Web deve essere attivato nel browser.
•
L'opzione Nascondi barra degli strumenti nel browser client nelle impostazioni Opzioni deve essere
disattivata.
Quando Internet Explorer è in modalità a schermo intero, la barra degli strumenti di Controllo Web non
viene visualizzata.
Per visualizzare il menu Controllo Web:
Internet Explorer e Firefox
Chrome
Fare clic sul pulsante
Fare clic sul pulsante
nella barra degli strumenti.
nella barra degli indirizzi.
Attività
1
Visualizzare un'area commenti con un riepilogo della classificazione della sicurezza del sito:
posizionare il cursore sopra il pulsante nella barra degli strumenti Controllo Web.
(Solo Internet Explorer e Firefox)
2
Visualizzare il rapporto sul sito dettagliato, che include ulteriori informazioni sulla classificazione
della sicurezza del sito:
•
Fare clic sul pulsante Controllo Web.
•
Selezionare Visualizza rapporto sul sito dal menu Controllo Web.
•
Fare clic sul link Leggere il rapporto sul sito nell'area commenti del sito. (Solo Internet Explorer e
Firefox)
Vedere anche
Il pulsante Controllo Web identifica le minacce durante la navigazione a pagina 93
Visualizzazione del rapporto sul sito durante le ricerche
Utilizzare l'icona di sicurezza nella pagina dei risultati della ricerca per visualizzare ulteriori
informazioni riguardo al sito.
Attività
1
Posizionare il cursore sull'icona di sicurezza. Nel testo dell'area commenti viene visualizzato un
riepilogo del rapporto sulla sicurezza.
2
Fare clic su Leggi rapporto sul sito nell'area commenti per aprire un rapporto sulla sicurezza del sito
dettagliato in un'altra finestra del browser.
Vedere anche
Identificazione delle minacce durante la ricerca mediante le icone di sicurezza a pagina 94
Guida del prodotto
97
5
In qualità di amministratore, è possibile specificare le impostazioni Controllo Web per consentire e
personalizzare la protezione, impostare blocchi in base alle categorie Web e registrare la
configurazione.
Configurazione delle opzioni Controllo Web
È possibile attivare Controllo Web e configurare le opzioni da Client Endpoint Security.
Prima di iniziare
Attività
1
2
Fare clic su Web Control nella pagina Stato principale.
Impostazioni.
98
3
4
, selezionare Impostazioni, quindi fare clic su Web Control nella pagina
Guida del prodotto
5
5
Selezionare Attiva Controllo Web per attivare Controllo Web e modificarne le opzioni.
Per...
Eseguire questa operazione...
Note
Nascondere la barra degli Selezionare Nascondi barra degli
strumenti di Controllo Web strumenti nel browser client.
nel browser senza
disattivare la protezione.
Rilevare eventi browser da Configurare le impostazioni nella
utilizzare per i report.
sezione Registrazione eventi.
Attivare blocco o avviso
per URL sconosciuti.
In Imposizione azione, selezionare
l'azione (Blocca, Consenti o Avvisa)
per i siti non ancora verificati da
McAfee GTI.
Scansionare i file prima
del download.
Selezionare Attiva scansione file per il
download di file, quindi selezionare il
livello di rischio McAfee GTI per
impostare il blocco.
Bloccare la visualizzazione
di siti rischiosi nei risultati
di ricerca.
In Ricerca sicura, selezionare Attiva
ricerca sicura, selezionare il motore
di ricerca e specificare se bloccare
i collegamenti ai siti rischiosi.
Configurare gli eventi Controllo
Web inviati dai sistemi client al
server di gestione, da utilizzare
per query e report.
Ricerca sicura filtra
automaticamente i siti dannosi
nei risultati di ricerca in base alla
classificazione di sicurezza.
Controllo Web utilizza Yahoo
come motore di ricerca
predefinito.
Se viene modificato il
motore di ricerca
predefinito, riavviare il
browser affinché la modifica
venga applicata.
6
Configurare le altre opzioni in base alle esigenze.
7
Vedere anche
Come viene eseguita la scansione dei download di file a pagina 100
Guida del prodotto
99
5
Come viene eseguita la scansione dei download di file
Controllo Web invia richieste relative al download dei file a Prevenzione delle minacce, affinché venga
eseguita la scansione prima del download.
100
Guida del prodotto
5
Specificare azioni di classificazione e bloccare l'accesso ai siti
in base alla categoria Web
Configurare le impostazioni della policy Azioni contenuto per specificare le azioni applicabili ai siti e ai
download di file, sulla base di classificazioni di sicurezza. Facoltativamente, specificare di bloccare o
consentire siti in ogni categoria Web.
Prima di iniziare
Utilizzare le impostazioni in Messaggi di imposizione per personalizzare il messaggio da visualizzare per
siti e download di file bloccati o con avviso e le pagine di phishing bloccate.
Attività
1
2
Fare clic su Web Control nella pagina Stato principale.
Impostazioni.
, selezionare Impostazioni, quindi fare clic su Web Control nella pagina
3
4
Fare clic su Azioni contenuto.
5
Nella sezione Blocco categoria Web, per ogni Categoria Web, attivare o disattivare l'opzione Blocca.
Per i siti nelle categorie non bloccate, Controllo Web applica anche le azioni di classificazione.
6
Nella sezione Azioni classificazione, specificare le azioni da applicare a tutti i siti e download di file,
sulle base delle classificazioni di sicurezza definite da McAfee.
Queste azioni sono applicabili anche ai siti non bloccati da un blocco categoria Web.
7
Vedere anche
Uso delle categorie Web per controllare l'accesso a pagina 101
Uso delle classificazioni di sicurezza per controllare l'accesso a pagina 102
Uso delle categorie Web per controllare l'accesso
Le categorie Web consentono di controllare l'accesso ai siti, in base alle categorie definite da McAfee. È
possibile specificare opzioni per consentire o bloccare l'accesso ai siti in base alla categoria di
contenuto.
Quando viene attivato il blocco delle categorie Web nelle impostazioni della policy Azioni contenuto, il
software blocca o consente categorie di siti Web. Le categorie includono: Gioco d'azzardo, Giochi e
Messaggistica immediata. McAfee definisce e mantiene un elenco di circa 105 categorie Web.
Quando un utente client accede a un sito, il software ne verifica la categoria Web. Se il sito rientra in
una categoria definita, l'accesso viene bloccato o consentito in base alle impostazioni della policy
Azioni contenuto. Per i siti e i download di file nelle categorie non bloccate, il software applica le Azioni
classificazione specificate.
Guida del prodotto
101
5
Uso delle classificazioni di sicurezza per controllare l'accesso
Configurare le azioni in base alle classificazioni di sicurezza per determinare se gli utenti possono
accedere a un sito o alle relative risorse.
È possibile specificare opzioni di accesso consentito, blocco o avviso per ogni sito o download di file, in
base alla classificazione. Questa impostazione consente un maggior livello di granularità nella
protezione degli utenti da file che potrebbero rappresentare una minaccia in siti con una classificazione
complessiva verde.
102
Guida del prodotto
6
Intelligence sulle minacce offre una sicurezza adattiva in base al contesto per ambienti di rete.
Intelligence sulle minacce consente di analizzare rapidamente il contenuto di diverse origini
nell'azienda e di decidere in base alla reputazione di un file e ai criteri dell'amministratore.
Sommario
Funzionamento di Intelligence sulle minacce
Gestione di Intelligence sulle minacce
Funzionamento di Intelligence sulle minacce
Intelligence sulle minacce usa l'infrastruttura Data Exchange Layer per condividere immediatamente le
informazioni di file e minacce nell'intera rete.
In precedenza, veniva inviato un certificato o un file sconosciuto a McAfee per l'analisi, quindi le
informazioni del file venivano aggiornate in rete nei giorni successivi. Intelligence sulle minacce
consente il controllo della reputazione di file a livello locale, nell'ambiente di lavoro. L'utente decide
quali file è possibile eseguire e quali bloccare, quindi Data Exchange Layer condivide immediatamente
le informazioni nell'ambiente di lavoro.
Scenari di utilizzo di Intelligence sulle minacce
•
Bloccare immediatamente un file: Intelligence sulle minacce notifica all'amministratore di rete
la presenza di un file sconosciuto nell'ambiente di lavoro. Anziché inviare le informazioni del file a
McAfee per l'analisi, l'amministratore blocca immediatamente il file. L'amministratore può quindi
utilizzare Intelligence sulle minacce per rilevare se il file è una minaccia e quanti sistemi lo hanno
eseguito.
•
Consentire l'esecuzione di un file personalizzato: consente a una società di utilizzare
regolarmente un file la cui reputazione predefinita risulta sospetta o dannosa. Ad esempio, un file
personalizzato creato per la società. Poiché tale file è consentito, anziché inviare le relative
informazioni a McAfee e ricevere un file DAT aggiornato, l'amministratore può impostarne la
reputazione su Affidabile e consentirne l'esecuzione senza avvisi o prompt.
Come amministratore, è possibile specificare le impostazioni di Intelligence sulle minacce, ad esempio
scegliendo i gruppi regole ed impostando le soglie di reputazione.
Le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle della pagina
Impostazioni.
Guida del prodotto
103
6
Informazioni su Intelligence sulle minacce
Intelligence sulle minacce offre un ecosistema di sicurezza che consente la comunicazione istantanea
tra sistemi e dispositivi nell'ambiente di lavoro. Questa comunicazione viene resa possibile con
l'infrastruttura Data Exchange Layer.
È possibile visualizzare il sistema specifico in cui una minaccia è stata rilevata per la prima volta e la
direzione verso cui si muove, quindi arrestarla immediatamente.
Intelligence sulle minacce offre i seguenti vantaggi:
•
Rilevamento rapido e protezione da minacce per la sicurezza e malware.
•
Possibilità di individuare i sistemi o i dispositivi compromessi e conoscere la diffusione della
minaccia nell'ambiente di lavoro.
•
Possibilità di bloccare o consentire immediatamente l'esecuzione di file e certificati specifici in base
alle relative reputazioni di minaccia e a specifici criteri di rischio.
•
Integrazione in tempo reale con McAfee Advanced Threat Defense e McAfee GTI per fornire dati e
valutazione dettagliati sulla classificazione del malware. Questa integrazione consente di rispondere
alle minacce e condividere le informazioni nell'ambiente di lavoro.
®
Componenti di Intelligence sulle minacce
Intelligence sulle minacce include i componenti indicati di seguito.
•
Un modulo per Endpoint Security che consente di creare le policy necessarie per bloccare e
consentire l'esecuzione di un file o un certificato in base alla relativa reputazione.
•
Un server che archivia le informazioni sulle reputazioni di file e certificati per poi inoltrarle ad altri
sistemi.
•
I broker Data Exchange Layer che consentono la comunicazione bidirezionale tra sistemi gestiti in
una rete.
®
®
™
Questi componenti vengono installati come estensioni di McAfee ePolicy Orchestrator (McAfee ePO ) e
aggiungono diverse nuove funzionalità e rapporti.
104
Guida del prodotto
6
Il modulo e il server comunicano le informazioni sulle reputazioni dei file. L'infrastruttura Data
Exchange Layer inoltra immediatamente tali informazioni a endpoint gestiti. Inoltre, consente di
condividere informazioni con altri prodotti McAfee che accedono a Data Exchange Layer, ad esempio
McAfee Enterprise Security Manager (McAfee ESM) e McAfee Network Security Platform.
®
®
Modulo Intelligence sulle minacce
Il modulo Intelligence sulle minacce consente di determinare ciò che si verifica quando viene rilevato
un file con una reputazione sconosciuta o di elemento dannoso nell'ambiente di lavoro. È inoltre
possibile visualizzare le informazioni sulla cronologia delle minacce e le azioni eseguite.
È possibile effettuare le attività riportate di seguito utilizzando il modulo Intelligence sulle minacce.
•
•
Creare policy per:
•
Consentire o bloccare file e certificati in base alla relativa reputazione.
•
Ricevere un prompt ogni volta che viene tentata l'esecuzione di un file o un certificato con una
determinata reputazione.
•
Inviare file automaticamente ad Advanced Threat Defense per un'ulteriore valutazione.
Visualizzare eventi sulle dashboard di Intelligence sulle minacce. È possibile visualizzare eventi
ripuliti, bloccati e consentiti degli ultimi trenta giorni o in base al tipo di evento.
Guida del prodotto
105
6
ServerIntelligence sulle minacce Exchange
Il server archivia le informazioni sulle reputazioni di file e certificati per poi inoltrarle ad altri sistemi
dell'ambiente di lavoro.
Per informazioni sul server, vedere la Intelligence sulle minacce Exchange .
Bridging di server e database TIE
Se si dispone di server e database TIE gestiti da diversi sistemi McAfee ePO, è possibile eseguirne il
bridging per condividere le informazioni sulle reputazioni. Per informazioni sul bridging di server e
database TIE, vedere la Guida del prodotto Data Exchange Layer e l'articolo della KnowledgeBase:
KB83896.
Data Exchange Layer
L'infrastruttura di Data Exchange Layer include software client e broker che consentono la
comunicazione bidirezionale tra gli endpoint di una rete.
Data Exchange Layer funziona in background comunicando con i servizi, i database, gli endpoint e le
applicazioni. Il client Data Exchange Layer viene installato in ciascun endpoint gestito per consentire la
condivisione immediata delle informazioni sulle minacce provenienti dai prodotti di sicurezza che
utilizzano DXL con tutti gli altri servizi e dispositivi. La condivisione di informazioni di reputazione
appena queste sono disponibili riduce i presupposti di sicurezza reciproci su cui si basano applicazioni
e servizi quando scambiano informazioni. Queste informazioni condivise riducono la diffusione delle
minacce.
Consultare la Guida del prodotto Data Exchange Layer per i dettagli sull'installazione e sull'utilizzo di
Data Exchange Layer.
Come si determina una reputazione
La reputazione di file e certificati viene determinata quando si tenta di eseguire un file su un sistema
gestito.
La determinazione della reputazione di un file o un certificato prevede i passaggi indicati di seguito.
1
Un utente o un sistema tenta di eseguire un file.
2
Endpoint Security controlla il file e non è in grado di determinarne la validità e la reputazione.
3
Il modulo Intelligence sulle minacce controlla il file e raccoglie informazioni su proprietà rilevanti
del file e del sistema locale.
4
Il modulo verifica se nella cache della reputazione locale è presente l'hash del file. Se l'hash del file
è presente, il modulo rileva dalla cache i dati relativi alla prevalenza e alla reputazione di Enterprise
per il file.
5
Se l'hash del file non è presente nella cache di reputazione locale, il modulo esegue una query sul
server TIE. Se l'hash è presente, il modulo rileva i dati sulla prevalenza di Enterprise (ed eventuali
reputazioni disponibili) per l'hash del file specifico.
6
Se nella cache o nel database del server TIE l'hash del file non è presente, il server esegue una
query su McAfee GTI per ottenere la reputazione dell'hash del file. McAfee GTI invia le informazioni
di cui dispone, ad esempio "reputazione sconosciuta", quindi il server archivia tali informazioni.
Il server invia il file per la scansione se si verifica una delle seguenti condizioni:
106
•
Advanced Threat Defense è presente e non è stato possibile trovare l'hash del file in McAfee
GTI.
•
La policy sull'endpoint è configurata per inviare il file a Advanced Threat Defense.
Guida del prodotto
6
Vedere i passaggi aggiuntivi in Se Advanced Threat Defense è presente.
7
Il server restituisce al modulo l'età, i dati di prevalenza e la reputazione di Enterprise dell'hash del
file in base ai dati rilevati. Se il file è nuovo nell'ambiente, il server invia anche un contrassegno di
primo grado al modulo Intelligence sulle minacce. Se McAfee Web Gateway è presente ed
eventualmente invia un punteggio reputazione, il server Intelligence sulle minacce restituisce la
reputazione del file.
8
Il modulo valuta i seguenti metadati per determinare la reputazione del file:
9
•
Proprietà di file e sistema
•
Dati di prevalenza ed età di Enterprise
•
Reputazione
Il modulo agisce in base alla policy assegnata al sistema su cui il file è in esecuzione.
10 Il modulo aggiorna il server con le informazioni di reputazione e indica se l'esecuzione del file è
consentita o bloccata. Inoltre, invia gli eventi di minaccia a McAfee ePO tramite McAfee Agent.
11 Il server pubblica l'evento di modifica della reputazione per l'hash del file.
Se Advanced Threat Defense è presente
Se Advanced Threat Defense è presente, si verifica quanto segue.
1
Se il sistema è configurato per inviare file ad Advanced Threat Defense e il file è nuovo
nell'ambiente, il server invia il file al server TIE. Il server TIE quindi lo invia ad Advanced Threat
Defense per eseguire la scansione.
2
Advanced Threat Defense esegue la scansione del file e invia i risultati della reputazione del file al
server TIE utilizzando Data Exchange Layer. Inoltre, il server aggiorna il database e invia le
informazioni di reputazione aggiornate a tutti i sistemi abilitati per Intelligence sulle minacce per
proteggere immediatamente l'ambiente di lavoro. Il server Intelligence sulle minacce o qualsiasi
altro prodottoMcAfee può avviare questo processo. In entrambi i casi, il server Intelligence sulle
minacce elabora la reputazione e la salva nel database.
Per informazioni su come Advanced Threat Defense è integrato con il server Intelligence sulle minacce,
vedere il capitolo Rilevamento di malware e Advanced Threat Defense nella guida del prodotto di McAfee
Advanced Threat Defense.
Se McAfee Web Gateway è presente
Se McAfee Web Gateway è presente, si verifica quanto segue.
•
Durante il download di file, McAfee Web Gateway invia un report al server TIE, che salva il
punteggio reputazione nel database. Quando il server riceve una richiesta di reputazione di file dal
modulo, quest'ultimo restituisce la reputazione ricevuta daMcAfee Web Gateway e da altri fornitori
di reputazioni.
Per informazioni su come McAfee Web Gateway scambia informazioni utilizzando un server TIE,
vedere il capitolo Proxy nella guida prodotto di McAfee Web Gateway.
Guida introduttiva
Operazioni da eseguire dopo l'installazione di Intelligence sulle minacce
Per iniziare a utilizzare Intelligence sulle minacce, procedere come segue:
Guida del prodotto
107
6
1
Creare policy Intelligence sulle minacce per determinare quali elementi sono consentiti e quali
bloccati. Quindi eseguire Intelligence sulle minacce in modalità di osservazione per creare la
prevalenza dei file e osservare quali elementi vengono rilevati da Intelligence sulle minacce
nell'ambiente di lavoro. La prevalenza dei file indica la frequenza con cui un file viene visualizzato
nell'ambiente di lavoro.
2
Monitorare e regolare le policy o le singole reputazioni di file o certificati per controllare quali
elementi sono consentiti nell'ambiente di lavoro.
Creazione della prevalenza file e osservazione
Dopo l'installazione e la distribuzione, è possibile iniziare a creare la prevalenza dei file e le
informazioni sulle minacce correnti.
È possibile vedere i programmi in esecuzione nell'ambiente di lavoro e aggiungere informazioni sulla
reputazione di file e certificati al database TIE. Queste informazioni inoltre popolano i grafici e le
dashboard disponibili nel modulo in cui sono visualizzate informazioni dettagliate sulla reputazione di
file e certificati.
Per iniziare, creare una o più policy Intelligence sulle minacce da eseguire su alcuni sistemi
dell'ambiente di lavoro. Le policy determinano:
•
Quando viene consentita l'esecuzione su un sistema di un file o un certificato con una reputazione
specifica
•
Quando un file o un certificato viene bloccato
•
Quando viene richiesto all'utente come intende procedere
•
Quando un file viene inviato a Advanced Threat Defense per un'ulteriore analisi
Durante la creazione della prevalenza dei file, è possibile eseguire le policy in modalità di
Osservazione. Le reputazioni di file e certificati vengono aggiunte al database ma non viene intrapresa
alcuna azione. È possibile vedere cosa viene bloccato o consentito da Intelligence sulle minacce se
viene applicata la policy.
Per i dettagli, vedere Configura Intelligence sulle minacce.
Monitoraggio e apporto di modifiche
Quando le policy vengono eseguite nell'ambiente, i dati della reputazione vengono aggiunti al
database.
Utilizzare le dashboard e le visualizzazioni eventi di McAfee ePO per visualizzare i file e i certificati
consentiti o bloccati in base alle policy.
È possibile visualizzare informazioni dettagliate in base al sistema (computer), al file, alla regola o al
certificato e visualizzare rapidamente il numero di voci identificate e le azioni intraprese. È possibile
eseguire il drill-down facendo clic su un elemento e modificare le impostazioni della reputazione per
file o certificati specifici in modo che venga eseguita l'azione appropriata.
108
Guida del prodotto
6
Se ad esempio la reputazione predefinita di un file è sospetta o sconosciuta, ma è noto che si tratta di
un file affidabile, è possibile modificarne la reputazione in affidabile in modo che venga eseguito
nell'ambiente senza essere bloccato o senza richieste di azioni per l'utente. Ciò risulta particolarmente
utile per i file interni o personalizzati utilizzati nell'ambiente.
•
Utilizzare la funzionalità Reputazioni TIE per cercare un nome di certificato o file specifico. È
possibile visualizzare dettagli sul file o sul certificato, inclusi il nome dell'azienda, l'hash SHA-1, la
descrizione e le informazioni su McAfee GTI. Per i file è anche possibile accedere ai dati di
VirusTotal direttamente dalla pagina dei dettagli Reputazioni TIE e visualizzare ulteriori
informazioni.
•
Utilizzare la pagina Dashboard di reportistica per visualizzare contemporaneamente diversi tipi di
informazioni sulla reputazione. È possibile visualizzare il numero di nuovi file rilevati nell'ambiente
nell'ultima settimana, i file in base alla reputazione, i file con reputazioni cambiate di recente, i
sistemi che hanno eseguito recentemente i nuovi file e altro. Facendo clic su un elemento della
dashboard vengono visualizzate informazioni dettagliate.
•
Se viene identificato un file dannoso o sospetto, è possibile visualizzare rapidamente i sistemi che
lo hanno eseguito e che potrebbero essere danneggiati.
•
Modificare la reputazione di un file o certificato in base alle esigenze dell'ambiente. Le informazioni
vengono aggiornate immediatamente nel database e inviate a tutti i dispositivi dell'ambiente. I file
e i certificati vengono bloccati o consentiti in base alla relativa reputazione.
Se non si certi dell'azione da eseguire con un file o un certificato specifico, è possibile bloccarne
l'esecuzione mentre si acquisiscono altre informazioni su di esso. A differenza di un'azione di pulizia
di Prevenzione delle minacce, che potrebbe causare l'eliminazione del file, l'azione di blocco
permette di mantenerlo ma non di eseguirlo. Il file rimane inalterato mentre viene cercato e si
decide quale operazione eseguire.
•
Importare le reputazioni di file o certificati nel database per consentirne l'esecuzione o il blocco in
base ad altre origini di reputazione. Ciò consente di utilizzare le impostazioni importate per file e
certificati specifici senza doverle impostare singolarmente sul server.
Invio di file per un'ulteriore analisi
Se la reputazione di un file è sconosciuta o incerta, è possibile inviare il file ad Advanced Threat
Defense per sottoporlo a un'ulteriore analisi. È possibile specificare se inviare i file ad Advanced Threat
Defense nella policy Intelligence sulle minacce.
Advanced Threat Defense rileva il malware zero-day e combina le firme antivirus, la reputazione e le
difese di emulazione in tempo reale. I file possono essere inviati automaticamente dal server
Intelligence sulle minacce ad Advanced Threat Defense in base al relativo livello di reputazione e alle
dimensioni. Le informazioni relative alla reputazione dei file inviate da Advanced Threat Defense
vengono aggiunte al database del server TIE.
Le informazioni relative a file e certificati vengono inviate direttamente a McAfee a scopi di analisi. Le
informazioni vengono utilizzate per comprendere e migliorare ulteriormente le informazioni sulla
reputazione.
McAfee non raccoglie informazioni personali, né condivide informazioni esterne a McAfee.
Informazioni relative a file e certificati
•
Versioni del modulo e del server TIE
•
Impostazioni relative alla priorità delle reputazioni definite con il server TIE
•
Informazioni esterne sulle reputazioni, ad esempio provenienti da Advanced Threat Defense
Guida del prodotto
109
6
Informazioni specifiche dei file
•
Nome file, percorso, dimensione, prodotto, autore e prevalenza
•
Informazioni sugli hash SHA1, SHA256 e MD5
•
Versione del sistema operativo del computer di reportistica
•
Reputazione massima, minima e media impostata per il file
•
Eventuale attivazione della modalità Osservazione per il modulo di reportistica
•
Eventuale esecuzione consentita, blocco o pulizia del file
•
Il prodotto che ha rilevato il file, ad esempio Advanced Threat Defense o Prevenzione delle minacce
Informazioni specifiche dei certificati
•
Informazioni sull'hash SHA
•
Nome dell'autorità emittente del certificato e relativo oggetto
•
Data di validità e data di scadenza del certificato
Configurazione opzioni Intelligence sulle minacce
Utilizzare le impostazioni della per determinare se l'esecuzione di un file o di un certificato viene
consentita, ripulita o bloccata o se deve essere richiesto agli utenti come procedere.
Prima di iniziare
Le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle della pagina
Impostazioni.
Attività
1
2
Fare clic su Threat Intelligence Exchange nella pagina Stato principale.
110
, selezionare Impostazioni, quindi fare clic su Threat Intelligence Exchange
3
4
5
Annulla.
Guida del prodotto
6
Bloccare o consentire file e certificati
Le reputazioni di minaccia di file e certificati si basano sul contenuto e sulle proprietà di questi ultimi.
Le policy di Intelligence sulle minacce determinano se l'esecuzione di file e certificati deve essere
bloccata o consentita nei sistemi dell'ambiente di lavoro in base a livelli di reputazione.
Esistono tre livelli di sicurezza che dipendono da come si desidera bilanciare le regole per tipi di
sistemi specifici. Ciascun livello è associato a regole specifiche che identificano file e certificati dannosi
e sospetti.
•
Produttività - Sistemi che vengono modificati frequentemente, in cui vengono spesso installati e
disinstallati programmi e che ricevono aggiornamenti frequenti. Esempi di questi sistemi sono i
computer utilizzati in ambienti di sviluppo. Per questa impostazione, viene utilizzato un numero
inferiore di regole con le policy e gli utenti visualizzano un numero minimo di blocchi e richieste
quando vengono rilevati nuovi file.
•
Bilanciato - Sistemi aziendali tipici in cui raramente vengono installati nuovi programmi o vengono
apportate modifiche. Per questa impostazione, viene utilizzato un numero maggiore di regole con le
policy e gli utenti visualizzano un numero maggiore di blocchi e richieste.
•
Sicurezza - Sistemi gestiti da IT con controllo rigido e modifiche ridotte. Un esempio sono i sistemi
che accedono a informazioni critiche o sensibili in ambienti di finanza o pubblica amministrazione.
Questa impostazione viene utilizzata anche per server. Per questa impostazione, viene utilizzato il
numero massimo di regole con le policy e gli utenti visualizzano un numero ancora più elevato di
blocchi e richieste.
Per visualizzare le regole specifiche associate a ciascun livello di sicurezza, selezionare Menu | Impostazioni
del server. Nell'elenco Categorie di impostazioni, selezionare Threat Intelligence.
Quando si determina il livello di sicurezza da assegnare a una policy, tenere presente il tipo di sistema
in cui viene utilizzata la policy e il numero di blocchi e richieste che si desidera che l'utente visualizzi.
Dopo aver creato una policy, assegnarla a computer o dispositivi per determinare quanti blocchi e
quante richieste devono verificarsi.
Guida del prodotto
111
6
112
Guida del prodotto
7
Riferimento dell'interfaccia client
Gli argomenti della guida di riferimento dell'interfaccia forniscono assistenza sensibile al contesto per
le pagine nell'interfaccia client.
Sommario
Pagina Registro eventi
Pagina Quarantena
In comune – Opzioni
In comune – Attività
Prevenzione delle minacce - Protezione dell'accesso
Pagina Prevenzione delle minacce - Prevenzione exploit
Prevenzione delle minacce – Scansione su richiesta
Percorsi di scansione
McAfee GTI
Azioni
Aggiungi esclusione o Modifica esclusione
Prevenzione delle minacce – Opzioni
Ripristina AMCore content
Firewall – Opzioni
Firewall – Regole
Controllo Web – Opzioni
Controllo Web - Azioni contenuto
Intelligence sulle minacce- Opzioni
Mostra le attività e gli eventi di debug nel Registro eventi.
Opzione
Definizione
Numero di eventi
Indica il numero di eventi registrati da Endpoint Security sul sistema negli ultimi
30 giorni.
Aggiorna la visualizzazione del Registro eventi con eventuali nuovi dati di eventi.
Visualizza cartella
registri
Apre la cartella contenente i file di registro in Windows Explorer.
Mostra tutti gli eventi
Rimuove eventuali filtri.
Guida del prodotto
113
7
Opzione
Definizione
Filtra per gravità
Filtra gli eventi per livello di gravità:
Filtra per modulo
Critico
Mostra solo gli eventi con livello di gravità 1.
Grave e superiori
Mostra solo gli eventi con livello di gravità 1 e 2.
Minore e superiori
Mostra solo gli eventi con livello di gravità 1, 2 e 3.
Avviso e superiori
Mostra gli eventi con livello di gravità 1, 2, 3 e 4.
Filtra gli eventi per modulo:
Common
Mostra solo gli eventi In comune.
Threat Prevention
Mostra solo gli eventi Prevenzione delle minacce.
Firewall
Mostra solo gli eventi Firewall.
Web Control
Mostra solo gli eventi Controllo Web.
Le funzioni visualizzate nell'elenco a discesa dipendono dalle funzionalità
installate sul sistema nel momento in cui è stato aperto il Registro eventi.
Cerca
Esegue la ricerca di una stringa nel Registro eventi.
Eventi per pagina
Seleziona il numero di eventi da visualizzare in una pagina. (Per impostazione
predefinita, 20 eventi per pagina)
Pagina precedente
Mostra la pagina precedente nel Registro eventi.
Pagina successiva
Mostra la pagina successiva nel Registro eventi.
Pagina x di x
Seleziona una pagina a cui accedere nel Registro eventi.
Immettere un numero nel campo Pagina e premere Invio oppure fare clic su Vai
per accedere alla pagina.
114
Intestazione
colonna
Ordina l'elenco eventi per...
Data
La data in cui si è verificato l'evento.
Funzionalità
Funzionalità che ha registrato l'evento.
Guida del prodotto
7
Pagina Quarantena
Intestazione
colonna
Ordina l'elenco eventi per...
Azione
Azione eventualmente eseguita da Endpoint Security in risposta a un evento.
L'azione è configurata nelle impostazioni.
Consentito
L'accesso al file viene consentito.
Accesso negato
L'accesso al file viene impedito.
Eliminato
Il file viene eliminato automaticamente.
Continua
Ripulito
La minaccia viene rimossa automaticamente dal file.
Spostato
Il file viene spostato in quarantena.
Bloccato
L'accesso al file è bloccato.
Bloccherà
Una regola di protezione dell'accesso, se imposta, bloccherà
l'accesso al file.
Livello di gravità dell'evento.
Gravità
Critico
1
Grave
2
Minore
3
Avviso
4
Informativo
5
Vedere anche
Visualizzazione del Registro eventi a pagina 22
Pagina Quarantena
Gestione di elementi in quarantena.
Tabella 7-1
Opzioni
Opzione
Definizione
Elimina
Elimina gli elementi selezionati dalla quarantena.
Gli elementi eliminati non possono essere ripristinati.
Ripristina
Ripristina gli elementi dalla quarantena.
Endpoint Security ripristina gli elementi nella posizione originale e li rimuove dalla
quarantena.
Se un elemento costituisce ancora una minaccia valida, Endpoint Security lo reinserisce
immediatamente in quarantena.
Ripeti scansione Ripete la scansione degli elementi selezionati nella quarantena.
Se l'elemento non costituisce più una minaccia, Endpoint Security lo ripristina nella
posizione originale e lo rimuove dalla quarantena.
Guida del prodotto
115
7
Intestazione colonna
Ordina elenco quarantena per...
Nome rilevamento
Nome del rilevamento.
Tipo
Tipo di minaccia, ad esempio, Trojan o Adware.
Tempo in quarantena
Il lasso di tempo durante il quale l'elemento è rimasto in quarantena.
Numero di oggetti
Il numero di oggetti del rilevamento.
Versione AMCore content
Il numero di versione di AMCore content che ha identificato la
minaccia.
Stato della ripetizione della
scansione
Lo stato della ripetizione della scansione, se l'elemento ha ripetuto la
scansione risulta:
• Non infetto - La ripetizione della scansione non ha rilevato minacce.
• Infetto - Endpoint Security ha rilevato una minaccia durante la
ripetizione della scansione.
Vedere anche
Gestione degli elementi in quarantena a pagina 46
Ripetizione scansione di elementi in quarantena a pagina 49
Configura le impostazioni relative a: interfaccia Client Endpoint Security, autoprotezione, registrazione
attività e debug, nonché server proxy.
Tabella 7-2 Opzioni
Sezione
Opzione
Definizione
Modalità interfaccia
client
Accesso completo
Consente di accedere a tutte le funzionalità.
(Predefinito per sistemi autogestiti)
Accesso standard
Visualizza lo stato di protezione e consente di accedere alla
maggior parte delle funzionalità, come gli aggiornamenti e le
scansioni.
La modalità Accesso standard richiede una password per la
visualizzazione e la modifica delle impostazioni nella pagina
Impostazioni di Client Endpoint Security.
(Predefinito per sistemi gestiti da McAfee ePO)
Blocca interfaccia client È necessaria una password per accedere alClient Endpoint
Security.
116
Guida del prodotto
7
Tabella 7-2 Opzioni (segue)
Sezione
Disinstallazione
Opzione
Definizione
Imposta password
amministratore
Per Accesso standard e Blocca interfaccia client, specifica la password
amministratore per accedere a tutte le funzionalità
dell'interfaccia Client Endpoint Security.
Richiedi password per
disinstallare il client
Password
Specifica la password.
Conferma password
Conferma la password.
Richiede una password per disinstallare il Client Endpoint
Security e specifica la password.
(Disattivato per impostazione predefinita per sistemi
autogestiti)
Password
Specifica la password.
Conferma password
Conferma la password.
Tabella 7-3 Opzioni avanzate
Sezione
Opzione
Definizione
Lingua interfaccia
client
Automatico
Seleziona automaticamente la lingua da utilizzare per il testo
dell'interfaccia Client Endpoint Security in base alla lingua del
sistema client.
Lingua
Specifica la lingua da utilizzare per il testo dell'interfaccia Client
Endpoint Security.
Per i sistemi gestiti, la modifica della lingua apportata Client
Endpoint Security ha priorità sulle modifiche della policy per il
server di gestione. La modifica della lingua viene applicata in
seguito al riavvio di Client Endpoint Security.
La lingua del client non interessa i file di registro. I file di registro
vengono visualizzati nella lingua specificata dalle impostazioni
locali predefinite del sistema.
Autoprotezione
Attiva
autoprotezione
Protegge le risorse del sistema Endpoint Security da attività
dannose.
Azione
Specifica l'azione da intraprendere quando si verificano attività
dannose:
• Blocca e segnala – Blocca l'attività e segnala a McAfee ePO.
(Opzione predefinita)
• Solo blocco – Blocca l'attività ma non segnala a McAfee ePO.
• Solo segnalazione – Segnala l'attività a McAfee ePO, ma non la
blocca.
File e cartelle
Impedisce la modifica o l'eliminazione di file e cartelle di sistema
McAfee.
Registro
Impedisce la modifica o l'eliminazione di chiavi e valori di registro
McAfee.
Processi
Impedisce l'arresto dei processi McAfee.
Guida del prodotto
117
7
Tabella 7-3 Opzioni avanzate (segue)
Sezione
Opzione
Definizione
Escludi questi
processi
Consente l'accesso ai processi specificati.
Sono supportati i caratteri jolly.
Aggiungi – Aggiunge un processo all'elenco di esclusioni. Fare clic su
Aggiungi, quindi immettere il nome esatto della risorsa, come
avtask.exe.
Doppio clic su un elemento – Modifica l'elemento selezionato.
Elimina - Elimina l'elemento selezionato. Selezionare la risorsa,
quindi fare clic su Elimina.
Certificati
Specifica le opzioni per i certificati.
Consenti
Consente a un fornitore di eseguire codice nei processi McAfee.
Questa impostazione potrebbe causare problemi di compatibilità e
ridurre la sicurezza.
Fornitore
Specifica il nome comune (CN) dell'autorità che ha firmato ed
emesso il certificato.
Oggetto
Specifica il nome distinto firmatario (SDN) che definisce l'entità
associata al certificato.
Queste informazioni possono includere:
Chiave pubblica
SHA-1
Registrazione client Percorso file di
registro
• CN – Nome comune
• L – Località
• OU – Unità organizzativa
• ST – Stato o provincia
• O – Organizzazione
• C – Codice paese
Specifica l'hash SHA-1 della chiave pubblica associata.
Specifica il percorso del file di registro.
Il percorso predefinito è:
<SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs
Per andare a una nuova posizione, immettere il percorso o fare clic
su Sfoglia.
Registrazione
attività
Attiva registrazione
attività
Attiva la registrazione di tutte le attività Endpoint Security.
Limita le dimensioni Limita ciascun file del registro attività alla dimensione massima
(MB) di ciascun file specificata (tra 1 MB e 999 MB). L'impostazione predefinita è 10
del registro attività MB.
Disattivare l'opzione per consentire ai file di registro di raggiungere
qualsiasi dimensione.
Se il file di registro supera le dimensioni impostate, il 25% delle
voci meno recenti viene eliminato per consentire l'aggiunta di
nuovi dati al file.
118
Guida del prodotto
7
Sezione
Opzione
Registrazione
debug
Definizione
L'attivazione della registrazione debug per qualsiasi modulo attiva
anche la registrazione di debug per le funzioni del modulo In
comune, come l'autoprotezione.
È consigliabile attivare la registrazione debug almeno per le prime
24 ore durante le fasi pilota e di testing. Se non vengono
riscontrati problemi durante questa fase, disattivare la
registrazione debug per evitare conseguenze per le prestazioni
del sistema client.
Attiva per
Prevenzione delle
minacce
Attiva la registrazione dettagliata per Prevenzione delle minacce e
le singole tecnologie:
Attiva per protezione dell'accesso - Registra in
AccessProtection_Debug.log.
Attiva per la prevenzione exploit - Registra in
ExploitPrevention_Debug.log.
Attiva per programma di scansione all'accesso - Registra in
OnAccessScan_Debug.log.
Attiva per programma di Scansione su richiesta - Registra in
OnAccessScan_Debug.log.
L'attivazione della registrazione debug per qualsiasi tecnologia
Prevenzione delle minacce attiva anche la registrazione debug per
L'attivazione della registrazione debug per qualsiasi tecnologia
Prevenzione delle minacce attiva anche la registrazione debug per
Intelligence sulle minacce.
Attiva per Firewall
Consente la registrazione dettagliata delle attività Firewall.
Attiva per Controllo
Web
Consente la registrazione dettagliata delle attività Controllo Web.
Limita le dimensioni Limita ciascun file di registro di debug alla dimensione massima
(MB) di ciascun file specificata (compresa tra 1 MB e 999 MB). L'impostazione
del registro di debug predefinita è 50 MB.
Disattivare l'opzione per consentire ai file di registro di raggiungere
qualsiasi dimensione.
Se il file di registro supera le dimensioni impostate, il 25% delle
voci meno recenti viene eliminato per consentire l'aggiunta di
nuovi dati al file.
Registrazione
eventi
Invia eventi a
McAfee ePO
Invia tutti gli eventi registrati nel Registro eventi in Client Endpoint
Security a McAfee ePO.
Questa opzione è disponibile solamente sui sistemi gestiti da
McAfee ePO.
Registra eventi nel
registro
applicazione
Windows
Invia tutti gli eventi registrati nel Registro eventi in Client Endpoint
Security al registro applicazione Windows.
Invia eventi al registro applicazione di Windows, accessibile da
Visualizzatore eventi | Registri di Windows | Applicazione.
Guida del prodotto
119
7
Sezione
Opzione
Definizione
Livelli di gravità Specifica il livello di gravità degli eventi da registrare nel Registro
eventi in Client Endpoint Security:
• Nessuno - Non invia alcun avviso
• Solo critici - Invia solo avvisi di livello 1.
• Grave e fondamentale - Invia avvisi di livello 1 e 2.
• Minori, gravi e critici - Invia avvisi di livello 1–3.
• Tutti tranne informativi - Invia avvisi di livello 1–4.
• Tutti - Invia avvisi di livello 1–5.
• 1 - Critico
• 4 - Avviso
• 2 - Grave
• 5 - Informativo
• 3 - Minore
Eventi Prevenzione
delle minacce da
registrare
Specifica i livelli di gravità degli eventi per ciascuna funzionalità
Prevenzione delle minacce da registrare:
• Protezione dell'accesso
L'attivazione della registrazione degli eventi per la protezione
dell'accesso attiva anche la registrazione degli eventi per
l'autoprotezione.
• Prevenzione exploit
• Programma di scansione all'accesso
• Programma di scansione su richiesta
Server proxy per
McAfee GTI
Eventi Firewall da
registrare
Specifica i livelli di gravità degli eventi Firewall da registrare.
Eventi Controllo
Web da registrare
Specifica i livelli di gravità degli eventi Controllo Web da registrare.
Nessun server proxy Specifica il recupero, da parte dei sistemi gestiti, delle informazioni
relative alla reputazione McAfee GTI direttamente da Internet e
non tramite un server proxy. (Opzione predefinita)
Utilizza impostazioni Specifica l'utilizzo di impostazioni proxy dal sistema client e attiva
proxy di sistema
facoltativamente l'autenticazione proxy HTTP.
Configura server
proxy
Personalizza le impostazioni proxy.
• Indirizzo – Specifica l'indirizzo IP o il nome di dominio completo del
server proxy HTTP.
• Porta – Limita l'accesso dalla porta specificata.
• Escludere i seguenti indirizzi – Il server proxy HTTP non deve essere
utilizzato per i siti Web o gli indirizzi IP che iniziano con le voci
specificate.
Fare clic su Aggiungi, quindi immettere il nome dell'indirizzo da
escludere.
120
Guida del prodotto
7
Sezione
Opzione
Definizione
Abilita
autenticazione
proxy HTTP
Il server proxy HTTP necessita di autenticazione. (L'opzione è
disponibile solo se è stata selezionata un server proxy HTTP.)
Immettere le credenziali proxy HTTP:
• Nome utente – Specifica l'account utente con autorizzazioni
sufficienti per l'accesso al server proxy HTTP.
• Password – Specifica la password per il Nome utente.
• Conferma password – Conferma la password specificata.
Aggiornamento
client predefinito
Attiva il pulsante
Aggiorna ora nel
client
Mostra o nasconde il pulsante
principale di Client Endpoint Security.
nella pagina
Fare clic su questo pulsante per verificare e scaricare manualmente
gli aggiornamenti dei file di contenuto e i componenti software nel
sistema client.
Elementi da
aggiornare
Specifica cosa aggiornare quando il pulsante
viene selezionato.
• Contenuto di sicurezza, hotfix e patch - Aggiorna tutti i contenuti di
sicurezza (fra cui motore e contenuto AMCore e di prevenzione
exploit), nonché altri hotfix e patch alle ultime versioni.
• Contenuto di sicurezza - Aggiorna solo i contenuti di sicurezza
(impostazione predefinita).
• Hotfix e patch - Aggiorna solo hotfix e patch.
Configura i siti da cui ottenere gli aggiornamenti per i file di
contenuto e i componenti software.
Siti di origine per
gli aggiornamenti
È possibile attivare e disattivare il sito di origine backup
predefinito, McAfeeHttp, e il server di gestione (per i sistemi gestiti),
ma non è possibile modificarli o eliminarli.
Indica gli elementi che possono essere spostati nell'elenco.
Selezionare degli elementi, quindi trascinarli e rilasciarli nella
nuova posizione. Viene visualizzata una riga blu tra gli elementi
dove è possibile rilasciare gli elementi trascinati.
Aggiungi
Aggiunge un sito all'elenco siti di origine.
Per ulteriori informazioni vedere Aggiungi sito o Modifica sito a
pagina 122.
Doppio clic su
un elemento
Modifica l'elemento selezionato.
Elimina
Elimina il sito selezionato dall'elenco dei siti di origine.
Importa
Importa siti da un file contenente un elenco di siti di origine.
Selezionare il file da importare, quindi fare clic su OK.
Il file con l'elenco di siti sostituisce l'elenco dei siti di origine
esistente.
Guida del prodotto
121
7
Sezione
Opzione
Definizione
Esporta tutto
Esporta l'elenco di siti di origine nel file SiteList.xml.
Selezionare la posizione in cui salvare il file con l'elenco di siti di
origine e fare clic su OK.
Server proxy per
siti di origine
Nessun server proxy Specifica il recupero, da parte dei sistemi gestiti, delle informazioni
relative alla reputazione McAfee GTI direttamente da Internet e
non tramite un server proxy. (Opzione predefinita)
Utilizza impostazioni Specifica l'utilizzo di impostazioni proxy dal sistema client e attiva
proxy di sistema
facoltativamente l'autenticazione proxy HTTP o FTP.
Configura server
proxy
Personalizza le impostazioni proxy.
• Indirizzo HTTP/FTP – Specifica l'indirizzo DNS, IPv4 o IPv6 del server
proxy HTTP o FTP.
• Porta – Limita l'accesso dalla porta specificata.
• Escludere i seguenti indirizzi – Specifica gli indirizzi per i sistemi Client
Endpoint Security per cui non si desidera utilizzare il server
proxy per ottenere le classificazioni McAfee GTI.
Fare clic su Aggiungi, quindi immettere il nome dell'indirizzo da
escludere.
Attiva
autenticazione
proxy HTTP/FTP
Il server proxy HTTP o FTP necessita di autenticazione. (L'opzione è
disponibile solo se è stata selezionata un'opzione server proxy
HTTP o FTP.) Immettere le credenziali proxy:
• Nome utente – Specifica l'account utente con autorizzazioni
sufficienti per l'accesso al server proxy.
• Password – Specifica la password per il Nome utente specificato.
Vedere anche
Protezione di risorse Endpoint Security a pagina 29
Configurazione delle impostazioni di registrazione a pagina 30
Configurazione delle impostazioni del server proxy per McAfee GTI a pagina 32
Configurazione del comportamento predefinito per gli aggiornamenti a pagina 35
Aggiungi sito o Modifica sito a pagina 122
Aggiungi sito o Modifica sito
Aggiunge o modifica un sito nell'elenco dei siti di origine.
Tabella 7-4 Definizioni delle opzioni
122
Opzione
Definizione
Nome
Indica il nome del sito di origine contenente i file di aggiornamento.
Attiva
Attiva o disattiva l'uso del sito di origine per il download dei file di aggiornamento.
Recupera file da
Specifica da dove recuperare i file.
Guida del prodotto
7
Tabella 7-4 Definizioni delle opzioni (segue)
Opzione
Definizione
Archivio HTTP
Recupera i file dal percorso dell'archivio HTTP specificato.
Un sito HTTP consente l'aggiornamento indipendentemente dalla protezione di rete, ma
supporta livelli di connessioni simultanee superiori rispetto a FTP.
URL
• Nome DNS – Indica che l'URL è un nome di dominio.
• IPv4 – Indica che l'URL è un indirizzo IPv4.
http:// – Specifica l'indirizzo del server e della cartella HTTP in cui si
trovano i file di aggiornamento.
Porta – Specifica il numero di porta per il server HTTP.
Utilizza
autenticazione
Seleziona l'utilizzo dell'autenticazione e specifica le credenziali per
l'accesso alla cartella del file di aggiornamento.
• Nome utente – Specifica l'account utente con autorizzazioni di lettura
per la cartella del file di aggiornamento.
Guida del prodotto
123
7
Tabella 7-4 Definizioni delle opzioni (segue)
Opzione
Definizione
Archivio FTP
Recupera i file dal percorso dell'archivio FTP specificato.
Un sito FTP offre flessibilità di aggiornamento senza la necessità di doversi conformare
ad autorizzazioni di sicurezza della rete. Poiché l'FTP si è rivelato meno soggetto ad
attacchi di codice non desiderato rispetto a HTTP, esso può offrire una maggiore
tolleranza.
URL
• Nome DNS – Indica che l'URL è un nome di dominio.
ftp:// – Specifica l'indirizzo del server e della cartella FTP in cui si trovano i
file di aggiornamento.
Porta – Specifica il numero di porta per il server FTP.
Seleziona l'utilizzo dell'FTP anonimo per l'accesso alla cartella del file di
aggiornamento.
Utilizza
accesso
anonimo
Deselezionare questa opzione per specificare le credenziali di accesso.
• Nome utente – Specifica l'account utente con autorizzazioni di lettura per
la cartella del file di aggiornamento.
Percorso UNC o Recupera i file dal percorso UNC o locale specificato.
Percorso locale
Un sito UNC è il sito più rapido e semplice da impostare. Per gli aggiornamenti UNC tra
domini è necessario disporre delle autorizzazioni di sicurezza per ciascun dominio e ciò
rende la configurazione dell'aggiornamento più complessa.
Percorso
• Percorso UNC – Specifica il percorso utilizzando la notazione UNC (\
\servername\path\).
• Percorso locale – Specifica il percorso di una cartella su un'unità locale
o di rete.
Utilizza account
di connessione
Accede ai file di aggiornamento utilizzando l'account con il quale è
stato effettuato l'accesso. Questo account deve disporre di
autorizzazioni di lettura alle cartelle contenenti i file di
aggiornamento.
Deselezionare questa opzione per specificare le credenziali di accesso.
• Dominio – Specifica il dominio per l'account utente.
• Nome utente – Specifica l'account utente con autorizzazioni di lettura
per la cartella del file di aggiornamento.
124
Guida del prodotto
7
Configura e pianifica le attività di Client Endpoint Security.
Nei sistemi gestiti, non è possibile attivare, bloccare o eliminare le attività Amministratore.
Tabella 7-5
Opzioni
Sezione Opzione
Definizione
Attività
Indica le attività attualmente definite e pianificate.
• Nome - Nome dell'attività pianificata.
• Funzionalità - Modulo o funzionalità ai quali è associata l'attività.
• Pianifica - Indica se l'attività è pianificata per l'esecuzione e se è disattivata.
Ad esempio, nei sistemi gestiti, la pianificazione dell'attività di
Aggiornamento client predefinito deve essere disattivata
dall'amministratore.
• Stato - Stato dell'ultima volta in cui è stata eseguita l'attività:
• (nessuno stato) – Nessuna esecuzione
• Esecuzione – Attualmente in esecuzione o ripristinata
• Sospesa – Sospesa dall'utente (come una scansione)
• Rinviata – Rinviata dall'utente (come una scansione)
• Terminata – Esecuzione completata senza errori
• Terminata (errori) – Esecuzione completata con errori
• Non riuscita – Completamento non riuscito
• Ultima esecuzione - Data e ora dell'ultima esecuzione dell'attività.
• Origine - Origine dell'attività:
• McAfee - Fornito da McAfee.
• Amministratore - (Solo sistemi gestiti) Definito dall'amministratore.
• Utente - Definito sul Client Endpoint Security.
A seconda di quale sia l'origine, non è possibile modificare o eliminare
alcune attività. Ad esempio, l'attività Aggiornamento client predefinito può
essere modificata solo sui sistemi autogestiti. Le attività Amministratore,
definite dall'amministratore nei sistemi gestiti, non possono essere
modificate o eliminate nel Client Endpoint Security.
Doppio clic
su un
elemento
Aggiungi
Creare un'attività di scansione, aggiornamento o mirroring.
Elimina
Elimina l'attività selezionata.
Guida del prodotto
125
7
Tabella 7-5
Opzioni (segue)
Sezione Opzione
Definizione
Duplica
Crea una copia dell'attività selezionata.
Esegui adesso
Consente di eseguire l'attività selezionata.
Se l'attività è già in esecuzione, incluse le pause o i rinvii, il pulsante cambia
in Visualizza.
• Scansione rapida - Apre la finestra di dialogo Scansione rapida e avvia la
scansione.
• Scansione completa - Apre la finestra di dialogo Scansione completa e avvia la
scansione.
• Scansione personalizzata - Apre la finestra di dialogo Scansione personalizzata e
avvia la scansione.
• Aggiornamento client predefinito - Apre la finestra di dialogo Aggiornamento e avvia
l'aggiornamento.
• Aggiornamento - Apre la finestra di dialogo Aggiornamento personalizzato e avvia
l'aggiornamento.
• Mirror - Apre la finestra di dialogo Mirror e avvia la replica dell'archivio.
Se si esegue un'attività prima di aver applicato le modifiche, Client Endpoint
Security richiede di salvare le impostazioni.
Vedere anche
Aggiungi attività a pagina 126
Aggiungi attività
Aggiunge attività di scansione personalizzata, mirroring o aggiornamento.
Opzione
Definizione
Nome
Specifica il nome dell'attività.
Seleziona tipo di
attività
Specifica il tipo di attività:
• Scansione personalizzata – Configura e pianifica una scansione personalizzata, come
scansioni della memoria quotidiane.
• Esegui il mirroring – Replica su un sito di mirroring della rete i file di contenuto e di
motore aggiornati contenuti nel primo archivio accessibile.
• Aggiorna – Configura e pianifica un aggiornamento dei file di contenuto, del motore
di scansione o del prodotto.
Vedere anche
Aggiunta di attività di scansione o Modifica di attività di scansione a pagina 127
Aggiunta di attività di mirroring o Modifica di attività di mirroring a pagina 128
Aggiunta di attività di aggiornamento o Modifica di attività di aggiornamento a pagina 127
126
Guida del prodotto
7
Aggiunta di attività di scansione o Modifica di attività di
scansione
Pianifica l'attività Scansione completa o Scansione rapida oppure configura e pianifica le attività di
scansione personalizzata eseguite sul sistema client.
Tabella 7-6
Scheda
Opzioni
Opzione Definizione
Configura le impostazioni dell'attività di scansione.
Impostazioni
Nome
Indica il nome dell'attività.
Opzioni
Per ulteriori informazioni vedere Prevenzione delle minacce – Scansione su
richiesta a pagina 142.
È possibile configurare le impostazioni delle attività Scansione completa e Scansione
rapida solamente nei sistemi autogestiti.
Attiva e pianifica l'attività per l'esecuzione in un orario specifico.
Pianifica
Per ulteriori informazioni vedere Pianifica a pagina 128.
Vedere anche
Prevenzione delle minacce – Scansione su richiesta a pagina 142
Pianifica a pagina 128
Aggiunta di attività di aggiornamento o Modifica di attività di
aggiornamento
Pianifica l'Aggiornamento client predefinito oppure configura e pianifica le attività di aggiornamento
personalizzato eseguite sul sistema client.
Scheda
Opzione
Definizione
Configura le impostazioni dell'attività di aggiornamento.
Impostazioni
Nome
Elementi da
aggiornare
Specifica cosa aggiornare:
• Contenuto di sicurezza, hotfix e patch
• Contenuto di sicurezza
• Hotfix e patch
Per modificare le impostazioni dell'attività Aggiornamento client predefinito,
vedere la sezione Aggiornamento client predefinito in In comune – Opzioni a
pagina 116.
È possibile configurare queste impostazioni solamente nei sistemi
autogestiti.
Pianifica
Per impostazione predefinita, l'attività Aggiornamento client predefinito viene
eseguita ogni giorno a mezzanotte e ripetuta ogni quattro ore fino alle
23:59.
Guida del prodotto
127
7
Vedere anche
Aggiunta di attività di mirroring o Modifica di attività di
mirroring
Configura e pianifica le attività di mirroring.
Scheda
Opzione
Definizione
Impostazioni
Nome
Posizione mirror
Specifica la cartella in cui memorizzare la replica dell'archivio.
Pianifica
Vedere anche
Pianifica
Pianificazione delle attività di scansione, aggiornamento e mirroring.
Tabella 7-7
Opzioni
Categoria Opzione
Definizione
Pianifica
Pianifica l'attività per l'esecuzione in un orario specifico. (Attivato per
impostazione predefinita)
Attiva pianificazione
È necessario selezionare questa opzione per pianificare l'attività.
Tipo di pianificazione
Specifica l'intervallo per l'esecuzione dell'attività.
• Ogni giorno – Esegue l'attività ogni giorno, a un'ora specificata, in
modo ricorrente in un intervallo specificato tra due orari del giorno
o in base a una combinazione di entrambi.
• Ogni settimana – Esegue l'attività settimanalmente:
• In un giorno feriale specifico, tutti i giorni feriali, nel fine
settimana o in base a una combinazione di giorni
• A un'ora specifica dei giorni selezionati o in modo ricorrente in un
intervallo specificato tra due orari dei giorni selezionati
• Ogni mese – Esegue l'attività mensilmente:
• Nel giorno del mese specificato
• Nei giorni della settimana specificati: primo, secondo, terzo,
quarto o ultimo
• Una volta – Avvia l'attività all'ora e nella data specificate.
• All'avvio del sistema – Esegue l'attività quando si avvia il sistema.
• All'accesso – Avvia l'attività al successivo accesso dell'utente al
sistema.
• Esegui subito – Avvia l'attività immediatamente.
Frequenza
128
Specifica la frequenza per le attività giornaliere e settimanali.
Guida del prodotto
7
Tabella 7-7
Opzioni (segue)
Categoria Opzione
Definizione
Esegui il
Specifica il giorno della settimana per le attività settimanali e mensili.
Esegui in
Specifica i mesi dell'anno per le attività mensili.
Esegui l'attività solo
una volta al giorno
Esegue l'attività una volta al giorno per le attività All'avvio del sistema e
All'accesso.
Ritarda l'attività di
Specifica il numero di minuti di ritardo prima dell'esecuzione delle
attività All'avvio del sistema e All'accesso.
Data di inizio
Specifica la data di inizio per le attività Ogni giorno, Ogni settimana, Ogni
mese ed eseguite Solo una volta.
Data di fine
Specifica la data di fine per le attività Ogni giorno, Ogni settimana e Ogni
mese.
Ora di inizio
Specifica l'orario in cui iniziare l'attività.
• Esegui una volta nell'orario definito – Esegue l'attività una volta all'Ora di
inizio specificata.
• Esegui nell'orario definito e ripeti fino a – Esegue l'attività all'Ora di inizio
specificata. Quindi, avvia l'attività dopo il numero di ore/minuti
specificati da Avvia attività ogni fino all'ora di fine specificata.
• Esegui nell'orario definito e ripeti per – Esegue l'attività all'Ora di inizio
specificata. Quindi, avvia l'attività dopo il numero di ore/minuti
specificati da Avvia attività ogni fino a quando è stata eseguita per il
periodo di tempo specificato.
Opzioni
Esegui questa attività
in base a UTC (tempo
universale coordinato)
Specificare se la pianificazione dell'attività viene eseguita in base
all'ora locale del sistema gestito o all'ora UTC (tempo universale
coordinato).
Termina l'attività se
eseguita per oltre
Arresta l'attività dopo il numero di ore e minuti specificato.
Se l'attività viene interrotta prima del completamento, all'avvio
successivo la scansione verrà ripresa dal punto in cui è stata
interrotta.
Tempo di avvio attività
casuale alle
Indica che l'attività specificata viene eseguita casualmente nel
periodo specificato.
In caso contrario, l'attività viene avviata all'ora pianificata,
indipendentemente dalla presenza di altre attività client la cui
esecuzione sia pianificata alla stessa ora.
Esegui attività non
eseguita
Esegue l'attività dopo il numero di minuti specificato da Ritarda avvio alle
dopo il riavvio del sistema gestito.
Specifica le credenziali per eseguire l'attività.
Account
Se non vengono specificate credenziali, l'attività viene eseguita come
account amministratore del sistema locale.
Nome utente
Specifica l'account utente.
Password
Specifica la password per l'account utente specificato.
Conferma password
Conferma la password per l'account utente specificato.
Dominio
Specifica il dominio dell'account utente specificato.
Guida del prodotto
129
7
Vedere anche
Aggiunta di attività di scansione o Modifica di attività di scansione a pagina 127
Aggiunta di attività di aggiornamento o Modifica di attività di aggiornamento a pagina 127
Aggiunta di attività di mirroring o Modifica di attività di mirroring a pagina 128
Protegge i punti di accesso del sistema in base alle regole configurate.
Consultare le impostazioni In comune – Opzioni a pagina 116 per la configurazione della registrazione.
La protezione dell'accesso confronta un'azione richiesta con l'elenco di regole configurate e agisce
secondo la regola.
Tabella 7-8
130
Opzioni
Sezione
Opzione
Definizione
PROTEZIONE DELL'ACCESSO
Attiva protezione dell'accesso
Attiva la funzione di protezione dell'accesso.
Guida del prodotto
7
Sezione Opzione Descrizione
Esclusioni
Consente di accedere ai processi specificati, detti anche eseguibili, per tutte le
regole.
• Aggiungi – Aggiunge un processo all'elenco di esclusioni.
Per ulteriori informazioni vedere Aggiungi eseguibile o Modifica eseguibile a
pagina 136.
• Doppio clic su un elemento – Modifica l'elemento selezionato.
• Elimina – Elimina l'elemento selezionato.
• Duplica – Crea una copia dell'elemento selezionato.
Regole
Configura le regole di protezione dell'accesso.
Per ulteriori informazioni vedere Regole definite da McAfee a pagina 54.
È possibile attivare, disattivare e modificare le regole definite da McAfee, ma non
è possibile eliminarle.
• Aggiungi – Crea una regola personalizzata e la aggiunge all'elenco.
Per ulteriori informazioni vedere Aggiungi regola o Modifica regola a pagina
131.
Per ulteriori informazioni vedere Aggiungi regola o Modifica regola a pagina
131.
• Blocca solo – Blocca i tentativi di accesso senza eseguire la registrazione.
• Segnala solo – Avvisa senza bloccare i tentativi di accesso.
Si tratta di un'impostazione utile quando non sono note le effettive
conseguenze di una regola. Monitorare i registri e i report per stabilire se è
necessario bloccare l'accesso.
• Blocca e Segnala – Blocca e registra i tentativi di accesso.
Per disattivare la regola, deselezionare Blocca e Segnala.
Vedere anche
Configurare le regole di protezione dell'accesso predefinite da McAfee a pagina 53
Aggiungi regola o Modifica regola a pagina 131
Regole definite da McAfee a pagina 54
Aggiungi regola o Modifica regola
Aggiunge o modifica le regola di protezione dell'accesso definite dall'utente.
Guida del prodotto
131
7
Tabella 7-10
Sezione Opzione Definizione
Opzioni
Nome
Specifica o indica il nome della regola. (Obbligatorio)
Reazione
Specifica le azioni per la regola.
• Blocca solo – Blocca i tentativi di accesso senza eseguire la registrazione.
• Segnala solo – Avvisa senza bloccare i tentativi di accesso.
Si tratta di un'impostazione utile quando non sono note le effettive
conseguenze di una regola. Monitorare i registri e i rapporti per stabilire se è
necessario bloccare l'accesso.
• Blocca e Segnala – Blocca e registra i tentativi di accesso.
Per disattivare la regola, deselezionare Blocca e Segnala.
Eseguibili
Specifica gli eseguibili per la regola.
• Aggiungi – Crea un eseguibile e lo aggiunge all'elenco.
pagina 136.
pagina 136.
• Attiva/disattiva stato inclusione – Alterna lo stato di inclusione dell'eseguibile tra
Includi ed Escludi.
Sottoregole Configura le sottoregole.
Le sottoregole vengono visualizzate solo per le regole definite dall'utente.
Per ulteriori informazioni vedere Aggiungi sottoregola o Modifica sottoregola a
pagina 133.
• Aggiungi – Crea una sottoregola e la aggiunge all'elenco.
Note
Fornisce ulteriori informazioni sull'elemento.
Vedere anche
Aggiungi eseguibile o Modifica eseguibile a pagina 136
Aggiungi sottoregola o Modifica sottoregola a pagina 133
132
Guida del prodotto
7
Aggiungi sottoregola o Modifica sottoregola
Aggiungere o modificare una sottoregola standard.
Tabella 7-11
Opzioni
Sezione Opzione
Definizione
Descrizione Nome
Specifica il nome della sottoregola.
Proprietà
Tipo di regola Specifica il tipo di regola.
• File – Protegge un file o una directory. Ad esempio, è possibile creare una
regola personalizzata per bloccare o segnalare i tentativi di eliminazione di
un foglio di calcolo Excel contenente informazioni riservate.
• Chiave di registro – Protegge la chiave specificata. Una chiave di registro è il
contenitore del valore di registro. Ad esempio, HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
• Valore di registro – Protegge il valore specificato. I valori di registro sono
memorizzati all'interno delle chiavi di registro e sono riportati separatamente
dalle chiavi di registro. Ad esempio, HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run\Autorun.
Modificando il tipo di sottoregola si rimuovono le voci eventualmente definite in
precedenza nella tabella dei parametri.
Guida del prodotto
133
7
Tabella 7-11
Opzioni (segue)
Sezione Opzione
Operazioni
Definizione
Indica le operazioni permesse con il tipo di sottoregola.
Le prestazioni potrebbero subire conseguenze se si seleziona l'operazione Leggi.
• File:
• Modifica attributi di sola lettura o nascosti
• Crea – Blocca la creazione di file nella cartella specificata.
• Elimina – Blocca l'eliminazione di file nella cartella specificata.
• Esegui – Blocca l'esecuzione di file nella cartella specificata.
• Leggi – Blocca l'accesso in lettura ai file specificati.
• Scrivi – Blocca l'accesso in scrittura ai file specificati.
• Chiave di registro:
• Scrivi – Blocca l'accesso in scrittura alla chiave specificata.
• Crea – Blocca la creazione della chiave specificata.
• Elimina – Blocca l'eliminazione della chiave specificata.
• Leggi – Blocca l'accesso in lettura alla chiave specificata.
• Enumera – Blocca l'enumerazione delle sottochiavi della chiave di registro
specificata.
• Carica – Blocca la possibilità di scaricare la chiave di registro specificata e le
relative sottochiavi dal registro.
• Sostituisci – Blocca la sostituzione della chiave di registro specificata e le
relative sottochiavi con un altro file.
• Ripristina – Blocca la possibilità di salvare le informazioni di registro in un
file specificato e ricopia la chiave specificata.
• Valore di registro:
• Scrivi – Blocca l'accesso in scrittura al valore specificato.
• Crea – Blocca la creazione del valore specificato.
• Elimina – Blocca l'eliminazione del valore specificato.
• Leggi – Blocca l'accesso in lettura al valore specificato.
Parametri
• Aggiungi – Specifica i parametri per la regola. I parametri variano a seconda
del tipo di regola selezionato. È necessario fornire almeno un parametro.
Fare clic su Aggiungi, selezionare lo stato di inclusione, quindi immettere o
selezionare il parametro da includere o escludere.
Vedere Parametri a pagina 135.
Vedere Parametri a pagina 135.
Vedere anche
Parametri a pagina 135
134
Guida del prodotto
7
Parametri
Specifica lo stato di inclusione e la definizione per un parametro.
Tabella 7-12
Sezione Opzione
Definizione
Parametri
Determina se il parametro è una corrispondenza positiva per la
sottoregola. Specifica inoltre lo stato di inclusione del parametro.
• Includi – Indica che la sottoregola può corrispondere al parametro
specificato.
• Escludi – Indica che la sottoregola non deve corrispondere al parametro
specificato.
Se è stato
selezionato il
tipo di regola
File...
Sfogliare per selezionare il file.
Le variabili di ambiente del sistema sono supportate. È possibile
specificare le variabili di ambiente in uno dei seguenti formati:
• $(EnvVar) - $(SystemDrive), $(SystemRoot)
• %EnvVar% - %SystemRoot%, %SystemDriver%
Non tutte le variabili di ambiente definite dal sistema sono accessibili
utilizzando la sintassi $(var), in particolare quelle contenenti i caratteri
o. È possibile utilizzare la sintassi %var% per evitare questo problema.
Le variabili di ambiente dell'utente non sono supportate.
È possibile utilizzare ?, * e ** come caratteri jolly.
Se è stato
selezionato il
tipo di regola
Chiave di registro o
Valore di registro...
Utilizzare le chiavi principali per definire le chiavi e i valori di registro.
Queste chiavi principali sono supportate:
• HKLM o HKEY_LOCAL_MACHINE
• HKCU o HKEY_CURRENT_USER
• HKCR o HKEY_CLASSES_ROOT
• HKCCS corrisponde a HKLM/SYSTEM/CurrentControlSet e HKLM/
SYSTEM/ControlSet00X
• HKLMS corrisponde a HKLM/Software nei sistemi a 32 e 64 bit e a
HKLM/Software/Wow6432Node solo nei sistemi a 64 bit
• HKCUS corrisponde a HKCU/Software nei sistemi a 32 e 64 bit e a
HKCU/Software/Wow6432Node solo nei sistemi a 64 bit
• HKULM è trattato sia come HKLM sia come HKCU
• HKULMS è trattato sia come HKLMS sia come HKCUS
• HKALL è trattato sia come HKLM sia come HKU
È possibile utilizzare ?, * e ** come caratteri jolly e | (barra verticale)
come carattere di escape.
Guida del prodotto
135
7
Aggiungi eseguibile o Modifica eseguibile
Aggiunge o modifica un eseguibile.
Tabella 7-13
Opzione
Definizione
Nome
Specifica il nome assegnato all'eseguibile.
Questo campo è obbligatorio ed è necessario almeno un altro campo: Nome o percorso
file, Hash MD5 o Firmatario.
Stato inclusione
Determina lo stato di inclusione per l'eseguibile.
Stato inclusione viene visualizzato solo quando si aggiunge un eseguibile a una regola.
• Includi – Indica che l'eseguibile può corrispondere al parametro specificato.
• Escludi – Indica che l'eseguibile non deve corrispondere al parametro specificato.
Nome o percorso
file
Specifica il nome o percorso file dell'eseguibile da aggiungere o modificare.
Fare clic su Sfoglia per selezionare l'eseguibile.
Il percorso file può contenere caratteri jolly.
Hash MD5
Indica l'hash MD5 (numero esadecimale a 32 cifre) del processo.
Firmatario
Attiva controllo firma digitale – Garantisce che il codice non sia stato modificato o corrotto
dalla sua firma con un hash crittografico.
Se attivato, specificare:
• Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di processo.
• Autore firma – Consente solo i file firmati dal firmatario del processo specificato.
È necessario un nome distinto firmatario (SDN) per l'eseguibile, che deve
corrispondere esattamente alle voci nel relativo campo, inclusi virgole e spazi.
Per ottenere l'SDN di un eseguibile:
1 Fare clic con il pulsante destro del mouse su un eseguibile e selezionare Proprietà.
2 Nella scheda Firme digitali, selezionare un firmatario e fare clic su Dettagli.
3 Nella scheda Generale, fare clic su Visualizza certificato.
4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il nome distinto
del firmatario. Ad esempio, Firefox dispone di questo SDN:
Note
• CN = Mozilla Corporation
• L = Mountain View
• OU = Release Engineering
• S = California
• O = Mozilla Corporation
• C = Stati Uniti
Vedere anche
Aggiungi regola o Modifica regola a pagina 131
136
Guida del prodotto
7
Abilita e configura la prevenzione degli exploit per impedire agli exploit di overflow del buffer di
eseguire codice arbitrario sul computer dell'utente.
McAfee Host IPS è attivato, Prevenzione exploit viene disattivato anche se attivato nelle impostazioni
della policy.
Tabella 7-14
Sezione
Opzione
Definizione
PREVENZIONE EXPLOIT Attiva prevenzione exploit Attiva la funzione di prevenzione exploit.
Se questa opzione non viene attivata, il sistema non è
protetto da numerosi attacchi malware.
Sezione
Opzione
Definizione
Specifica il livello di protezione della prevenzione exploit.
Livello di
protezione
Standard
Rileva e blocca solo gli exploit di overflow del buffer con livello di gravità
elevato identificati nel file di contenuto di prevenzione exploit e arresta il
thread rilevato.
Utilizzare questa funzione in modalità Standard per un breve periodo.
Consultare contemporaneamente il file di registro per stabilire se passare alla
protezione Massima.
Massima
Rileva e blocca gli exploit di overflow del buffer con livello di gravità elevato e
medio identificati nel file di contenuto di prevenzione exploit e arresta il
thread rilevato.
Questa impostazione può generare falsi positivi.
Protezione
esecuzione
programmi
di Windows
Attiva
Attiva Protezione esecuzione programmi di Windows (DEP). (Disattivato per
Protezione
impostazione predefinita)
esecuzione
programmi di
Disattivando questa opzione non si hanno effetti sui processi con DEP attivata
Windows
come conseguenza della policy DEP di Windows.
Specifica le azioni Blocca o Segnala per la prevenzione exploit.
Azione
L'impostazione di segnalazione non si applica quando la Protezione
esecuzione programmi di Windows è attiva.
Blocca
Blocca il processo specificato. Selezionare Blocca per attivare la prevenzione
exploit o deselezionarlo per disattivare la prevenzione exploit.
Per bloccare i tentativi di accesso senza registrarli, selezionare Blocca ma non
selezionare Segnala.
Guida del prodotto
137
7
Sezione
Opzione
Definizione
Segnala
Attiva la segnalazione dei tentativi di violazione della prevenzione exploit. Al
verificarsi di un rilevamento, le informazioni vengono memorizzate nel
registro attività.
Per ricevere un avviso senza bloccare i tentativi di accesso, selezionare
Segnala ma non selezionare Blocca. Si tratta di un'impostazione utile quando
non sono note le effettive conseguenze di una regola. Monitorare i registri e i
rapporti per un breve periodo per determinare se è necessario bloccare
l'accesso.
Specifica il nome del processo che effettua la chiamata e a cui appartiene la
memoria scrivibile.
Esclusioni
Le esclusioni con Modulo chiamante o API non si applicano a DEP.
Aggiunge un processo all'elenco di esclusioni.
Aggiungi
Immettere il nome del processo o il nome e il relativo
percorso.
Le esclusioni fanno distinzione tra maiuscole e
minuscole e i caratteri jolly non sono consentiti.
Doppio clic su un
elemento
Elimina
Elimina l'elemento selezionato.
Processo
Specifica il nome del processo da escludere. La prevenzione exploit esclude il
processo indipendentemente da dove questo si trovi.
Modulo
chiamante
Specifica il nome del modulo cui appartiene la memoria scrivibile che effettua
la chiamata.
API
Specifica l'API (application programming interface) che viene chiamata.
Vedere anche
Configurare le impostazioni della policy di prevenzione exploit a pagina 61
Attivare e configurare le impostazioni di scansione all'accesso.
Tabella 7-17
138
Opzioni
Sezione
Opzione
Definizione
SCANSIONE
ALL'ACCESSO
Attiva scansione
all'accesso
Attiva la funzione Scansione all'accesso.
Attiva scansione
all'accesso all'avvio del
sistema
Attiva la funzione Scansione all'accesso ogni volta che si accende
il computer.
Attivato per impostazione predefinita.
Guida del prodotto
7
Tabella 7-17
Sezione
Opzioni (segue)
Opzione
Definizione
Specifica il numero
Limita la scansione di ciascun file al numero di secondi
massimo di secondi per specificato.
la scansione di ciascun Attivato per impostazione predefinita.
file
Se viene superato il limite di tempo, la scansione si interrompe e
viene registrato un messaggio.
Scansione dei settori di
avvio
Esamina il settore di avvio del disco.
Quando il disco contiene un settore di avvio univoco o anomalo
che non può essere sottoposto a scansione, può essere
opportuno disattivare la scansione del settore di avvio.
Scansione dei processi
ad avvio servizio e
aggiornamento
contenuto
Esegue nuovamente la scansione di tutti i processi attualmente
in memoria, ogni volta che:
• Riattiva le scansioni all'accesso.
• I file di contenuto sono aggiornati.
• Il sistema viene avviato.
• Il processo mcshield.exe viene avviato.
Poiché alcuni programmi o eseguibili si avviano
automaticamente all'avvio del sistema, l'attivazione di questa
opzione rallenta il sistema e aumenta il tempo di avvio dello
stesso.
Disattivato per impostazione predefinita.
Quando il programma di scansione all'accesso è attivo, eseguirà
sempre le scansioni di tutti i processi quando questi vengono
eseguiti.
Esegui scansione dei
programmi di
installazione affidabili
Esegue la scansione dei file MSI (installati da msiexec.exe e con
firma McAfee o Microsoft) o dei file del servizio Windows Trusted
Installer.
Disattivare questa opzione per migliorare le prestazioni dei
programmi di installazione della maggior parte delle app
Microsoft.
Scansione durante la
copia da cartelle locali
Esegue la scansione dei file quando l'utente li copia da una
cartella locale a un'altra.
Se questa opzione è:
• Disattivato – Vengono sottoposti a scansione solo gli elementi
che si trovano nella cartella di destinazione.
• Attivato – Vengono sottoposti a scansione sia gli elementi
nella cartella di origine (lettura) sia quelli in quella di
destinazione (scrittura).
Guida del prodotto
139
7
Tabella 7-17
Sezione
Opzioni (segue)
Opzione
Per ulteriori informazioni vedere McAfee GTI a pagina 148.
McAfee GTI
ScriptScan
Definizione
Attiva ScriptScan
Consente agli script di scansione JavaScript e VBScript di
impedire l'esecuzione di script indesiderati.
Se ScriptScan è disattivato all'avvio di Internet Explorer e
viene attivato in seguito, non rileva gli script dannosi in quella
istanza di Internet Explorer. È necessario riavviare Internet
Explorer dopo aver attivato ScriptScan affinché rilevi gli script
dannosi.
Sezione
Opzione
Definizione
Messaggistica
utente rilevamento
minacce
Al rilevamento di una
minaccia, mostra la
finestra di scansione
all'accesso
Mostra la pagina Scansione all'accesso con il messaggio specificato
agli utenti client quando si verifica un rilevamento.
Quando questa opzione è selezionata, gli utenti possono aprire
questa pagina dalla pagina Avvia scansione ogni volta che l'elenco
di rilevamenti include almeno una minaccia.
L'elenco di rilevamenti della scansione all'accesso viene ripulito al
riavvio del servizio Endpoint Security o del sistema.
Messaggio
Specifica il messaggio da mostrare agli utenti client quando si
verifica un rilevamento.
Il messaggio predefinito è: McAfee Endpoint Security ha rilevato una
minaccia.
Impostazioni dei
processi
Utilizza impostazioni
standard per tutti i
processi
Applica le stesse impostazioni configurate a tutti i processi
durante l'esecuzione di una scansione all'accesso.
Configura impostazioni Configura diverse impostazioni di scansione per ciascun tipo di
diverse per processi ad processo identificato.
alto e basso rischio
Standard
Configura le impostazioni per i processi non identificati come a
rischio elevato o basso.
Scansione
Rischio elevato
Configura le impostazioni per i processi che presentano un
rischio elevato.
Rischio basso
Configura le impostazioni per i processi che presentano un
rischio basso.
Aggiungi
Aggiunge un processo all'elenco Rischio elevato o Rischio basso.
Elimina
Rimuove un processo dall'elenco Rischio elevato o Rischio basso.
Quando eseguire la scansione
Durante la scrittura sul
disco
Tenta la scansione di tutti i file quando vengono scritti o
modificati nel computer o in altri dispositivi di memorizzazione
dati.
Poiché la scansione potrebbe non riuscire quando si scrive il file
su disco, si consiglia vivamente di attivare l'opzione Durante la
lettura dal disco.
140
Guida del prodotto
7
Sezione
Opzione
Definizione
Durante la lettura dal
disco
Esegue la scansione di tutti i file quando vengono letti dal
computer o da altri dispositivi di memorizzazione dati.
Si consiglia vivamente di attivare questa opzione.
Lascia decidere
McAfee
Consente a McAfee di decidere se sottoporre un file a scansione,
utilizzando la logica di affidabilità per ottimizzare la scansione. La
logica di affidabilità migliora la sicurezza e le prestazioni evitando
scansioni non necessarie.
Non eseguire la
scansione durante la
lettura o la scrittura da
disco
Specifica di non eseguire la scansione dei soli processi con Rischio
basso.
Elementi da sottoporre a scansione
Tutti i file
Esegue la scansione di tutti i file, indipendentemente dalla loro
estensione.
Si consiglia vivamente di attivare Tutti i file. Se questa opzione
non viene attivata, il sistema non è protetto dagli attacchi
malware.
Tipi di file specificati e
predefiniti
Esegue la scansione di:
• Elenco predefinito di estensioni di file nel file AMCore content
corrente, inclusi i file senza estensione
• Eventuali estensioni file aggiuntive specificate
Separare le estensioni con una virgola.
• (Facoltativo) Minacce di macro conosciute nell'elenco delle
estensioni file specificate e predefinite
Per l'elenco dei tipi di file supportati dai sistemi Macintosh,
vedere l'articolo KB84411 della KnowledgeBase.
Solo i tipi di file
specificati
Esegue la scansione di (un'opzione individualmente o entrambe
contemporaneamente):
• Solo file con le estensioni specificate (separate da virgole)
• Tutti i file senza estensione
Sulle unità di rete
Esegue la scansione delle risorse sulle unità di rete mappate.
La scansione delle risorse di rete può incidere sulle prestazioni.
Aperto per i backup
Esegue la scansione dei file quando aperto da un software di
backup.
Questa impostazione è raccomandata per la maggior parte
degli utenti.
File di archivio
compressi
Esamina il contenuto dei file di archivio (compressi), inclusi i
file .jar.
Poiché la scansione di file compressi può avere effetti negativi
sulle prestazioni di sistema, si consiglia di utilizzare questa
opzione nelle scansioni eseguite durante l'orario non lavorativo,
quando il sistema non è in uso.
Guida del prodotto
141
7
Sezione
Opzione
Definizione
File compressi con
codifica MIME
Consente di rilevare, decodificare e sottoporre a scansione i file
MIME (Multipurpose Internet Mail Extensions) codificati
(messaggi di Apple Mail sui sistemi Macintosh).
Opzioni di scansione aggiuntive
Rileva programmi
indesiderati
Consente al programma di scansione di rilevare programmi
potenzialmente indesiderati.
Il programma di scansione utilizza le informazioni configurate
nelle impostazioni Prevenzione delle minacce Opzioni allo scopo
di rilevare programmi potenzialmente indesiderati.
Rileva minacce di
programma
sconosciute
Utilizza McAfee GTI per rilevare file eseguibili con codice simile a
malware.
Rileva minacce di
macro sconosciute
Utilizza McAfee GTI per rilevare virus macro sconosciuti.
Azioni
Per ulteriori informazioni vedere Azioni a pagina 149.
Esclusioni
Specifica i file, le cartelle e le unità da escludere dalla scansione.
Per ulteriori informazioni vedere Aggiungi esclusione o Modifica
esclusione a pagina 151.
ScriptScan
Aggiungi
Aggiunge un elemento all'elenco di esclusioni.
Elimina
Rimozione di un elemento dall'elenco di esclusioni.
Escludi questi URL
Specifica le esclusioni ScriptScan in base all'URL.
Aggiungi – Aggiunge un URL all'elenco di esclusioni.
Elimina – Rimuove un URL dall'elenco di esclusioni.
Gli URL non possono includere caratteri jolly. Tuttavia, qualsiasi
URL che contenga una stringa proveniente da un URL escluso
viene a sua volta escluso. Ad esempio, se l'URL msn.com è
escluso, anche i seguenti URL vengono esclusi:
• http://weather.msn.com
• http://music.msn.com
Sui sistemi Windows Server 2008, le esclusioni degli URL
ScriptScan non funzionano con Internet Explorer, a meno che
non si selezionino estensioni di browser di terze parti e si riavvii
il sistema. Vedere l'articolo KB69526 della KnowledgeBase.
Vedere anche
McAfee GTI a pagina 148
Azioni a pagina 149
Aggiungi esclusione o Modifica esclusione a pagina 151
Configura le impostazioni di Scansione su richiesta per le scansioni preconfigurate e le scansioni
personalizzate eseguite sul sistema.
142
Guida del prodotto
7
Queste impostazioni specificano il comportamento del programma di scansione quando:
•
Si seleziona Scansione completa o Scansione rapida dalla pagina Esegui Scansione nel Client Endpoint
Security.
•
Come amministratore, si configura ed esegue una scansione su richiesta personalizzata come
amministratore dalle Impostazioni | Attività | In comune nel Client Endpoint Security.
•
Si fa clic con il pulsante destro del mouse su un file o una cartella e si seleziona Ricerca minacce dal
menu popup.
Tabella 7-19
Opzioni
Sezione
Opzione
Definizione
Elementi da
sottoporre a
scansione
Settori di avvio
Esamina il settore di avvio del disco.
Quando il disco contiene un settore di avvio univoco o anomalo che
non può essere sottoposto a scansione, può essere opportuno
disattivare la scansione del settore di avvio.
File di cui è stata
eseguita la
migrazione
nell'archivio
Esegue la scansione di file gestiti dall'archiviazione remota.
Alcune soluzioni di archiviazione dati offline sostituiscono i file
originali con file stub. Quando il programma di scansione incontra un
file stub, questo viene ripristinato dal programma di scansione nel
sistema locale prima della scansione.
Si consiglia la disattivazione di questa opzione.
File compressi con
codifica MIME
Consente di rilevare, decodificare e sottoporre a scansione i file
MIME (Multipurpose Internet Mail Extensions) codificati (messaggi di
Apple Mail sui sistemi Macintosh).
File di archivio
compressi
Esamina il contenuto dei file di archivio (compressi), inclusi i file .jar.
Poiché la scansione di file compressi può avere effetti negativi sulle
prestazioni di sistema, si consiglia di utilizzare questa opzione nelle
scansioni eseguite durante l'orario non lavorativo, quando il sistema
non è in uso.
Sottocartelle (solo Esamina tutte le sottocartelle della cartella specificata.
Scansione di scelta
rapida)
Opzioni di
scansione
aggiuntive
Percorsi di
scansione
Rileva programmi
indesiderati
Consente al programma di scansione di rilevare programmi
potenzialmente indesiderati.
Il programma di scansione utilizza le informazioni configurate nelle
impostazioni Prevenzione delle minacce Opzioni allo scopo di rilevare
programmi potenzialmente indesiderati.
Rileva minacce di
programma
sconosciute
Utilizza McAfee GTI per rilevare file eseguibili con codice simile a
malware.
Rileva minacce di
macro sconosciute
Utilizza McAfee GTI per rilevare virus macro sconosciuti.
(Solo Scansione
completa e
Scansione rapida)
Per ulteriori informazioni vedere Percorsi di scansione a pagina 146.
Queste opzioni si applicano solamente a scansione completa e scansione
rapida.
Guida del prodotto
143
7
Tabella 7-19
Opzioni (segue)
Sezione
Opzione
Definizione
Tipi di file da
sottoporre a
scansione
Tutti i file
Esegue la scansione di tutti i file, indipendentemente dalla loro
estensione.
McAfee consiglia vivamente di attivare Tutti i file.
Si consiglia vivamente di attivare Tutti i file. Se questa opzione non
viene attivata, il sistema non è protetto dagli attacchi malware.
Tipi di file specificati Esegue la scansione di:
e predefiniti
• Elenco predefinito di estensioni di file nel file AMCore content
corrente, inclusi i file senza estensione
• Eventuali estensioni file aggiuntive specificate
Separare le estensioni con una virgola.
• (Facoltativo) Minacce di macro conosciute nell'elenco delle
estensioni file specificate e predefinite
Per l'elenco dei tipi di file supportati dai sistemi Macintosh, vedere
l'articolo KB84411 della KnowledgeBase.
Solo i tipi di file
specificati
Esegue la scansione di (un'opzione individualmente o entrambe
contemporaneamente):
• Solo file con le estensioni specificate (separate da virgole)
• Tutti i file senza estensione
McAfee GTI
Esclusioni
Specifica i file, le cartelle e le unità da escludere dalla scansione.
Per ulteriori informazioni vedere Aggiungi esclusione o Modifica
esclusione a pagina 151.
Aggiungi
Aggiunge un elemento all'elenco di esclusioni.
Elimina
Rimozione di un elemento dall'elenco di esclusioni.
Per ulteriori informazioni vedere Azioni a pagina 149.
Azioni
Prestazioni
Utilizza la cache di
scansione
Consente al programma di scansione di utilizzare i risultati di
scansione dei file ripuliti esistenti.
Selezionare questa opzione per ridurre le scansioni duplicate e
migliorare le prestazioni.
144
Guida del prodotto
7
Tabella 7-19
Sezione
Opzioni (segue)
Opzione
Definizione
Utilizzo del sistema
Consente al sistema operativo di impostare la quantità di tempo
della CPU che il programma di scansione riceve durante il processo
di scansione.
Ogni attività viene eseguita in maniera indipendente e senza
considerare i limiti impostati per le altre attività.
• Basso – Fornisce prestazioni migliori per altre applicazioni in uso.
Selezionare questa opzione per i sistemi con attività dell'utente
finale.
• Al di sotto del normale – Imposta l'utilizzo di sistema per la scansione
sul valore predefinito di McAfee ePO.
• Normale (opzione predefinita) – Consente di completare la
scansione più rapidamente.
Selezionare questa opzione per i sistemi che dispongono di
grandi volumi e una minima attività dell'utente finale.
Opzioni di
scansione
pianificata
Queste opzioni si applicano solamente a scansione completa e scansione
rapida.
Esegui scansione
solo quando il
sistema è inattivo
Esegue la scansione solo quando l'utente è inattivo.
Prevenzione delle
l'utente accede al
Prevenzione delle
la CPU) è inattivo
minacce mette in pausa la scansione quando
sistema utilizzando la tastiera o il mouse.
minacce riprende la scansione quando l'utente (e
per cinque minuti.
McAfee consiglia di disattivare questa opzione sui sistemi server e i
sistemi ai quali gli utenti accedono solamente tramite connessione
desktop remota (RDP). Prevenzione delle minacce dipende da
McTray per stabilire se il sistema è inattivo. Sui sistemi ai quali si
accede solamente tramite RDP, McTray non viene avviato e il
programma di scansione su richiesta non viene mai eseguito.
Per aggirare questo problema, gli utenti possono avviare
McTray (in C:\Program Files\McAfee\Agent\mctray.exe, per
impostazione predefinita) manualmente quando accedono
tramite RDP.
Scansiona in
qualsiasi momento
Esegue la scansione anche se l'utente è attivo e specifica le opzioni
di scansione.
Guida del prodotto
145
7
Tabella 7-19
Sezione
Opzioni (segue)
Opzione
Definizione
L'utente può rinviare le scansioni – Consente all'utente di rinviare le
scansioni pianificate e specifica le opzioni per il rinvio della
scansione.
• Numero massimo di volte in cui gli utenti possono rinviare per un'ora – Specifica il
numero di volte (1–23) in cui l'utente può rinviare la scansione per
un'ora.
• Messaggio utente – Specifica il messaggio da visualizzare quando una
scansione sta per iniziare.
Il messaggio predefinito è: McAfee Endpoint Security sta per
eseguire la scansione del sistema.
• Durata messaggio (secondi) – Specifica la durata (in secondi) di
visualizzazione del messaggio utente quando una scansione sta
per iniziare. L'intervallo valido per la durata è 30–300; il valore
predefinito è 45 secondi.
Non eseguire la scansione quando il sistema è in modalità presentazione – Rinvia la
scansione mentre il sistema si trova in modalità di presentazione.
Non eseguire la
Rinvia la scansione quando l'alimentazione è a batteria.
scansione quando il
sistema è alimentato
a batteria
Vedere anche
Scansione di un file o una cartella a pagina 44
Percorsi di scansione a pagina 146
Azioni a pagina 149
Aggiungi esclusione o Modifica esclusione a pagina 151
Specifica i percorsi da sottoporre a scansione.
Queste opzioni si applicano solamente a scansione completa e scansione rapida.
146
Guida del prodotto
7
Tabella 7-20
Opzioni
Sezione
Opzione
Definizione
Percorsi di
scansione
Scansiona
sottocartelle
Il programma di scansione esamina tutte le sottocartelle nei
volumi specificati quando una di queste opzioni è selezionata:
• Cartella principale
• Cartella Temp
• Cartella del profilo utente
• Unità o cartella
• Cartella Programmi
Deselezionare questa opzione per esaminare solo il livello
principale dei volumi.
Specifica percorsi
Specifica i percorsi da sottoporre a scansione.
Aggiungi
Aggiunge un percorso alla scansione.
Fare clic su Aggiungi, quindi selezionare la
posizione dal menu a discesa.
Doppio clic su un
elemento
Elimina
Rimuove un percorso dalla scansione.
Selezionare il percorso e fare clic su Elimina.
Memoria per i rootkit Esegue la scansione della memoria del sistema per individuare
rootkit installati, processi nascosti e altri segnali che indichino il
tentativo di nascondersi da parte di malware. Questa scansione
viene eseguita prima di tutte le altre.
Se questa opzione non viene attivata, il sistema non è protetto
dagli attacchi malware.
Processi in
esecuzione
Esegue la scansione della memoria di tutti i processi in
esecuzione.
Le Azioni diverse da Pulisci file vengono trattate come Continua
scansione.
Se questa opzione non viene attivata, il sistema non è protetto
dagli attacchi malware.
File registrati
Esegue la scansione dei file riportati dal registro di Windows.
Il programma di scansione esegue prima una ricerca nel registro
in base al nome dei file, stabilisce se i file esistono, crea un
elenco di file da sottoporre a scansione ed esegue la scansione
dei file.
Risorse del computer Esegue la scansione di tutte le unità collegate fisicamente al
computer o delle unità logiche mappate a lettere di unità del
computer in uso.
Tutte le unità locali
Esegue la scansione di tutte le unità e delle relative sottocartelle
appartenenti al computer in uso.
Tutte le unità fisse
Esegue la scansione di tutte le unità collegate fisicamente al
computer in uso.
Tutte le unità
rimovibili
Esegue la scansione di tutte le unità rimovibili o di altri supporti di
archiviazione collegati al computer in uso.
Tutte le unità
mappate
Esegue la scansione di tutte le unità logiche di rete mappate a
un'unità di rete del computer in uso.
Guida del prodotto
147
7
McAfee GTI
Tabella 7-20
Opzioni (segue)
Sezione
Opzione
Definizione
Cartella principale
Esegue la scansione della cartella principale dell'utente che ha
avviato la scansione.
Cartella del profilo
utente
Esegue la scansione del profilo dell'utente che avvia la scansione,
inclusa la cartella Documenti dell'utente.
Cartella Windows
Esegue la scansione della cartella Windows.
Cartella Programmi
Esegue la scansione dei contenuti della cartella Programmi.
Cartella Temp
Esegue la scansione della cartella Temp.
Cestino
Esegue la scansione del contenuto del Cestino.
File o cartella
Esegue la scansione di un file o cartella specifici.
Vedere anche
McAfee GTI
Attiva e configura le impostazioni di McAfee GTI.
Tabella 7-21
Sezione
Opzione
Definizione
Attiva e disattiva i controlli euristici.
Attiva
McAfee GTI
• Quando è attivata, questa opzione invia impronte digitali degli esempi o
hash a McAfee Labs per stabilire se si tratta di malware. Inviando gli hash,
il rilevamento potrebbe essere reso disponibile prima del successivo
aggiornamento dei file AMCore content, quando McAfee Labs pubblica
l'aggiornamento.
• Quando non è attiva, nessuna impronta digitale o dato viene inviato a
McAfee Labs.
Consente di configurare il livello di sensibilità da utilizzare per determinare se
un elemento rilevato è malware.
Livello di
sensibilità
Un livello di sensibilità più elevato comporta un maggior numero di
rilevamenti di malware. Tuttavia, consentendo l'esecuzione di un elevato
numero di rilevamenti è possibile ottenere un maggior numero di risultati falsi
positivi.
Molto basso
Indica che la quantità di rilevamenti e il rischio che si verifichino falsi positivi
corrispondono a quelli che si presentano quando si utilizzano i normali file
AMCore content. Anziché attendere il successivo aggiornamento del file
AMCore content, un rilevamento può essere reso disponibile a Prevenzione
delle minacce quando viene pubblicato da McAfee Labs.
Utilizzare questa impostazione per i desktop e server con diritti utente limitati
e un'impronta digitale di sicurezza affidabile.
Questa impostazione produce una media di 10-15 query al giorno, per
computer.
Basso
Questa impostazione è quella minima raccomandata per i laptop o i desktop e
per i server con un'impronta digitale di sicurezza affidabile.
computer.
148
Guida del prodotto
7
Azioni
Tabella 7-21
Sezione
(segue)
Opzione
Definizione
Medio
Utilizzare questo livello quando il rischio normale di esposizione al malware è
maggiore del rischio di un falso positivo. Le verifiche euristiche proprietarie di
McAfee Labs sono in grado di rilevare gli elementi malware. Tuttavia, alcuni
rilevamenti possono generare falsi positivi. Con questa impostazione, McAfee
Labs verifica che i file di applicazioni e sistemi operativi largamente diffusi
non generino falsi positivi.
Questa impostazione è quella minima raccomandata per i laptop o i desktop e
per i server.
computer.
Elevato
Utilizzare questa impostazione per la distribuzione nei sistemi o nelle aree
infettati regolarmente.
computer.
Molto elevato McAfee consiglia di utilizzare questo livello solamente per la scansione di
volumi e directory che non supportano l'esecuzione di programmi o sistemi
operativi.
Benché presumibilmente pericolosi, i rilevamenti ottenuti mediante questo
livello non sono stati sottoposti a verifiche esaustive per confermare che non
si tratti di falsi positivi.
Utilizzare questa impostazione per le scansioni su richiesta su volumi non
relativi a sistemi operativi.
Utilizzare questa impostazione su volumi non relativi a sistemi operativi.
computer.
Vedere anche
Controllo Web – Opzioni a pagina 165
Azioni
Specificare la modalità di risposta del programma di scansione al rilevamento di una minaccia.
Tabella 7-22
Sezione
Opzioni
Opzione
Definizione
Tipo di scansione
Scansione
all'accesso
Prima risposta al
rilevamento delle
minacce
Scansione su
richiesta
Consente di selezionare la prima azione che il programma di scansione
deve intraprendere al rilevamento di una minaccia.
Nega l'accesso
ai file
Impedisce agli utenti di
accedere a qualsiasi file con
potenziali minacce.
Continua a
eseguire la
scansione
Continua a eseguire la
scansione in caso di rilevamento
di una minaccia. Il programma
di scansione non sposta gli
elementi in quarantena.
Guida del prodotto
149
7
Azioni
Tabella 7-22
Sezione
Opzioni (segue)
Opzione
Definizione
Tipo di scansione
Scansione
all'accesso
Pulisci file
Rimuove la minaccia dal file
rilevato, se possibile.
Elimina file
Elimina i file contenenti
potenziali minacce.
Scansione su
richiesta
Consente di selezionare l'azione che il programma di scansione deve
intraprendere al rilevamento di una minaccia se la prima azione non
riesce.
Se la prima
risposta non riesce
Nega l'accesso
ai file
potenziali minacce.
Continua a
eseguire la
scansione
Elimina file
Elimina i file contenenti
potenziali minacce.
Consente di selezionare la prima azione che il programma di scansione
deve eseguire al rilevamento di un programma potenzialmente
indesiderato.
Prima risposta ai
programmi
indesiderati
Questa opzione è disponibile solo se Rileva programmi indesiderati è
selezionato.
Nega l'accesso
ai file
potenziali minacce.
Consenti
Consente agli utenti di accedere
l'accesso ai file ai file con potenziali minacce.
Continua a
eseguire la
scansione
Pulisci file
Rimuove la minaccia dal file del
programma potenzialmente
indesiderato, se possibile.
Elimina file
Elimina i file del programma
potenzialmente indesiderato.
Consente di selezionare l'azione che il programma di scansione deve
eseguire al rilevamento di un programma potenzialmente indesiderato,
se la prima azione non ha esito positivo.
Se la prima
risposta non riesce
Questa opzione è disponibile solo se Rileva programmi indesiderati è
selezionato.
Nega l'accesso
ai file
potenziali minacce.
Consenti
Consente agli utenti di accedere
l'accesso ai file ai file con potenziali minacce.
150
Guida del prodotto
Tabella 7-22
Sezione
7
Opzioni (segue)
Opzione
Definizione
Tipo di scansione
Scansione
all'accesso
Continua a
eseguire la
scansione
Elimina file
Elimina i file del programma
potenzialmente indesiderato
automaticamente.
Scansione su
richiesta
Vedere anche
Aggiungere o modificare una definizione di esclusione.
Tabella 7-23
Sezione
Opzioni
Opzione
Definizione
Tipo di scansione
All'accesso Su richiesta
Elementi da
escludere
Specifica il tipo di esclusione e i dettagli dell'esclusione.
Nome o percorso
file
Specifica il file o il percorso da escludere.
Il percorso file può contenere caratteri
jolly.
Per escludere una cartella sui sistemi
Windows, aggiungere una barra
rovesciata (\) alla fine del percorso.
Per escludere una cartella sui sistemi
Mac, aggiungere una barra (/) alla fine
del percorso.
Se necessario, selezionare Escludi anche le
sottocartelle.
Tipo di file
Specifica i tipi di file (estensioni di file) da
escludere.
Data file
Specifica il tipo di accesso (Ultima modifica,
Ultimo accesso (solo per scansione su
richiesta) o Data creazione) dei file da
escludere e il Tempo minimo in giorni.
Specifica quando escludere l'elemento selezionato.
Quando
escludere
Durante la scrittura Esclude dalla scansione quando i file
o la lettura del
vengono scritti o letti dal disco o da altri
disco
dispositivi di memorizzazione dati.
Guida del prodotto
151
7
Tabella 7-23
Sezione
Opzioni (segue)
Opzione
Definizione
Tipo di scansione
All'accesso Su richiesta
Durante la lettura
dal disco
Esclude dalla scansione quando i file
vengono letti dal computer o da altri
dispositivi di memorizzazione dati.
Durante la scrittura Esclude dalla scansione quando i file
sul disco
vengono scritti o modificati dal disco o da
altri dispositivi di memorizzazione dati.
Vedere anche
Caratteri jolly nelle esclusioni di scansione a pagina 51
Configurazione delle esclusioni a pagina 50
Configurare le impostazioni applicabili alla funzionalità Prevenzione delle minacce, incluse quarantena,
programmi potenzialmente indesiderati ed esclusioni.
Questa sezione include solo opzioni Avanzate.
Tabella 7-24
Sezione
Opzioni avanzate
Opzione
Gestore quarantena Cartella di
quarantena
Definizione
Specifica il percorso per la cartella di quarantena o accetta il
percorso predefinito:
c:\Quarantena
La cartella di quarantena è limitata a 190 caratteri.
Specifica il numero Specifica il numero di giorni (1–999) in cui gli elementi resteranno
massimo di giorni di in quarantena prima di essere automaticamente eliminati. Il valore
conservazione dei
predefinito è 30 giorni.
dati in quarantena
Esclusioni in base
Escludi questi nomi Specifica le esclusioni di rilevamento in base al nome rilevamento.
al nome rilevamento rilevamento
Ad esempio, per specificare che il programma di scansione
all'accesso e su richiesta non rilevino le minacce di verifica
dell'installazione, immettere Installation Check.
Aggiungi – Aggiunge un nome rilevamento all'elenco di esclusioni.
Fare clic su Aggiungi, quindi immettere il nome rilevamento.
Doppio clic su un elemento – Modifica l'elemento selezionato.
Elimina - Rimuove un nome rilevamento dall'elenco di esclusioni.
Selezionare il nome, quindi fare clic su Elimina.
152
Guida del prodotto
7
Tabella 7-24
Opzioni avanzate (segue)
Sezione
Opzione
Definizione
Rilevamenti di
programmi
potenzialmente
indesiderati
Escludere i
programmi
indesiderati
personalizzati
Consente di specificare singoli file o programmi da rilevare come
programmi potenzialmente indesiderati.
I programmi di scansione rilevano i programmi specificati
dall'utente e quelli specificati nei file AMCore content.
Il programma di scansione non rileva programmi indesiderati
definiti dall'utente di dimensioni pari a zero byte.
• Aggiungi – Definisce un programma indesiderato personalizzato.
Fare clic su Aggiungi, immettere il nome, quindi premere Tab per
immettere la descrizione.
• Nome - Specifica il nome del file del programma potenzialmente
indesiderato.
• Descrizione – Specifica le informazioni da visualizzare come
nome rilevamento quando viene rilevato un elemento.
• Elimina – Rimuove un programma potenzialmente indesiderato
dall'elenco.
Selezionare il programma nella tabella, quindi fare clic su Elimina.
Analisi dati
proattiva
Invia dati di utilizzo e diagnostica anonimi a McAfee.
Feedback McAfee
GTI
Attiva il feedback telemetrico basato su McAfee GTI per ottenere
dati anonimi relativi ai file e ai processi in esecuzione sul sistema
client.
Impulso di sicurezza Verifica lo stato del sistema client prima e dopo l'aggiornamento
dei file AMCore content e invia i risultati a McAfee a intervalli
regolari.
I risultati crittografati vengono inviati a McAfee tramite SSL.
Quindi McAfee aggrega e analizza i dati derivanti da questi report
per identificare anomalie che potrebbero indicare potenziali
problemi relativi al contenuto. L'identificazione della richiesta di
tali problemi è fondamentale per provvedere all'immediato
contenimento e risoluzione degli stessi.
L'impulso di sicurezza raccoglie i tipi di dati seguenti:
• Versione sistema operativo e impostazioni locali
• Versione prodotto McAfee
• AMCore content e versione motore
• Informazioni sui processi in esecuzione di McAfee e Microsoft
Reputazione
AMCore content
Esegue un controllo della reputazione McAfee GTI nei file AMCore
content prima dell'aggiornamento del sistema client.
• Se McAfee GTI consente l'accesso al file, Endpoint Security
aggiorna AMCore content.
• Se McAfee GTI non consente l'accesso al file, Endpoint Security
non aggiorna AMCore content.
Vedere anche
Guida del prodotto
153
7
Modifica di AMCore content a una versione precedente.
Opzione
Definizione
Selezionare la versione
da caricare
Specifica i numeri di versione di un file AMCore content precedente da caricare.
Endpoint Security conserva le due versioni precedenti sul sistema client.
Quando si torna a una versione precedente, Endpoint Security rimuove la
versione corrente di AMCore content dal sistema.
Vedere anche
Modifica della versione AMCore content a pagina 27
Attiva e disattiva il modulo Firewall e imposta le opzioni di protezione.
La modalità dell'interfaccia per Client Endpoint Security è impostata su Accesso completo oppure è
necessario essere registrati come amministratore.
McAfee Host IPS è installato e attivato, Firewall Endpoint Security viene disattivato anche se è attivato
nelle impostazioni della policy.
Tabella 7-25
Sezione
Opzioni di
protezione
Opzioni
Opzione
Definizione
Attiva Firewall
Attiva e disattiva il modulo Firewall.
Consenti il traffico
per protocolli non
supportati
Consente tutto il traffico che utilizza protocolli non supportati.
Quando è disattivato, tutto il traffico che utilizza protocolli non
supportati viene bloccato.
Consenti solo
traffico in uscita fino
all'avvio dei servizi
firewall
Consente il traffico in uscita ma non quello in ingresso fino a che il
servizio Firewall non viene avviato.
Se questa opzione è disattivata, Firewall consente tutto il traffico
prima dell'avvio dei servizi.
Consenti traffico con Consente il traffico con un indirizzo MAC incluso nell'intervallo del
bridge
software per VM supportato diverso dall'indirizzo MAC del sistema
locale. Consenti:
• Pacchetti in ingresso con l'indirizzo MAC di destinazione.
• Pacchetti in uscita con l'indirizzo MAC di origine.
Attiva protezione
spoofing IP
Blocca il traffico di rete dagli indirizzi IP host non locali o dai
processi locali che cercano di eseguire lo spoofing degli indirizzi IP.
Attiva regole di
blocco dinamico
Consente ad altri moduli Endpoint Security di creare e aggiungere
regole di blocco in modo dinamico al gruppo regole dinamiche in Client
Endpoint Security.
(Disattivato per impostazione predefinita)
154
Guida del prodotto
7
Tabella 7-25
Sezione
Blocco DNS
Opzioni (segue)
Opzione
Definizione
Attiva avvisi
intrusione firewall
Mostra gli avvisi automaticamente quando Firewall rileva un
potenziale attacco.
Nome di dominio
Specifica i nomi di dominio da bloccare.
Quando applicata, questa impostazione aggiunge una regola nella
parte iniziale delle regole firewall che blocca le connessioni agli
indirizzi IP risolvendo i nomi di dominio.
• Aggiungi - Aggiunge un nome di dominio all'elenco degli elementi
bloccati. Separare più domini con una virgola (,) o un a capo.
È possibile utilizzare i caratteri jolly * e ?. Ad esempio,
*domain.com.
Eventuali voci duplicate saranno rimosse automaticamente.
• Elimina - Rimuove il nome di dominio selezionato dall'elenco degli
elementi bloccati.
Sezione
Opzione
Definizione
Opzioni di
ottimizzazione
Attiva modalità adattiva Crea automaticamente regole per consentire il traffico.
Attiva temporaneamente la modalità adattiva in alcuni sistemi
solamente durante il tuning del Firewall. L'attivazione di questa
modalità può generare un elevato numero di regole client che il
server McAfee ePO deve elaborare e pertanto potrebbe influire
negativamente sulle prestazioni.
Disattiva regole di
funzionalità di base
rete McAfee
Disattiva le regole di funzionalità di rete McAfee integrate (nel
gruppo Regole di funzionalità di base rete McAfee).
L'attivazione di questa opzione potrebbe interrompere le
comunicazioni di rete sul client.
Registra tutto il traffico Registra tutto il traffico bloccato nel registro eventi Firewall
bloccato
(FirewallEventMonitor.log) in Client Endpoint Security.
(Attivato per impostazione predefinita)
Registra tutto il traffico Registra tutto il traffico consentito nel registro eventi Firewall
consentito
(FirewallEventMonitor.log) in Client Endpoint Security.
L'attivazione di questa opzione potrebbe incidere negativamente
sulle prestazioni.
Guida del prodotto
155
7
Sezione
Opzione
Definizione
Reputazione di
Gestisci
Gestisce come un'intrusione il traffico che corrisponde
rete di McAfee GTI corrispondenza McAfee all'impostazione della soglia di blocco McAfee GTI. L'attivazione di
GTI come intrusione
questa opzione visualizza un avviso, invia un evento al server di
gestione e lo aggiunge al file di registro di Client Endpoint
Security.
Qualsiasi indirizzo IP per una rete affidabile viene escluso dalla
ricerca McAfee GTI.
Registra traffico
corrispondente
Gestisce come un rilevamento il traffico che corrisponde
all'impostazione di soglia di blocco McAfee GTI. L'attivazione di
questa opzione invia un evento al server di gestione e lo
aggiunge al file di registro di Client Endpoint Security.
Qualsiasi indirizzo IP per una rete affidabile viene escluso dalla
ricerca McAfee GTI.
Soglia reputazione rete Specifica la soglia di classificazione McAfee GTI per il blocco del
in ingresso/uscita
traffico in ingresso o in uscita da una connessione di rete.
• Non bloccare – Questo sito è una fonte o destinazione legittima di
contenuti/traffico.
• Rischio elevato – Questa origine/destinazione invia o ospita
contenuti/traffico potenzialmente nocivi che McAfee considera
rischiosi.
• Rischio medio – Questa origine/destinazione mostra il
comportamento che McAfee considera sospetto. Qualsiasi
contenuto/traffico da questo sito richiede attenzione speciale.
• Non verificato – Questo sito sembra essere una fonte o
destinazione legittima di contenuti/traffico, ma presenta anche
proprietà che suggeriscono la necessità di un'ulteriore verifica.
Firewall con stato
Utilizza ispezione
protocollo FTP
Consente il rilevamento delle connessioni FTP in modo che
necessitino di una sola regola firewall per il traffico client FTP in
uscita e per il traffico server FTP in ingresso.
Se non è selezionata, le connessioni FTP richiedono una regola
separata per il traffico client FTP in ingresso e per il traffico
server FTP in uscita.
Numero di secondi
(1-240) prima della
scadenza delle
connessioni TCP
Specifica il tempo, in secondi, per cui una connessione TCP non
stabilita rimane attiva se non vengono più inviati o ricevuti
pacchetti che corrispondono alla connessione. L'intervallo valido è
1–240.
Numero di secondi
(1-300) prima della
scadenza delle
connessioni virtuali
UDP ed eco ICMP
Specifica il tempo, in secondi, in cui una connessione virtuale
UDP ed echo ICMP rimane attiva se non vengono più inviati o
ricevuti pacchetti che corrispondono alla connessione. Questa
opzione viene reimpostata al proprio valore predefinito ogni volta
che viene inviato o ricevuto un pacchetto che corrisponde alla
connessione virtuale. L'intervallo valido è 1–300.
Vedere anche
156
Guida del prodotto
7
Firewall – Regole
Firewall – Regole
Gestione di regole e gruppi firewall.
È possibile aggiungere ed eliminare regole e gruppi solo nel gruppo Aggiunto dall'utente. Firewall sposta
automaticamente in questo gruppo le nuove regole aggiunte.
Tabella 7-27 Opzioni
Sezione Opzione
Definizione
REGOLE
Crea una regola firewall.
Aggiungi regola
Regola Gruppo
Per ulteriori informazioni vedere Aggiungi regola o
Modifica regola, Aggiungi gruppo o Modifica gruppo
a pagina 157.
Aggiungi gruppo
Crea un gruppo firewall.
Doppio clic su un
elemento
Duplica
Crea una copia dell'elemento selezionato.
Elimina
Rimuove un elemento firewall selezionato.
Indica gli elementi che possono essere spostati
nell'elenco.
Selezionare degli elementi, quindi trascinarli e
rilasciarli nella nuova posizione. Viene visualizzata
una riga blu tra gli elementi dove è possibile
rilasciare gli elementi trascinati.
Vedere anche
Aggiungi regola o Modifica regola, Aggiungi gruppo o Modifica gruppo a pagina 157
Aggiungi regola o Modifica regola, Aggiungi gruppo o Modifica
gruppo
Aggiunge o modifica le regole e i gruppi firewall.
Tabella 7-28
Opzioni
Sezione
Opzione
Definizione
Descrizione
Nome
Specifica il nome descrittivo dell'elemento
(obbligatorio).
Stato
Attiva o disattiva l'elemento.
Specifica azioni
Consenti – Consente il traffico tramite il firewall se
l'elemento corrisponde.
Regola Gruppo
Blocca – Blocca il traffico tramite il firewall se l'elemento
corrisponde.
Guida del prodotto
157
7
Firewall – Regole
Tabella 7-28
Sezione
Opzioni (segue)
Opzione
Definizione
Regola Gruppo
Gestisci corrispondenza come intrusione – Gestisce il traffico
che corrisponde alla regola come un'intrusione.
L'attivazione di questa opzione visualizza un avviso,
invia un evento al server di gestione e lo aggiunge al
file di registro di Client Endpoint Security.
Non è consigliata l'attivazione di questa opzione per
una regola Consenti poichè questa è presente in molti
eventi.
Registra traffico corrispondente – Gestisce il traffico che
corrisponde alla regola come un rilevamento.
L'attivazione di questa opzione invia un evento al
server di gestione e lo aggiunge al file di registro di
Direzione
Specifica la direzione:
• Entrambe – Monitora il traffico in ingresso e quello in
uscita.
• Ingresso – Monitora il traffico in ingresso.
• Uscita – Monitora il traffico in uscita.
Posizione
Note
Attiva
riconoscimento
della posizione
Attiva o disattiva le informazioni di posizione per il
gruppo.
Nome
Specifica il nome della posizione (obbligatorio).
Attiva isolamento
connessione
Blocca il traffico su schede di rete che non
corrispondono al gruppo quando è presente una
scheda che corrisponde al gruppo.
Le impostazioni per Trasporto ed Eseguibili non sono
disponibili per i gruppi di isolamento della
connessione.
Questa opzione blocca l'ingresso nella rete aziendale
del traffico generato da origini potenzialmente
indesiderate esterne alla rete. Questo tipo di blocco del
traffico è possibile solo se il traffico non è già stato
consentito da una regola che precede il gruppo nel
firewall.
Quando l'isolamento connessione è attivato e una
scheda NIC corrisponde al gruppo, il traffico viene
consentito solo se si applica una delle seguenti
condizioni:
• Il traffico corrisponde a una Regola di consenso prima
del gruppo.
• Il traffico che passa per la scheda NIC corrisponde al
gruppo ed è presente una regola nel gruppo o dopo
di esso che lo consente.
Se nessuna scheda NIC corrisponde al gruppo, questo
viene ignorato e prosegue il tentativo di far
corrispondere le regole.
158
Guida del prodotto
Firewall – Regole
Tabella 7-28
Sezione
7
Opzioni (segue)
Opzione
Definizione
Regola Gruppo
Richiede la
raggiungibilità di
McAfee ePO
Attiva la corrispondenza del gruppo solo se presente la
comunicazione con il server McAfee ePO e se l'FQDN
del server è stato risolto.
Criteri posizione
• Suffisso DNS specifico per la connessione – Indica un suffisso
DNS specifico per la connessione con formato:
esempio.com.
• Gateway predefinito – Specifica un unico indirizzo IP per
un gateway predefinito con formato IPv4 o IPv6.
• Server DHCP – Specifica un unico indirizzo IP per un
server DHCP con formato IPv4 o IPv6.
• Server DNS – Specifica un unico indirizzo IP per un
server DNS con formato IPv4 o IPv6.
• Server WINS principale – Specifica un unico indirizzo IP
per un server WINS principale con formato IPv4 o
IPv6.
• Server WINS secondario – Specifica un unico indirizzo IP
per un server WINS secondario con formato IPv4 o
IPv6.
• Raggiungibilità dominio (HTTPS) – Richiede che il dominio
specificato sia raggiungibile tramite HTTPS.
• Chiave di registro – Specifica la chiave di registro e il
relativo valore.
2 Nella colonna Valore, specificare la chiave di registro
con il formato:
<ROOT>\<KEY>\[VALUE_NAME]
• <ROOT> – Deve indicare il nome completo della
directory principale, come
HKEY_LOCAL_MACHINE e non l'HKLM
abbreviato.
• <KEY> – È il nome chiave sotto la directory
principale.
• [VALUE_NAME] – È il nome del valore chiave.
Se non viene incluso il nome del valore, si
presume sia il valore predefinito.
Formati di esempio:
• IPv4 – 123.123.123.123
• IPv6 – 2001:db8:c0fa:f340:9219:
bd20:9832:0ac7
Gli indirizzi IPv6 non sono supportati nei sistemi
operativi Macintosh.
Specifica le opzioni host di rete applicabili all'elemento.
Reti
Protocollo di rete
Specifica il protocollo di rete applicabile all'elemento.
Guida del prodotto
159
7
Firewall – Regole
Tabella 7-28
Sezione
Opzioni (segue)
Opzione
Definizione
Qualsiasi
protocollo
Consente sia i protocolli IP sia quelli non IP.
Regola Gruppo
Se viene specificato un protocollo di trasporto o
un'applicazione, sono consentiti solo i protocolli IP.
Protocollo IP
Esclude i protocolli non IP.
• Protocollo IPv4
• Protocollo IPv6
Se nessuna casella di controllo è selezionata, è
applicabile qualsiasi protocollo IP. Possono essere
selezionati entrambi i protocolli: IPv4 e IPv6.
Protocollo non IP
Include solo i protocolli non IP.
• Selezionare EtherType dall'elenco – Specifica un EtherType.
• Specificare EtherType personalizzato – Specifica i quattro
caratteri del valore esadecimale EtherType del
protocollo non IP. Vedere Numeri Ethernet per i
valori EtherType. Ad esempio, immettere 809B per
AppleTalk, 8191 per NetBEUI o 8037 per IPX.
Tipi di
connessione
Indica se uno o tutti i tipi di connessione sono
applicabili:
• Cablata
• Wireless
• Virtuale
Un tipo di connessione Virtuale consiste in un
adattatore presentato da una VPN o
un'applicazione macchina virtuale, come VMware,
piuttosto che un adattatore fisico.
Specifica reti
Specifica le reti applicabili all'elemento.
• Aggiungi – Crea e aggiunge una rete.
Per ulteriori informazioni vedere Aggiungi rete o
Modifica rete a pagina 164.
• Doppio clic su un elemento – Modifica l'elemento
selezionato.
• Elimina – Rimuove la rete dall'elenco.
Trasporto
160
Specifica le opzioni di trasporto applicabili all'elemento.
Guida del prodotto
Firewall – Regole
Tabella 7-28
Sezione
7
Opzioni (segue)
Opzione
Definizione
Protocollo di
trasporto
Specifica il protocollo di trasporto associato
all'elemento.
Regola Gruppo
Selezionare il protocollo, quindi fare clic su Aggiungi per
aggiungere porte.
• Tutti i protocolli – Sono consentiti i protocolli IP, non IP
e non supportati.
• TCP e UDP – Dal menu a discesa, selezionare:
• Porta locale – Specifica il servizio o la porta del
traffico locale ai quali è applicabile l'elemento.
• Porta remota – Specifica il servizio o la porta su un
altro computer ai quali è applicabile l'elemento.
Porta locale e Porta remota possono essere:
• Un singolo servizio. Ad esempio, 23.
• Un intervallo. Ad esempio, 1–1024.
• Un elenco separato da virgole di singole porte e
intervalli. Ad esempio, 80, 8080, 1–10, 8443 (fino
a 4 elementi).
Per impostazione predefinita, le regole sono
applicabili a tutti i servizi e porte.
• ICMP – Nel menu a discesa Tipo di messaggio, specificare
un tipo di messaggio ICMP. Vedere ICMP.
• ICMPv6 – Nel menu a discesa Tipo di messaggio,
specificare un tipo di messaggio ICMP. Vedere
ICMPv6.
• Altro – Esegue la selezione da un elenco di protocolli
meno comuni.
Eseguibili
Specifica gli eseguibili applicabili alla regola.
• Aggiungi – Crea e aggiunge un eseguibile.
Per ulteriori informazioni vedere Aggiungi eseguibile
o Modifica eseguibile a pagina 163.
• Doppio clic su un elemento – Modifica l'elemento
selezionato.
• Elimina – Rimuove un eseguibile dall'elenco.
Pianificazione
Specifica le impostazioni di pianificazione per la regola
o il gruppo.
Guida del prodotto
161
7
Firewall – Regole
Tabella 7-28
Sezione
Opzioni (segue)
Opzione
Definizione
Attiva
pianificazione
Attiva la pianificazione per la regola o il gruppo a
tempo.
Regola Gruppo
Con la pianificazione disattivata, la regola o le
regole nel gruppo non vengono applicate.
• Ora di inizio – Specifica l'ora di inizio per l'attivazione
della pianificazione.
• Ora di fine – Specifica l'ora per la disattivazione della
pianificazione.
• Giorni della settimana – Specifica i giorni della
settimana per l'attivazione della pianificazione.
Per l'ora di inizio e di fine, utilizzare un formato orario
di 24 ore. Ad esempio, 13:00 = 1:00 PM.
È possibile pianificare i gruppi a tempo di Firewall o
consentire all'utente di attivarli dall'icona della barra
delle applicazioni di McAfee.
Disattiva
pianificazione e
attiva il gruppo
dall'icona della
barra delle
applicazioni di
sistema McAfee
Specifica che l'utente può attivare il gruppo a tempo
per un numero definito di minuti dall'icona della barra
delle applicazioni di sistema di McAfee anziché
utilizzando la pianificazione.
Utilizzare questa opzione per consentire un ampio
accesso di rete, ad esempio in un hotel, prima di poter
stabilire una connessione VPN.
Selezionando questa opzione vengono visualizzate più
opzioni di menu in Impostazioni rapide, nell'icona della
barra delle applicazioni di sistema di McAfee:
• Attiva gruppi a tempo Firewall – Attiva i gruppi a tempo per
un periodo definito per consentire l'accesso a
Internet non in rete prima dell'applicazione di regole
che limitano l'accesso.
Ogni volta che si seleziona questa opzione, si
reimposta il tempo per i gruppi.
• Visualizza gruppi a tempo Firewall – Visualizza i nomi dei
gruppi a tempo e il periodo rimanente di attività di
ciascun gruppo.
È possibile pianificare i gruppi a tempo di Firewall o
consentire all'utente di attivarli dall'icona della barra
delle applicazioni di McAfee.
Numero di minuti
(1-60) per attivare
il gruppo
162
Specifica il numero di minuti (1–60) di attivazione del
gruppo a tempo dopo la selezione di Attiva gruppi a tempo
Firewall dall'icona della barra delle applicazioni di
sistema di McAfee.
Guida del prodotto
7
Firewall – Regole
Vedere anche
Creazione di gruppi a tempo a pagina 88
Attivare o visualizzare i gruppi a tempo Firewall a pagina 77
Aggiungi rete o Modifica rete a pagina 164
Aggiungi eseguibile o Modifica eseguibile a pagina 163
Aggiungi eseguibile o Modifica eseguibile
Aggiunge o modifica un eseguibile associato a una regola o gruppo.
Tabella 7-29
Opzioni
Opzione
Definizione
Nome
Specifica il nome assegnato all'eseguibile.
Questo campo è obbligatorio ed è necessario almeno un altro campo: Nome o percorso
file, Descrizione del file, Hash MD5 o firmatario.
Nome o percorso
file
Specifica il nome o percorso file dell'eseguibile da aggiungere o modificare.
Fare clic su Sfoglia per selezionare l'eseguibile.
Il percorso file può contenere caratteri jolly.
Descrizione del file
Indica la descrizione del file.
Hash MD5
Indica l'hash MD5 (numero esadecimale a 32 cifre) del processo.
Firmatario
Attiva controllo firma digitale – Garantisce che il codice non sia stato modificato o corrotto
dalla sua firma con un hash crittografico.
Se attivato, specificare:
• Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di processo.
• Autore firma – Consente solo i file firmati dal firmatario del processo specificato.
È necessario un nome distinto firmatario (SDN) per l'eseguibile, che deve
corrispondere esattamente alle voci nel relativo campo, inclusi virgole e spazi.
Per ottenere l'SDN di un eseguibile:
1 Fare clic con il pulsante destro del mouse su un eseguibile e selezionare Proprietà.
2 Nella scheda Firme digitali, selezionare un firmatario e fare clic su Dettagli.
3 Nella scheda Generale, fare clic su Visualizza certificato.
4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il nome
distinto del firmatario. Ad esempio, Firefox dispone di questo SDN:
Note
• CN = Mozilla Corporation
• L = Mountain View
• OU = Release Engineering
• S = California
• O = Mozilla Corporation
• C = Stati Uniti
Guida del prodotto
163
7
Firewall – Regole
Aggiungi rete o Modifica rete
Aggiunge o modifica una rete associata a una regola o gruppo.
Tabella 7-30
Opzione
Definizione
Nome
Specifica il nome dell'indirizzo di rete (obbligatorio).
Tipo
Consente di selezionare:
Regola Gruppo
• Rete locale – Crea e aggiunge una rete locale.
• Rete remota – Crea e aggiunge una rete remota.
Aggiungi
Aggiunge un tipo di rete all'elenco di reti.
Doppio clic su un
elemento
Elimina
Elimina l'elemento selezionato.
Tipo di indirizzo
Specifica l'origine o la destinazione del traffico. Selezionare
dall'elenco a discesa Tipo di indirizzo.
Per un elenco dei tipi di indirizzo vedere Tipo di indirizzo a
pagina 164.
Specifica l'indirizzo IP da aggiungere alla rete.
Indirizzo
I caratteri jolly sono validi.
Vedere anche
Tipo di indirizzo a pagina 164
Tipo di indirizzo
Specificare il tipo di indirizzo per una specifica rete.
Gli indirizzi IPv6 non sono supportati nei sistemi operativi Macintosh.
Tabella 7-31
Opzioni
Opzione
Definizione
IP singolo
Specifica un particolare indirizzo IP. Ad esempio:
• IPv4 – 123.123.123.123
• IPv6 – 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Sottorete
Specifica l'indirizzo della sottorete di qualsiasi adattatore nella rete. Ad esempio:
• IPv4 – 123.123.123.0/24
• IPv6 – 2001:db8::0/32
Sottorete locale
Specifica l'indirizzo della sottorete dell'adattatore locale.
Intervallo
Specifica un intervallo di indirizzi IP. Inserire il punto di inizio e il punto di fine
dell'intervallo. Ad esempio:
• IPv4 – 123.123.1.0 – 123.123.255.255
• IPv6 – 2001:db8::0000:0000:0000:0000 –
2001:db8::ffff:ffff:ffff:ffff
Nome di dominio
completo
164
Specifica l'FQDN. Ad esempio, www.esempio.com.
Guida del prodotto
7
Tabella 7-31
Opzioni (segue)
Opzione
Definizione
Qualsiasi indirizzo IP
locale
Specifica qualsiasi indirizzo IP locale.
Qualsiasi indirizzo IPv4
Specifica qualsiasi indirizzo IPv4.
Qualsiasi indirizzo IPv6
Specifica qualsiasi indirizzo IPv6.
Configura le impostazioni generali di Controllo Web, che includono l'attivazione, la specifica
dell'imposizione di azioni, la ricerca sicura e le annotazioni email.
Tabella 7-32
Opzioni
Sezione
Opzione
Definizione
OPZIONI
Attiva Controllo Web
Disattiva o attiva Controllo Web. (Attivato per impostazione
predefinita)
Nascondi barra degli
strumenti nel browser
client
Nasconde la barra degli strumenti di Controllo Web nel browser
senza disattivarne le funzionalità. (Disattivato per impostazione
predefinita)
Registrazione
eventi
Registra categorie Web Registra le categorie di contenuti per tutti i siti classificati come
per siti classificati come verdi.
verdi
La disattivazione di questa funzione può incidere negativamente
sulle performance del server McAfee ePO.
Registra eventi iFrame
Controllo Web
Imposizione
azione
Registra il blocco dei siti pericolosi (rossi) e con avviso (gialli)
visualizzati in un iframe HTML.
Applica questa azione
Specifica l'azione predefinita da applicare ai siti non ancora
ai siti non ancora
classificati da McAfee GTI.
verificati da McAfee GTI
• Consenti (opzione predefinita) – Consente agli utenti di accedere
al sito.
• Avvisa – Mostra un avviso per informare gli utenti delle potenziali
minacce associate al sito. Gli utenti dovranno chiudere l'avviso
per poter procedere.
• Blocca – Impedisce agli utenti di accedere al sito e mostra un
messaggio che indica il blocco del download del sito.
Attiva supporto di
iFrame HTML
Blocca l'accesso ai siti pericolosi (Rosso) e con avviso (Giallo )
visualizzati in un iframe HTML. (Attivato per impostazione
predefinita)
Blocca siti per
impostazione
predefinita se il server
delle classificazioni
McAfee GTI non è
raggiungibile
Blocca l'accesso ai siti Web per impostazione predefinita se
Controllo Web non può raggiungere il server McAfee GTI.
Blocca pagine di
phishing per tutti i siti
Blocca tutte le pagine di phishing, sovrascrivendo le azioni di
classificazione dei contenuti. (Attivato per impostazione
predefinita)
Guida del prodotto
165
7
Tabella 7-32
Sezione
Opzioni (segue)
Opzione
Definizione
Attiva scansione file per Esegue la scansione di tutti i file
il download di file
(.zip, .exe, .ecx, .cab, .msi, .rar, .scr, and .com) prima del
download. (Attivato per impostazione predefinita)
Questa opzione impedisce agli utenti di accedere a un file scaricato
fino a quando Controllo Web e Prevenzione delle minacce lo
contrassegnano come non infetto.
Controllo Web esegue una ricerca McAfee GTI nel file. Se McAfee
GTI consente l'accesso al file, Controllo Web invia il file a
Prevenzione delle minacce per la scansione. Se un file scaricato
viene rilevato come minaccia, Endpoint Security non intraprende
alcuna azione sul file e avvisa l'utente.
Livello di sensibilità di
McAfee GTI
Specifica il livello di sensibilità di McAfee GTI da utilizzare
quandoControllo Web esegue la scansione dei file scaricati.
Intervallo IP privato
Configura Controllo Web per non eseguire classificazioni o azioni
sull'intervallo di indirizzi IP privati specificato.
• Aggiungi – Aggiunge un indirizzo IP privato all'elenco degli indirizzi
da escludere dalla classificazione o dal blocco.
• Elimina – Elimina un indirizzo IP dall'elenco di indirizzi da
escludere dalla classificazione o dal blocco.
Ricerca sicura
Attiva ricerca sicura
La ricerca sicura blocca automaticamente i siti dannosi nei risultati
di ricerca in base alla classificazione della sicurezza.
Imposta il motore di
ricerca predefinito nei
browser supportati
Specifica il motore di ricerca predefinito da utilizzare nei browser
supportati:
• Yahoo
• Google
• Bing
• Ask
Blocca i link a siti
rischiosi nei risultati di
ricerca
Impedisce agli utenti di fare clic su link a siti rischiosi nei risultati
di ricerca.
Sezione
Opzione
Definizione
Annotazioni email Attiva annotazioni nelle email basate su Prende nota degli URL nei client email basati su
browser
browser, come Yahoo Mail e Gmail.
Attiva annotazioni nelle email non
basate su browser
Prende nota degli URL negli strumenti di gestione
delle email a 32 bit, come Microsoft Outlook o
Outlook Express.
Vedere anche
Configurazione delle opzioni Controllo Web a pagina 98
Come viene eseguita la scansione dei download di file a pagina 100
166
Guida del prodotto
7
Definisce le azioni da intraprendere per siti e categorie di contenuti Web classificati.
Per i siti e i download di file nelle categorie non bloccate, Controllo Web applica le azioni di
classificazione.
Tabella 7-35
Opzioni
Sezione
Opzione
Definizione
Azioni di
classificazione
Azioni di
Specifica le azioni per i siti classificati come rossi, gialli oppure non
classificazione per classificati.
siti
Siti e download classificati come verdi vengono consentiti
automaticamente.
• Consenti – Consente agli utenti di accedere al sito.
(Opzione predefinita per i siti classificati come Non classificato)
• Avvisa – Mostra un avviso per informare gli utenti delle potenziali
minacce associate al sito.
Fare clic su Annulla per ritornare alla pagina precedente o su Continua
per procedere al sito.
Se in precedenza non sono stati visitati altri siti, Annulla non è
disponibile.
(Opzione predefinita per i siti classificati come Giallo)
• Blocca – Impedisce agli utenti di accedere al sito e mostra un
messaggio che indica il blocco del sito.
Fare clic su OK per ritornare alla pagina precedente.
Se in precedenza non sono stati visitati altri siti, OK non è
disponibile.
(Opzione predefinita per i siti classificati come Rosso)
Azioni di
Specifica le azioni per i download di file classificati come rossi, gialli o
classificazione per non classificati.
i download di file
Queste Azioni di classificazione sono applicabili solo quando Attiva
scansione file per il download di file è attivato nelle impostazioni della Opzioni.
• Consenti – Consente agli utenti di procedere con il download.
(Opzione predefinita per i siti classificati come Non classificato)
• Avvisa – Visualizza un avviso per segnalare agli utenti i potenziali
pericoli associati al file di download. L'avviso va chiuso prima di
terminare o di procedere con il download.
(Opzione predefinita per i siti classificati come Giallo)
• Blocca - Un messaggio segnala il blocco del download e impedisce
agli utenti di scaricare il file.
(Opzione predefinita per i siti classificati come Rosso)
Per personalizzare il messaggio, è possibile utilizzare le opzioni in
Messaggi di imposizione.
Guida del prodotto
167
7
Sezione
Opzione
Definizione
Blocco categoria Web Attiva blocco categoria Web Attiva il blocco dei siti in base alla categoria di contenuto.
Blocca
Impedisce agli utenti di accedere a qualsiasi sito che rientra
in questa categoria e mostra un messaggio che indica il
blocco del sito.
Categoria Web
Elenca le categorie Web.
Vedere anche
Specificare azioni di classificazione e bloccare l'accesso ai siti in base alla categoria Web a
pagina 101
Uso delle classificazioni di sicurezza per controllare l'accesso a pagina 102
Uso delle categorie Web per controllare l'accesso a pagina 101
Configurare le impostazioni di Intelligence sulle minacce.
Tabella 7-37
Opzioni
Sezione
Opzione
Definizione
Opzioni
Attiva Intelligence sulle
minacce
Attiva il modulo Intelligence sulle minacce.
Consenti al server
Intelligence sulle minacce
di raccogliere dati
diagnostici e di utilizzo
anonimi
Specificare se consentire al server Intelligence sulle minacce di
inviare a McAfee informazioni sul file anonime.
Utilizzare la reputazione
Se il server Intelligence sulle minacce non è disponibile, è
file McAfee GTI se il server possibile ottenere informazioni sulla reputazione del file dal
Intelligence sulle minacce proxy Global Threat Intelligence.
non è raggiungibile
Impedisce agli utenti di modificare le impostazioni di
modificare le impostazioni Intelligence sulle minacce.
(solo client Intelligence
sulle minacce 1.0)
Assegnazione
regole
Produttività
Assegna il gruppo regole Produttività alla policy.
Utilizzare il gruppo di regole Produttività per sistemi a modifica
elevata con installazioni e aggiornamenti software frequenti.
Questo gruppo utilizza il minor numero di regole. Gli utenti
ricevono richieste e blocchi minimi quando vengono rilevati
nuovi file.
Bilanciato
Assegna il gruppo regole Bilanciato alla policy.
Utilizzare questo gruppo di regole per sistemi business tipici
con nuovo software e modifiche infrequenti.
Questo gruppo utilizza più regole e gli utenti ricevono più
richieste e blocchi rispetto al gruppo Produttività.
168
Guida del prodotto
7
Tabella 7-37
Sezione
Opzioni (segue)
Opzione
Definizione
Sicurezza
Assegna il gruppo regole Sicurezza alla policy.
Utilizzare il gruppo di regole Sicurezza per sistemi a modifica
ridotta, quali sistemi e server gestiti dal reparto IT con stretto
controllo.
Gli utenti ricevono più richieste e blocchi rispetto al gruppo
Bilanciato.
Imposizione
azione
Attiva modalità di
osservazione
Raccoglie i dati e li invia al server, senza però imporre la policy.
Questa opzione consente di osservare l'effetto della policy
senza eseguirla.
Blocca quando la soglia di Blocca i file quando la reputazione raggiunge una soglia
reputazione raggiunge
specifica e specifica la soglia:
• Elemento dannoso noto
• Sconosciuto
• Probabilmente dannoso
• Possibilmente affidabile
• Possibilmente dannoso
(opzione predefinita)
• Probabilmente affidabile
Se nell'ambiente viene tentata l'esecuzione di un file con
questo livello di reputazione, il file non verrà eseguito, ma non
verrà rimosso. Se un file è sicuro e si desidera eseguirlo,
modificarne la reputazione impostandola su un livello che ne
consenta l'esecuzione, ad esempio Probabilmente affidabile.
Ripulisci quando la soglia
di reputazione raggiunge
Ripulisce i file quando la reputazione raggiunge una soglia
• Elemento dannoso noto (opzione predefinita)
• Sconosciuto
Utilizzare questa opzione con reputazioni file di tipo Elemento
dannoso noto perché è possibile che un file venga rimosso
con la pulizia.
Guida del prodotto
169
7
Sezione
Opzione
Descrizione
Messaggistica utente
rilevamento minacce
Visualizza notifiche di
minaccia per l'utente
Visualizza notifiche di minaccia per l'utente.
Notifica l'utente quando la Notifica l'utente quando la reputazione raggiunge una soglia
soglia di reputazione
raggiunge
• Sconosciuto (opzione
predefinita)
• Possibilmente affidabile
Il livello di richiesta non può essere in conflitto con le
impostazioni di Esegui pulizia o Blocca. Se ad esempio si
bloccano i file sconosciuti, non sarà possibile impostare
questo campo su Probabilmente dannoso, poiché è
associato a una minaccia alla sicurezza maggiore rispetto a
Sconosciuto.
Azione predefinita
Specifica l'azione da eseguire se l'utente non risponde alla
richiesta:
• Consenti
• Blocca (opzione predefinita)
Specifica durata (minuti)
del timeout
Specifica il numero di minuti da attendere prima che venga
eseguita l'azione predefinita.
L'impostazione predefinita è 5 minuti.
Advanced Threat
Defense
Messaggio
Specifica il testo che verrà visualizzato dall'utente quando
viene rilevato il tentativo di esecuzione di un file che
soddisfa i criteri di visualizzazione delle richieste.
Disattivare le notifiche di
minaccia se il server
non è raggiungibile
Disattiva le richieste se il server non è disponibile, in modo
che gli utenti non visualizzino le richieste relative a file con
reputazioni non disponibili.
Inviare i file non ancora
verificati a McAfee
Advanced Threat Defense
per l'analisi
Specificare quando devono essere inviati file eseguibili a
McAfee Advanced Threat Defense per l'analisi.
È possibile specificare informazioni per il server Advanced
Threat Defense nella policy di gestione per il server
Intelligence sulle minacce.
I file vengono inviati quando si verifica quanto segue:
• Il server Intelligence sulle minacce non dispone di
informazioni di Advanced Threat Defense sul file.
• Il livello di reputazione del file è uguale o inferiore a
quello specificato.
• Il limite di dimensione del file è uguale o inferiore a quello
specificato.
170
Guida del prodotto
7
Sezione
Opzione
Descrizione
Invia file quando la soglia
di reputazione raggiunge
Invia i file a Advanced Threat Defense quando la
reputazione raggiunge una soglia specifica:
• Sconosciuto (opzione predefinita)
Limita dimensione (MB) a
Specifica le dimensioni dei file inviati a Advanced Threat
Defense tra 1 e 10 MB.
L'impostazione predefinita è 5 MB.
Guida del prodotto
171
7
172
Guida del prodotto
Indice
A
account utente, controllo dell'accesso al client 31
adattatore di rete, consenso alla connessione 82
Advanced Threat Defense 109
inviare file a 111
utilizzato per la determinazione delle reputazioni 106
adware, informazioni 48
aggiornamenti
annullamento 21
opzione Aggiorna sicurezza 10
pulsante Aggiorna ora, Client Endpoint Security 21
aggiornamenti manuali, esecuzione 21
aggiornamenti prodotto
pianificazione dal client 37
ricerca manuale 21
verifica manuale 10
aggiornamenti software
pianificazione dal client 37
ricerca manuale 21
verifica manuale 10
aggiornamenti su richiesta, vedere aggiornamenti manuali,
esecuzione
aggiornamenti, componenti software client 8
aggiornamenti, Endpoint Security
aggiornamento client predefinito, configurazione 35
configurazione del comportamento 33
configurazione e pianificazione dal client 37
configurazione siti di origine per aggiornamenti 33
aggiornamenti, Prevenzione delle minacce
panoramica 9
ricerca manuale 21
verifica manuale 10
aggiornamenti, Threat Prevention
file di contenuto 8
file Extra.DAT 28
aggiornamento, prevenzione delle minacce
attività di aggiornamento client predefinito, informazioni 36
amministratori
accesso a Client Endpoint Security 25
definiti 8
password 26
password predefinita 12
annullamento scansione 65
App di Windows Store, rilevamento minacce 70
app Windows Store, rilevazione minacce 65
app, Windows Store 65, 70
archivi, specifica delle opzioni di scansione 64, 69
aree commenti, Web Control 97
attacchi basati su heap, exploit di overflow del buffer 60
attacchi basati su stack, exploit di overflow del buffer 60
attacchi, exploit di overflow del buffer 60
attività aggiornamento predefinito client
configurazione siti di origine per aggiornamenti 33
attività client di aggiornamento del prodotto
elenco degli archivi 35
informazioni 35
attività di aggiornamento client predefinito 36
configurazione 35
pianificazione con Client Endpoint Security 37
attività di aggiornamento predefinito, vedere attività, Client
Endpoint Security
attività di mirroring
configurazione e pianificazione 38
informazioni 39
attività, Client Endpoint Security
aggiornamento client predefinito, configurazione 35
aggiornamento client predefinito, pianificazione 37
aggiornamento predefinito, configurazione e pianificazione
37
attività di mirroring, informazioni 39
configurazione e pianificazione delle attività di mirroring 38
attività, Prevenzione delle minacce
aggiornamento client predefinito, informazioni 36
Scansione completa e scansione rapida, pianificazione 74
scansioni personalizzate, pianificazione 74
attività, Threat Prevention
Scansioni completa e rapida, informazioni 41
autogestito, informazioni 20
autonomo, vedere autogestito, informazioni
Autoprotezione, configurazione 29
avvisi, Firewall 11
avvisi, Prevenzione delle minacce
panoramica scansione all'accesso 65
avvisi, Threat Prevention
panoramica della scansione su richiesta 70
azioni, Prevenzione delle minacce
esecuzione degli elementi in quarantena 46
Guida del prodotto
173
Indice
azioni, Threat Prevention
consentire agli utenti di ripulire ed eliminare i file infetti 64,
69
programmi indesiderati 63
specifica delle operazioni necessarie al rilevamento di una
minaccia 64, 69
B
backup, specifica delle opzioni di scansione 64, 69
bloccare file e certificati 111
Blocco modalità di interfaccia client
e impostazioni delle policy 14
browser
attivazione del plug-in 96
disattivazione plug-in Controllo Web 98
supportati 91, 97
visualizzazione informazioni su un sito 97
C
cache di scansione
scansioni all'accesso 65
scansioni su richiesta 70
cache di scansione globale
cache, scansione globale
caratteri jolly
nelle esclusioni 51
nelle esclusioni a livello di root 51
uso nelle esclusioni 51
uso nelle regole firewall 87
cartelle
caratteri jolly nelle esclusioni 51
configurazione per la quarantena 64
esecuzione di scansioni 44
gestione della quarantena 46
restrizione dell'accesso 53
ripetizione della scansione in quarantena 49
categorie di contenuto, vedere categorie Web
categorie Web, blocco o avviso in base a 101
certificati
come vengono determinate le reputazioni 106
chiavi di registro, restrizione dell'accesso 53
Chrome
browser supportati 91, 97
pulsanti Controllo Web 93
visualizzazione di informazioni su un sito 97
classificazioni di sicurezza
configurazione delle azioni per siti e download 101
controllo dell'accesso ai siti 102
Controllo Web e 91
174
classificazioni di sicurezza (segue)
icone di sicurezza 94
ottenimento delle classificazioni dei siti web 95
classificazioni, sicurezza, vedere classificazioni di sicurezza
classificazioni, Web Control, vedere classificazioni di sicurezza
client, vedere Endpoint Security Client
Client di protezione McAfee, vedere Endpoint Security Client
Client Endpoint Security
accesso come amministratore 25
aggiornamento della protezione 21
attività di aggiornamento client predefinito, configurazione
35
attività di aggiornamento client predefinito, informazioni 36
attività di aggiornamento client predefinito, pianificazione
37
attività di aggiornamento personalizzate, creazione 37
attività di mirroring, configurazione e pianificazione 38
attività di mirroring, informazioni 39
configurazione siti di origine per aggiornamenti client 33
impostazioni policy 14
interazione con 9
moduli 14
registri, informazioni 23
Scansione completa e scansione rapida, pianificazione 74
tipi di gestione 8
visualizzazione Registro eventi 22
Client McAfee, vedere Endpoint Security Client
colori, pulsanti Controllo Web 93
Configurazione
Intelligence sulle minacce 110
configurazione, bridging server TIE 106
consentire file e certificati 111
Controllo Web
attivazione 98
Client Endpoint Security 14
come viene eseguita la scansione dei download di file 100
configurazione 98
e siti bloccati 92
e siti segnalati 92
file di registro 23
funzionalità 91
informazioni su 7
menu 93
pulsanti, descrizione 93
registro attività 23
registro di debug 23
visualizzazione rapporti sul sito 97
credenziali, amministratore predefinito 12
credenziali, elenco degli archivi 35
D
Data Exchange Layer
informazioni 106
Guida del prodotto
Indice
Desktop remoto, e funzione di scansione quando il sistema è
inattivo 71
dialer, informazioni 48
domande frequenti, McAfee GTI 79
domini, blocco 79
download
comportamento blocchi e avvisi 92
download di file
blocco da siti sconosciuti 98
blocco o avviso in base alle classificazioni 101
scansione con Prevenzione delle minacce 100
E
elenco degli archivi
panoramica 35
posizione sul client 35
preferenza dell'ordine, elenco degli archivi 35
Endpoint Security Client
apertura 10, 17
configurazione delle impostazioni di sicurezza 31
gestione dei rilevamenti di minacce 45
informazioni 12
protezione con una password 31
ricerca di malware 41
Riepilogo minacce 13
sblocco dell'interfaccia 26
scansioni di sistema 41
tipi di gestione 20
visualizzazione di informazioni sulla protezione 20
visualizzazione guida 18
Endpoint Security, come protegge il computer 8
Endpoint Security, gestione 25
errori, aggiornamento 21
esclusioni
a livello di root 51
configurazione 50
nome rilevamento 64
protezione dell'accesso, basata su policy e basata su regole
59
scansione all'accesso, specifica di file, cartelle e unità 64
scansione su richiesta, specifica 69
specifica di URL per ScriptScan 64
uso caratteri jolly 51
esclusioni a livello di root, vedere esclusioni
esempi del flusso di lavoro
creare la prevalenza file e osservare 108
monitoraggio e apporto di modifiche 108
esempi di flusso di lavoro 107
invio di file per un'ulteriore analisi 109
eventi, localizzazione eventi browser Controllo Web 98
exploit
blocco dell'overflow del buffer 60, 61
modalità di esecuzione dell'exploit di overflow del buffer 60
exploit di overflow del buffer, informazioni 60
F
file
come vengono determinate le reputazioni 106
configurazione file di registro 30
configurazione per la quarantena 64
esclusione di tipi specifici dalle scansioni 50
file di registro 23
gestione della quarantena 46
impedire la modifica 29
registri Client Endpoint Security 22
restrizione dell'accesso 53
ripetizione della scansione in quarantena 49
file AMCore content
file Extra.DAT 28
informazioni 8
informazioni su firme e aggiornamenti 9
modifica della versione 27
panoramica della scansione all'accesso 65
file di contenuto
e rilevamenti 18
file Extra.DAT 28
informazioni 8
modifica della versione AMCore 27
pianificazione aggiornamenti dal client 37
ricerca aggiornamenti manuale 21
verifica manuale degli aggiornamenti 10
file di definizione dei rilevamenti, vedere file di contenuto
file di registro
configurazione 30
errori aggiornamento 21
posizioni 23
visualizzazione 22
file Extra.DAT
caricamento 28
download 28
file AMCore content 9
informazioni 28
panoramica della scansione all'accesso 65
utilizzo 27
file, contenuto
caricamento file Extra.DAT 28
file Extra.DAT 28
modifica della versione AMCore content 27
uso dei file Extra.DAT 27
file, di contenuto
Extra.DAT e AMCore 9
firme e aggiornamenti 9
Guida del prodotto
175
Indice
file, di contenuto (segue)
prevenzione degli exploit 9
Firefox
firewall
creazione di gruppi a tempo 88
informazioni sui gruppi a tempo 10
Firewall
attivazione e disattivazione protezione 78
attivazione e visualizzazione dei gruppi a tempo 77
avvisi di intrusione 11
blocco traffico DNS 79
file di registro 23
funzionamento 77
funzionamento delle regole firewall 81
gestione 78
gestione di regole e gruppi 86
gruppi in grado di riconoscere la posizione, creazione 88
gruppi in grado di riconoscere la posizione, informazioni 82
informazioni su 7
opzioni di modifica 78
regole, vedere regole firewall
firme
informazioni su minacce conosciute 9
funzionalità
attivazione e disattivazione 26
funzione di scansione quando il sistema è inattivo 19, 71
funzioni
Accesso Endpoint Security basato su policy 14
G
Gestione
Google
Chrome 91
motori di ricerca supportati 94
gruppi di regole firewall
configurazione 80
creazione di gruppi a tempo 88
e isolamento connessione 83
gestione dei gruppi a tempo dall'icona della barra delle
applicazioni di sistema 10, 77
predefiniti 85
riconoscimento della posizione, creazione 88
gruppi di regole firewall predefiniti 85
gruppi firewall, vedere gruppi regole firewall
gruppi in grado di riconoscere la posizione
creazione 88
176
gruppi in grado di riconoscere la posizione (segue)
informazioni 82
isolamento connessione 83
gruppi regole firewall
funzionamento di Firewall 77
precedenza 82
riconoscimento della posizione, informazioni 82
gruppi regole, Firewall, vedere gruppi regole firewall
gruppi, firewall, vedere gruppi regole firewall
gruppo di regole adattive, Firewall 85
gruppo di regole aggiunte dall'amministratore, Firewall 85
gruppo di regole aggiunte dall'utente, Firewall 85, 86
gruppo di regole di funzionalità di base rete McAfee, Firewall 85
gruppo di regole dinamiche, Firewall 85
gruppo di regole predefinito, Firewall 85
Gruppo regole adattive, Firewall 86
Guida introduttiva di Threat Intelligence 107
Guida, visualizzazione 12, 18
H
hash, informazioni 32
Host Intrusion Prevention, e Prevenzione exploit 60
Host IPS, e Prevenzione exploit 60
I
icona della barra delle applicazioni di sistema, McAfee
aggiornamento della sicurezza 10
attivazione e visualizzazione dei gruppi a tempo 77
gruppi a tempo Firewall 10
icona della barra delle applicazioni, McAfee 9, 10, 31
apertura di Endpoint Security Client 17
configurazione dell'accesso a Endpoint Security 31
definita 10
Icona McAfee, vedere icona della barra delle applicazioni,
McAfee
icone, McAfee, vedere icona della barra delle applicazioni,
McAfee
icone, Web Control 94
Impostazione della priorità di Windows 73
impostazioni
aggiornamenti, configurazione 33
aggiornamenti, configurazione per 35
siti di origine per aggiornamenti client, configurazione 33
siti di origine, configurazione per 33
impostazioni Azioni contenuto
Web Control 102
Impostazioni azioni contenuto, Controllo Web 101
impostazioni azioni del contenuto
Controllo Web 101
impostazioni processo, scansioni su richiesta 73
impostazioni, Controllo Web
controllo dell'accesso ai siti Web 101
controllo dell'accesso con categorie Web 101
impostazioni, Prevenzione delle minacce
Funzione Protezione dell'accesso 53
Guida del prodotto
Indice
impostazioni, Threat Prevention
configurazione dei programmi potenzialmente indesiderati
62
impostazioni, Web Control
controllo dell'accesso mediante classificazioni di sicurezza
102
indirizzi IP
gruppi in grado di riconoscere la posizione 82
gruppi regole 82
Informazioni su
informazioni, visualizzazione della protezione 20
bridging server TIE gestito da McAfee ePO 106
file di registro 23
Internet Explorer
e comportamento di ScriptScan 67
intrusioni, attivazione avvisi Firewall 78
invio di file per un'ulteriore analisi
Advanced Threat Defense 109
Product Improvement Program 109
J
joke, informazioni 48
K
keylogger, informazioni 48
L
La protezione dell'accesso
esempi 52
informazioni 51
limitazione delle richieste, configurazione 73
livelli di sicurezza
esempi 111
livello di sensibilità, McAfee GTI 32
logica di affidabilità, ottimizzazione delle scansioni all'accesso
65
M
malware
ricerca di 41
rilevamento durante la scansione 42, 44
risposta ai rilevamenti 18
McAfee Agent
attività di aggiornamento del prodotto ed elenco degli
archivi 35
McAfee Endpoint Security Client, vedere Endpoint Security
Client
McAfee ePO
aggiornamento della protezione 8
e tipi di gestione 20
recupero file AMCore content 9
McAfee GTI
classificazioni sicurezza Web Control 95
configurazione livello di sensibilità 64
domande frequenti 79
e categorie Web 101
errore di comunicazione Controllo Web 93
feedback telemetria 64
invio eventi di blocco al server 78
opzioni firewall, configurazione 78
panoramica 32
rapporto sul sito Web Control 94
reputazione di rete del firewall, configurazione 78
scansione dei file prima del download 100
scansione file prima del download 98
scansioni all'accesso, configurazione 64
scansioni all'accesso, funzionamento 65
scansioni su richiesta, configurazione 69
scansioni su richiesta, funzionamento 70
specifica delle impostazioni del server proxy 32
McAfee Labs
aggiornamenti file di contenuto AMCore 9
download di Extra.DAT 28
e McAfee GTI 32
Extra.DAT 28
ulteriori informazioni sulle minacce 46
McAfee SECURE, pulsante Controllo Web 93
McTray, avvio 71
menu
Azione 12, 26
Controllo Web 97
Guida 12, 18
Impostazioni 12, 14, 78, 86
Informazioni 20
Menu Azione, informazioni 12
Menu Start, apertura di Endpoint Security Client 17
messaggi di notifica
informazioni su 11
interazione con Client Endpoint Security 9
Windows 8 e 10 11
messaggi errore, stati dell'icona della barra delle applicazioni 10
messaggi, Endpoint Security
informazioni su 11
visualizzazione al rilevamento di una minaccia 64, 69
messaggi, Web Control 94
Microsoft Internet Explorer, vedere Internet Explorer
minacce
App di Windows Store 70
app Windows Store 65
cartella quarantena 46
Guida del prodotto
177
Indice
minacce (segue)
e classificazioni di sicurezza 95
file AMCore content 9
gestione rilevamenti 45
ottenere altre informazioni da McAfee Labs 46
Processo di protezione dell'accesso 52
rilevamento durante la scansione 44
ripetizione della scansione di elementi in quarantena 49
tipi 48
violazioni dei punti di accesso 52
modalità accesso completo
opzioni modifica firewall 78
Modalità accesso completo
impostazioni policy 14
Modalità accesso standard
accesso come amministratore 25
modalità accesso, Client Endpoint Security 14
modalità adattiva
configurazione in Firewall 78
Modalità adattiva
priorità regola 81
modalità Desktop, Windows 8 e 10
risposta a messaggi di rilevamento minaccia 18
Modalità Desktop, Windows 8 e 10
messaggi di notifica 11
Modalità di accesso standard
configurazione delle impostazioni di sicurezza del client 31
e impostazioni delle policy 14
effetti dell'impostazione di una password 31
gestione di regole e gruppi firewall 86
Modalità di blocco interfaccia client
all'apertura di Endpoint Security Client 17
sblocco dell'interfaccia 26
modalità interfaccia
accesso standard 25
Accesso standard 31
configurazione delle impostazioni di sicurezza del client 31
Modalità Interfaccia Client, opzioni 14
moduli
Accesso Client Endpoint Security basato su policy 14
informazioni su Endpoint Security 7
installati in Client Endpoint Security 14
visualizzazione di informazioni su 20
moduli, Common
Impostazioni del server proxy McAfee GTI, configurazione
32
registrazione, configurazione 30
sicurezza dell'interfaccia client, configurazione 31
moduli, In comune
funzionamento di McAfee GTI 32
impostazioni aggiornamento, configurazione 35
impostazioni di aggiornamento, configurazione 33
siti di origine per aggiornamenti client 33
178
moduli, In comune (segue)
Modulo Common, configurazione
Autoprotezione 29
impostazioni 29
Impostazioni del server proxy McAfee GTI 32
registrazione 30
sicurezza dell'interfaccia client 31
modulo In comune, Client Endpoint Security 14
modulo In comune, configurazione
impostazioni di aggiornamento 33, 35
siti di origine per aggiornamenti client 33
modulo In comune, Endpoint Security Client 7
Motore di ricerca Ask e icone di sicurezza 94
Motore di ricerca Bing e icone di sicurezza 94
motori di scansione, panoramica file di AMCore content 9
Mozilla Firefox, vedere Firefox
N
non non gestito, vedere autogestito, informazioni
notifiche di tipo avviso popup, Windows 8 e 10 18
notifiche toast, Windows 8 e 10 11
O
opzione di utilizzo del sistema, panoramica 73
opzioni
configurazione delle scansioni all'accesso 64
configurazione delle scansioni su richiesta 69
ricerca di malware 41
opzioni firewall
modifica 78
Opzioni, Common
configurazione 29
impostazioni del server proxy, configurazione 32
impostazioni di registrazione, configurazione 30
pianificazione delle scansioni su richiesta 41
Opzioni, In comune
Opzioni, Prevenzione delle minacce
impostazioni comuni per le scansioni 64
Opzioni, Threat Prevention
programmi indesiderati 62
P
pagina Aggiorna 21
Pagina di accesso amministratore
all'apertura di Endpoint Security Client 17
sblocco dell'interfaccia client 26
Pagina di Esegui scansione del sistema 42
Guida del prodotto
Indice
Pagina di ripristino AMCore content 27
pagina di scansione, visualizzazione 18, 42
pagina Esegui scansione del sistema 45
pagina impostazioni
pagina Impostazioni
opzioni modifica firewall 78
Pagina Impostazioni
e Modalità interfaccia client 14
gestione di regole e gruppi firewall 86
impostazioni del server proxy, configurazione 32
impostazioni di scansione all'accesso, configurazione 64
impostazioni di scansione su richiesta, configurazione 69
registrazione, configurazione 30
Pagina informazioni 8
Pagina Informazioni 20
pagina Quarantena 46
pagina Scansione all'accesso 45
pagina stato della sicurezza McAfee, visualizzazione 10
Pagina Stato, visualizzazione di Riepilogo minacce 13
pagine
Aggiorna 21
Esegui scansione del sistema 42, 45
Impostazioni 14, 29–33, 35, 69, 78
Informazioni 8, 20
Quarantena 46
Registro eventi 22
Ricerca minacce 44
Ripristina AMCore content 27
Scansione all'accesso 18, 45
scansione, visualizzazione 42
Stato della sicurezza McAfee 10
parametri, Protezione dell'accesso
esempi 58
valutazione con sottoregole 58
password
amministratore 25, 26
amministratore predefinito 12
configurazione di sicurezza del client 31
controllo dell'accesso al client 31
password cracker, informazioni 48
password predefinita, Endpoint Security Client 12
phishing, rapporti inviati da utenti del sito 95
pianificazioni, scansioni su richiesta, rinvio 71
plug-in, attivazione di Controllo Web nel browser 96
policy
accesso Client Endpoint Security 14
definite 8
funzioni client 9
policy, Common
configurazione 29
policy, Prevenzione delle minacce
impostazioni comuni per le scansioni 64
scansioni su richiesta, rinvio 71
policy, Threat Prevention
popup e classificazioni di sicurezza 95
precedenza
gruppi firewall 82
funzione Protezione dell'accesso 53
informazioni su 7
scansione dei file prima del download 100
scansione file prima del download 98
scansioni all'accesso, informazioni 65
prevenzione exploit
aggiornamenti file di contenuto 9
file di registro 23
Prevenzione exploit
configurazione 61
e Host IPS 60
esclusione di processi 50
informazioni 60
priorità
regole firewall 81
priorità, scansioni all'accesso 73
processi a rischio basso, specifica 64
processi a rischio elevato, specifica 64
processi, Prevenzione delle minacce
esclusione 50
inclusione ed esclusione nella protezione dell'accesso 53, 59
scansione 65
processi, protezione dell'accesso
esclusione basata su policy 59
esclusione basata su regole 59
processi, Threat Prevention
scansione 64
specifica di rischio basso ed elevato 64
Product Improvement Program 109
programmi di installazione affidabili, scansione 64
programmi di installazione, scansione affidabili 64
programmi potenzialmente indesiderati
attivazione rilevamento 63, 64, 69
configurazione del rilevamento 62
esclusione di elementi 50
informazioni 48
specifica 62
specificare i programmi da rilevare 64
programmi, abilitare il rilevamento di potenzialmente
indesiderati 64, 69
protezione
configurazione autoprotezione 29
interazione con 9
Guida del prodotto
179
Indice
protezione (segue)
mantenimento dell'aggiornamento 8
visualizzazione di informazioni su 20
Protezione all'accesso
regole definite dall'utente, configurazione 57
esclusione di processi 50
file di registro 23
policy, panoramica 53
processi, inclusione ed esclusione 53, 59
protocolli, restrizione 53
regole definite da McAfee, informazioni 54
regole definite dall'utente, informazioni 53
regole predefinite da McAfee, configurazione 53
regole, Prevenzione delle minacce
configurazione 53
regole, Threat Prevention
modalità di funzionamento della protezione dell'accesso 52
report, Controllo Web
sicurezza 91
visualizzazione 97
report, Web Control 94, 95
sicurezza siti web 94
visualizzazione 97
reputazione file
risposta a richieste 19
reputazioni
come vengono determinate 106
pulsante Avvia scansione 42
pulsante Visualizza rilevamenti 45
pulsante Visualizza scansione 42
pulsanti
Avvia scansione 42
Visualizza rilevamenti 45
Visualizza scansione 42
pulsanti, Controllo Web 93
Ricerca pagina minacce 44
ricerche
blocco dei siti rischiosi nei risultati 98
Q
Quarantena, Prevenzione delle minacce
configurazione del percorso e delle impostazioni di
conservazione 64
ripetizione della scansione di elementi in quarantena 49
R
rapporti sul sito, vedere report, Web Control
rapporti sulla sicurezza, vedere report, Web Control
registrazione client, configurazione 30
registri attività, Client Endpoint Security 23
registri di debug, Client Endpoint Security 23
registri errori, Client Endpoint Security 23
registri eventi, Client Endpoint Security
informazioni 23
visualizzazione pagina registro eventi 22
registri evento, Client Endpoint Security
errori aggiornamento 21
regole definite da McAfee, Protezione dell'accesso 54
regole definite dall'utente, Protezione dell'accesso
configurazione 57
tipi 53
regole firewall
configurazione 80
consentire e bloccare 81
funzionamento 81
funzionamento di Firewall 77
ordini e priorità 81
uso dei caratteri jolly 87
regole personalizzate, vedere regole definite dall'utente,
regole, firewall, vedere Firewall
180
richieste di download, vedere Download di file
richieste, Endpoint Security
informazioni su 11
risposta a reputazione file 19
risposta a una scansione 19
Windows 8 e 10 18
Riepilogo minacce, informazioni 13
rilevamenti
esclusione per nome 64
gestione 42, 45
nomi 48
risposta a 18
segnalazione al server di gestione 8
tipi 42, 44
visualizzazione dei messaggi agli utenti 64, 69
rinvio scansione, panoramica 71
risposte, configurazione del rilevamento di programmi
indesiderati 63
S
Safari (Macintosh)
scansione all'accesso
Scansione completa
configurazione 69
esecuzione da Endpoint Security Client 42
informazioni 41
pianificazione nel client 74
Scansione di scelta rapida
configurazione 69
esecuzione da Windows Explorer 44
informazioni 41
Scansione rapida
configurazione 69
Guida del prodotto
Indice
Scansione rapida (segue)
tipi di scansioni 41
scansione, all'accesso
ottimizzazione mediante logica di affidabilità 65
scansioni
Controllo Web 100
esecuzione scansione di scelta rapida 44
impostazioni comuni per le scansioni all'accesso e su
richiesta 64
personalizzate, creazione e pianificazione nel client 74
pianificazione con Client Endpoint Security 74
rinvio, sospensione, ripresa e annullamento 19
tipi 41
uso dei caratteri jolly nelle esclusioni 51
scansioni a impatto zero 71
scansioni all'accesso
configurazione 64
file di registro 23
informazioni 41
numero di policy di scansione 68
ottimizzazione mediante logica di affidabilità 65
panoramica 65
programmi potenzialmente indesiderati, attivazione
rilevamento 63
rilevamenti delle minacce 18
script di scansione 67
ScriptScan 67
scrittura sul disco confrontata con lettura dal disco 65
scansioni dell'archivio remoto, panoramica 73
scansioni di sistema, tipi 41
scansioni incrementali 71
scansioni manuali
esecuzione da Endpoint Security Client 42, 44
informazioni sui tipi di scansione 41
scansioni personalizzate, vedere scansioni su richiesta
scansioni recuperabili, vedere scansioni incrementali
scansioni su richiesta
configurazione 64
esecuzione di una scansione completa o di una scansione
rapida 42
esecuzione scansione di scelta rapida 44
informazioni 41
panoramica 70
programmi potenzialmente indesiderati, attivazione
rilevamento 63
scansione di file o cartelle 44
scansioni dell'archivio remoto 73
utilizzo del sistema 73
scansioni, all'accesso
configurazione 64
scansioni, all'accesso (segue)
numero di policy 68
panoramica 65
rilevamenti delle minacce, risposta a 18
rilevamento minacce nelle app di Windows Store 65
ScriptScan 67
scansioni, personalizzate, vedere scansioni, su richiesta
scansioni, su richiesta
configurazione 69
rilevamento minacce nelle app di Windows Store 70
scansioni dell'archivio remoto 73
utilizzo del sistema 73
script, scansione 67
ScriptScan
attivazione 64
esclusione di URL 50
informazioni 67
Secure Search, configurazione Controllo Web 98
server
bridging server TIE gestito da McAfee ePO 106
informazioni sui server TIE 106
server proxy
configurazione per McAfee GTI 32
funzionamento di McAfee GTI 32
impostazioni nell'elenco degli archivi 35
Server Threat Intelligence Exchange, vedere Server TIE
server TIE
bridging 106
informazioni 106
server, proxy, vedere server proxy
settori di avvio, scansione 64, 69
sicurezza
configurazione della sicurezza dell'interfaccia client 31
sistemi del server, e funzione di scansione quando il sistema è
inattivo 71
siti
classificazioni di sicurezza 95
comportamento blocchi e avvisi 92
protezione della navigazione 93
protezione durante le ricerche 94
visualizzazione rapporti sul sito Controllo Web 97
siti Web
classificazioni di sicurezza 95
protezione della navigazione 93
protezione durante le ricerche 94
visualizzazione rapporti sul sito Controllo Web 97
siti Web, avviso
basato sulle classificazioni 101
in base alle classificazioni di sicurezza 102
siti Web, blocco
basato sulle categorie Web 101
non classificato o sconosciuto 98
Guida del prodotto
181
Indice
siti Web, blocco (segue)
siti rischiosi nei risultati di ricerca 98
siti Web, controllo dell'accesso
con categorie Web 101
con classificazioni di sicurezza 102
con le categorie Web 101
siti, avviso
siti, blocco
basato sulle categorie Web 101
siti, controllo dell'accesso
con categorie Web 101
con classificazioni di sicurezza 102
software client, definito 8
sottoregole, protezione dell'accesso
inclusione ed esclusione 59
sottoregole, Protezione dell'accesso
valutazione con parametri 58
spyware, informazioni 48
stato, Endpoint Security, visualizzazione con l'icona della barra
delle applicazioni McAfee 10
stealth, informazioni 48
strumenti di amministrazione remota, informazioni 48
U
unità di rete, specifica delle opzioni di scansione 64
URL
blocco sconosciuti 98
esclusione dalla scansione script 50, 64
V
virus
firme 9
informazioni 48
vulnerabilità, vedere minacce
W
T
tempo CPU, scansioni su richiesta 73
thread, priorità 73
Threat Intelligence
componenti 104
Endpoint Security 105
esempi di flusso di lavoro 107
scenari 103
Threat Prevention
Funzionalità di prevenzione exploit 61
gestione 49
Opzioni, programmi indesiderati 62
programmi potenzialmente indesiderati, rilevamento 62
scansioni all'accesso, configurazione 64
scansioni su richiesta, configurazione 69
scansioni su richiesta, informazioni 70
tipi di gestione
informazioni su 20
182
tipi di gestione (segue)
visualizzazione 20
tipi di gestione McAfee ePO Cloud 20
traffico
autorizzazione in uscita fino all'avvio dei servizi firewall 78
esaminati da Firewall 77
traffico DNS, blocco 79
trojan
informazioni 48
Web Control
aree commenti e icone 97
gestione 98
icone, descrizione 94
motori di ricerca e icone di sicurezza 94
rapporti sul sito 94
Windows 8 e 10
apertura di Endpoint Security Client 17
informazioni su messaggi di notifica 11
risposta a messaggi di rilevamento minaccia 18
Y
Yahoo
motore di motore di ricerca predefinito 98
motore di ricerca supportato 94
Guida del prodotto
0-04

McAfee Endpoint Security 10.1 Guida del prodotto

Transcript

Documenti analoghi

G DATA CLIENT SECURITY BUSINESS

Cod. Articolo 41.560 9622B010 - 4549292013344

Scansione dell` antivirus AVAST

Posta Certificata: come configurare un account con il client Windows

Scarica la scheda tecnica

scarica brochure

Foglio dati in formato PDF