McAfee Endpoint Security

Transcript

Guida del prodotto
McAfee Endpoint Security 10.2
COPYRIGHT
© 2016 Intel Corporation
ATTRIBUZIONI DEI MARCHI
Intel e il logo Intel sono marchi registrati di Intel Corporation negli Stati Uniti e/o in altri Paesi. McAfee e il logo McAfee, McAfee Active Protection,
McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee
LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total
Protection, TrustedSource, VirusScan sono marchi registrati o marchi di McAfee, Inc. o sue filiali negli Stati Uniti e in altri Paesi. Altri marchi e
denominazioni potrebbero essere rivendicati come proprietà di terzi.
INFORMAZIONI SULLA LICENZA
Contratto di licenza
AVVISO A TUTTI GLI UTENTI: LEGGERE ATTENTAMENTE IL TESTO DEL CONTRATTO LEGALE RELATIVO ALLA LICENZA ACQUISTATA, CHE STABILISCE LE
CONDIZIONI GENERALI PER L'USO DEL SOFTWARE CONCESSO IN LICENZA. NEL CASO IN CUI NON SI SAPPIA CON ESATTEZZA QUALE TIPO DI
LICENZA È STATO ACQUISTATO, CONSULTARE I DOCUMENTI DI VENDITA E ALTRI DOCUMENTI RELATIVI ALLA CONCESSIONE DELLA LICENZA O
ALL'ORDINE DI ACQUISTO ACCLUSI ALLA CONFEZIONE DEL SOFTWARE O RICEVUTI SEPARATAMENTE IN RELAZIONE ALL'ACQUISTO MEDESIMO
(SOTTO FORMA DI OPUSCOLO, FILE CONTENUTO NEL CD DEL PRODOTTO O FILE DISPONIBILE SUL SITO WEB DAL QUALE È STATO SCARICATO IL
SOFTWARE). SE NON SI ACCETTANO INTEGRALMENTE I TERMINI DEL CONTRATTO, NON INSTALLARE IL SOFTWARE. SE PREVISTO DAL CONTRATTO,
L'UTENTE POTRÀ RESTITUIRE IL PRODOTTO A MCAFEE O AL PUNTO VENDITA IN CUI È STATO ACQUISTATO ED ESSERE INTERAMENTE RIMBORSATO.
2
Guida del prodotto
Sommario
1
7
Introduzione
9
Moduli Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modalità di protezione del computer da parte di Endpoint Security . . . . . . . . . . . . . .
Mantenimento dell'aggiornamento della protezione . . . . . . . . . . . . . . . . .
Interazione con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . .
Accesso alle attività di Endpoint Security dall'icona della barra delle applicazioni McAfee . .
Informazioni sui messaggi di notifica . . . . . . . . . . . . . . . . . . . . . . .
Informazioni sul client Client Endpoint Security . . . . . . . . . . . . . . . . . . .
2
Uso di Client Endpoint Security
19
Apertura di Client Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . .
Richiesta di assistenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Risposta a richieste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Risposta a un messaggio di rilevamento minaccia . . . . . . . . . . . . . . . . . .
Risposta a richiesta di scansione . . . . . . . . . . . . . . . . . . . . . . . .
Risposta a una richiesta di reputazione del file . . . . . . . . . . . . . . . . . . .
Informazioni sulla protezione . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipi di gestione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aggiornamento manuale di protezione e software . . . . . . . . . . . . . . . . . . . . .
Elementi aggiornati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualizzazione del Registro eventi . . . . . . . . . . . . . . . . . . . . . . . . . .
Nomi e posizioni dei file di registro di Endpoint Security . . . . . . . . . . . . . . .
Gestione di Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Accedere come amministratore . . . . . . . . . . . . . . . . . . . . . . . . .
Sbloccare l'interfaccia client . . . . . . . . . . . . . . . . . . . . . . . . . .
Attivare e disattivare funzionalità . . . . . . . . . . . . . . . . . . . . . . . .
Modifica della versione AMCore content . . . . . . . . . . . . . . . . . . . . .
Uso dei file Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione delle impostazioni comuni . . . . . . . . . . . . . . . . . . . . .
Configurazione del comportamento di aggiornamento . . . . . . . . . . . . . . . .
Riferimento interfaccia client — In comune . . . . . . . . . . . . . . . . . . . . . . .
Pagina Registro eventi . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
In comune – Opzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
In comune: Attività . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
Uso di Prevenzione delle minacce
19
20
20
20
21
21
22
22
23
24
24
25
27
27
28
28
29
29
30
35
41
41
43
51
57
Scansione del computer per individuare malware . . . . . . . . . . . . . . . . . . . . .
Tipi di scansioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Esecuzione di una scansione completa o di una scansione rapida . . . . . . . . . . .
Scansione di un file o una cartella . . . . . . . . . . . . . . . . . . . . . . . .
Gestione dei rilevamenti di minacce . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione degli elementi in quarantena . . . . . . . . . . . . . . . . . . . . . . . . .
Nomi rilevamenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
10
10
12
12
14
14
57
57
58
60
61
62
64
Guida del prodotto
3
Sommario
Ripetizione scansione di elementi in quarantena . . . . . . . . . . . . . . . . . . 65
Gestione di Prevenzione delle minacce . . . . . . . . . . . . . . . . . . . . . . . . . 65
Configurazione delle esclusioni . . . . . . . . . . . . . . . . . . . . . . . . . 66
Protezione dei punti di accesso del sistema . . . . . . . . . . . . . . . . . . . . 67
Blocco degli exploit da overflow del buffer . . . . . . . . . . . . . . . . . . . . . 76
Rilevamento di programmi potenzialmente indesiderati . . . . . . . . . . . . . . .
78
Configurazione delle impostazioni di scansione comuni . . . . . . . . . . . . . . . . 80
Funzionamento di McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . .
81
Configurare le impostazioni della policy di scansione all'accesso . . . . . . . . . . . . 81
Configurazione delle impostazioni Scansione su richiesta . . . . . . . . . . . . . .
86
Configurazione, pianificazione e attivazione delle attività di scansione . . . . . . . . . 91
Riferimento interfaccia client — Prevenzione delle minacce . . . . . . . . . . . . . . . . . 92
Pagina Quarantena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Prevenzione delle minacce - Protezione dell'accesso . . . . . . . . . . . . . . . .
93
Prevenzione delle minacce - Prevenzione exploit . . . . . . . . . . . . . . . . . 105
Prevenzione delle minacce – Scansione su richiesta . . . . . . . . . . . . . . . . 109
Prevenzione delle minacce – Scansione su richiesta . . . . . . . . . . . . . . . . 114
Percorsi di scansione . . . . . . . . . . . . . . . . . . . . . . . . . . . .
117
McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Azioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
Aggiungi esclusione o Modifica esclusione . . . . . . . . . . . . . . . . . . . . 121
Prevenzione delle minacce – Opzioni . . . . . . . . . . . . . . . . . . . . . . 122
Ripristina AMCore content . . . . . . . . . . . . . . . . . . . . . . . . . . 124
4
Uso di Firewall
125
Funzionamento di Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Attivare e disattivare Firewall dall'icona della barra delle applicazioni McAfee . . . . . . . . .
Attivare o visualizzare i gruppi a tempo Firewall dall'icona della barra delle applicazioni McAfee. .
Informazioni sui gruppi a tempo . . . . . . . . . . . . . . . . . . . . . . . .
Gestione di Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modifica delle opzioni Firewall . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione di gruppi e regole Firewall . . . . . . . . . . . . . . . . . . . .
Riferimento interfaccia client — Firewall . . . . . . . . . . . . . . . . . . . . . . . .
Firewall - Opzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firewall – Regole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Utilizzo di Controllo Web
155
Informazioni sulle funzioni di Controllo Web . . . . . . . . . . . . . . . . . . . . . .
Modalità di blocco o segnalazione di un sito o download da parte di Controllo Web . . . .
Il pulsante Controllo Web identifica le minacce durante la navigazione . . . . . . . . .
Identificazione delle minacce durante la ricerca mediante le icone di sicurezza . . . . .
Fornitura di dettagli da parte dei rapporti sul sito . . . . . . . . . . . . . . . . .
Compilazione delle classificazioni di sicurezza . . . . . . . . . . . . . . . . . .
Accedere alle funzionalità di Controllo Web . . . . . . . . . . . . . . . . . . . . . . .
Attivazione del plug-in Controllo Web dal browser . . . . . . . . . . . . . . . . .
Visualizzazione di informazioni su un sito durante la navigazione . . . . . . . . . . .
Visualizzazione del rapporto sul sito durante le ricerche . . . . . . . . . . . . . . .
Gestione di Controllo Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione delle opzioni Controllo Web . . . . . . . . . . . . . . . . . . . .
Specificare azioni di classificazione e bloccare l'accesso ai siti in base alla categoria Web .
Riferimento interfaccia client — Controllo Web . . . . . . . . . . . . . . . . . . . . .
Controllo Web - Opzioni . . . . . . . . . . . . . . . . . . . . . . . . . . .
Controllo Web - Azioni contenuto . . . . . . . . . . . . . . . . . . . . . . .
6
Uso di Intelligence sulle minacce
155
156
157
158
158
159
160
160
161
161
162
162
165
166
166
168
171
Funzionamento di Intelligence sulle minacce . . . . . . . . . . . . . . . . . . . . . .
4
125
125
126
126
126
127
131
140
140
144
171
Guida del prodotto
Sommario
Gestione di Intelligence sulle minacce . . . . . . . . . . . . . . . . . . . . . . . . .
Informazioni su Intelligence sulle minacce . . . . . . . . . . . . . . . . . . . .
Isolamento dinamico applicazioni . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione opzioni Intelligence sulle minacce . . . . . . . . . . . . . . . . .
Riferimento interfaccia client — Intelligence sulle minacce . . . . . . . . . . . . . . . .
Intelligence sulle minacce: Contenimento dinamico delle applicazioni . . . . . . . . .
Intelligence sulle minacce - Opzioni . . . . . . . . . . . . . . . . . . . . . .
Indice
172
172
178
185
186
186
189
193
Guida del prodotto
5
Sommario
6
Guida del prodotto
®
McAfee Endpoint Security è una soluzione di gestione della sicurezza completa che viene eseguita sui
computer di rete per identificare e arrestare le minacce automaticamente. Questa guida spiega come
utilizzare le funzioni di sicurezza di base e risolvere i principali errori.
Guida introduttiva
•
Moduli Endpoint Security a pagina 9
•
Modalità di protezione del computer da parte di Endpoint Security a pagina 10
•
Interazione con Endpoint Security a pagina 12
Attività eseguite di frequente
•
Apertura di Client Endpoint Security a pagina 19
•
Aggiornamento manuale di protezione e software a pagina 23
•
Scansione del computer per individuare malware a pagina 57
•
Sbloccare l'interfaccia client a pagina 28
Ulteriori informazioni
Per accedere a ulteriori informazioni sul prodotto, vedere:
•
Guida all'installazione di McAfee Endpoint Security
•
Guida alla migrazione di McAfee Endpoint Security
•
Note sulla versione di McAfee Endpoint Security
•
Guida Prevenzione delle minacce Endpoint Security
•
Guida Firewall Endpoint Security
•
Guida Controllo Web Endpoint Security
•
Guida Intelligence sulle minacce Endpoint Security
•
Assistenza McAfee
Guida del prodotto
7
8
Guida del prodotto
1
Introduzione
Endpoint Security è una soluzione di gestione della sicurezza completa che viene eseguita sui
computer di rete per identificare e arrestare le minacce automaticamente. Questa guida spiega come
utilizzare le funzioni di sicurezza di base e risolvere i principali errori.
Se il computer è gestito, un amministratore imposta e configura Endpoint Security utilizzando uno dei
seguenti server di gestione:
•
McAfee ePolicy Orchestrator (McAfee ePO )
•
McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)
®
®
®
®
™
™
Le informazioni più recenti sulla licenza di gestione e sull'autorizzazione per Endpoint Security,
consultare l'articolo KB87057.
Intelligence sulle minacce non è supportato nei sistemi gestiti da McAfee ePO Cloud.
Se il computer è autogestito, l'utente e l'amministratore possono configurare il software utilizzando il
client Client Endpoint Security.
Sommario
Moduli Endpoint Security
Modalità di protezione del computer da parte di Endpoint Security
Interazione con Endpoint Security
Moduli Endpoint Security
L'amministratore configura e installa uno o più moduli Endpoint Security sui computer client.
•
Prevenzione delle minacce - Verifica la presenza di virus, spyware, programmi indesiderati e
altre minacce attraverso la scansione degli elementi - automaticamente ogni volta che vi si accede
o in qualsiasi momento venga richiesta dall'utente.
•
Firewall - Monitora le comunicazioni tra il computer e le risorse di rete e la rete Internet.
Intercetta le comunicazioni sospette.
•
Controllo Web - Mostra le classificazioni di sicurezza e i rapporti per i siti Web durante la
navigazione e la ricerca online. Controllo Web consente all'amministratore del sito di bloccare
l'accesso ai siti Web in base alle classificazioni di sicurezza o al contenuto.
•
Intelligence sulle minacce: offre una sicurezza adattiva in base al contesto per ambienti di rete.
Intelligence sulle minacce Endpoint Security è un modulo facoltativo di Endpoint Security. Per
ulteriori risorse e funzionalità di Intelligence sulle minacce, distribuire il server Threat Intelligence
Exchange. Per informazioni, contattare il rivenditore o il rappresentante commerciale.
Guida del prodotto
9
1
Introduzione
Inoltre, il modulo In comune fornisce impostazioni per funzioni comuni, come sicurezza e registrazione
dell'interfaccia. Questo modulo viene installato automaticamente se è installato qualsiasi altro modulo.
Modalità di protezione del computer da parte di Endpoint
Security
Normalmente, un amministratore imposta Endpoint Security, installa il software sui computer client,
monitora lo stato della sicurezza e configura le regole di sicurezza, dette policy.
L'utente del computer client può interagire con Endpoint Security tramite il software client installato
sul computer. Le policy impostate dall'amministratore determinano il modo in cui le funzioni e i moduli
operano sul computer e la possibilità di modificarli.
Se Endpoint Security è autogestito, è possibile specificare il funzionamento di moduli e funzioni. Per
stabilire il tipo di gestione, visualizzare la pagina Informazioni.
A intervalli regolari, il software client del computer si connette a un sito Internet per aggiornare i
propri componenti. Contemporaneamente, invia i dati relativi ai rilevamenti sul computer al server di
gestione. Questi dati vengono utilizzati per generare i report per l'amministratore relativi ai rilevamenti
e ai problemi di sicurezza del computer.
In genere, il software client funziona in background senza interazione dell'utente. Talvolta, tuttavia,
può essere necessario interagire con esso. Ad esempio quando si intende controllare la disponibilità di
aggiornamenti software o eseguire la scansione anti-malware manualmente. A seconda delle policy
impostate dall'amministratore, potrebbe essere possibile personalizzare le impostazioni di sicurezza.
L'amministratore può gestire e configurare centralmente il software client utilizzando McAfee ePO o
McAfee ePO Cloud.
Le informazioni più recenti sulla licenza di gestione e sull'autorizzazione per Endpoint Security,
consultare l'articolo KB87057.
Vedere anche
Informazioni sulla protezione a pagina 22
Mantenimento dell'aggiornamento della protezione
Aggiornamenti regolari di Endpoint Security garantiscono una protezione costante del computer dalle
più recenti minacce.
Per eseguire gli aggiornamenti, il software client si connette a un server McAfee ePO locale o remoto o
direttamente a un sito in Internet. Endpoint Security cerca:
•
Aggiorna i file di contenuto utilizzati per rilevare le minacce. I file di contenuto contengono le
definizioni per le minacce quali virus e spyware e tali definizioni vengono aggiornate non appena
vengono rilevate nuove minacce.
•
Gli upgrade dei componenti software, quali patch e hotfix.
Per semplificare la terminologia, la presente guida fa riferimento sia agli aggiornamenti sia agli
upgrade come aggiornamenti.
Gli aggiornamenti in genere vengono eseguiti automaticamente in background. Potrebbe essere inoltre
necessario controllare manualmente la disponibilità di aggiornamenti. A seconda delle impostazioni, è
possibile aggiornare manualmente la protezione da Client Endpoint Security facendo clic su
.
10
Guida del prodotto
Introduzione
1
Vedere anche
Funzionamento dei file di contenuto
La ricerca delle minacce tra i file effettuata dal motore di scansione avviene sulla base del confronto
del contenuto dei file sottoposti a scansione con le informazioni di minacce note memorizzate nei file
AMCore content. La prevenzione exploit utilizza i propri file di contenuto per proteggersi dagli exploit.
Contenuto AMCore
McAfee Labs rileva e aggiunge informazioni sulle minacce note (firme) ai file di contenuto. Insieme alla
firme, i file di contenuto includono informazioni su pulizia e metodo di contrasto del danno che
potrebbe causare il virus.
Se la firma di un virus non è presente nei file di contenuto installati, il motore di scansione non può
rilevare il virus e il sistema è vulnerabile agli attacchi.
Nuove minacce appaiono continuamente. McAfee Labs rilascia aggiornamenti del motore e nuovi file di
contenuto che includono i risultati delle ricerche sulle minacce in corso ogni giorno alle 19:00. (GMT/
UTC). Se è presente una nuova minaccia, i file di contenuto AMCore quotidiani possono essere
rilasciati in anticipo e, in alcuni casi, i rilasci possono essere posticipati. Per ricevere avvisi sui ritardi e
notifiche importanti, abbonarsi al servizio SNS (Support Notification Service). Vedere l'articolo della
KnowledgeBase KB67828.
Endpoint Security archivia il file di contenuto attualmente caricato e le due versioni precedenti nella
cartella Program Files\Common Files\McAfee\Engine\content. Se necessario, è possibile tornare a una
versione precedente.
Quando viene scoperto un nuovo malware ed è necessario effettuare ulteriori rilevamenti, McAfee Labs
rende disponibile un file Extra.DAT fino al rilascio dell'aggiornamento dei contenuti successivo. Per
informazioni sull'installazione dei file Extra.DAT, consultare la guida di Prevenzione delle minacce.
Contenuto di prevenzione exploit
Il contenuto di prevenzione exploit include:
•
Firme di protezione della memoria: protezione generica da overflow del buffer (GBOP), convalida
chiamante, protezione da aumento generico dei privilegi (GPEP) e Monitoraggio API assegnate.
•
Elenco protezione applicazioni: processi protetti dalla prevenzione exploit.
McAfee rilascia nuovi file di contenuto di prevenzione exploit una volta al mese.
File di contenuto di Intelligence sulle minacce
I file di contenuto di Intelligence sulle minacce includono regole per l'elaborazione dinamica della
reputazione di file e processi negli endpoint. McAfee rilascia nuovi file di contenuto di Intelligence sulle
minacce ogni due mesi.
Intelligence sulle minacce Endpoint Security è un modulo facoltativo di Endpoint Security. Per ulteriori
risorse e funzionalità di Intelligence sulle minacce, distribuire il server Threat Intelligence Exchange.
Per informazioni, contattare il rivenditore o il rappresentante commerciale.
Guida del prodotto
11
1
Introduzione
Endpoint Security fornisce componenti visivi per l'interazione con Client Endpoint Security.
•
Icona McAfee nella barra delle applicazioni di Windows – Consente di avviare Client Endpoint
Security e visualizzare gli stati di sicurezza.
•
Messaggi di notifica – Avvisano l'utente di eseguire la scansione e il rilevamento delle intrusioni
firewall e di file con reputazione sconosciuta; richiedono un input.
•
Pagina Scansione all'accesso – Mostra l'elenco dei rilevamenti di minacce quando il programma di
scansione all'accesso rileva una minaccia.
•
Client Endpoint Security - Mostra lo stato di protezione attuale e fornisce accesso alle funzioni.
Per i sistemi gestiti, l'amministratore configura e assegna le policy per specificare quali componenti
sono visualizzati.
Vedere anche
Accesso alle attività di Endpoint Security dall'icona della barra delle applicazioni McAfee a
pagina 12
Informazioni sui messaggi di notifica a pagina 14
Gestione dei rilevamenti di minacce a pagina 61
Informazioni sul client Client Endpoint Security a pagina 14
Accesso alle attività di Endpoint Security dall'icona della barra
delle applicazioni McAfee
L'icona McAfee nella barra delle applicazioni di Windows consente di accedere al client Client Endpoint
Security e ad alcune attività di base.
In base alle impostazioni, l'icona McAfee può essere o non essere disponibile.
Fare clic con il tasto destro nell'icona della barra delle applicazioni McAfee per:
Verificare lo stato della
sicurezza.
Selezionare Visualizza stato della sicurezza per aprire la pagina Stato della sicurezza
McAfee.
Aprire il client Client
Endpoint Security.
Selezionare McAfee Endpoint Security.
Aggiornare manualmente Selezionare Aggiorna sicurezza.
la protezione e il
software.
12
Guida del prodotto
1
Introduzione
Disattivazione e
riattivazione di Firewall.
Selezionare Disattiva Firewall Endpoint Security dal menu Impostazioni rapide.
Attivare, disattivare o
visualizzare i gruppi a
tempo Firewall.
Selezionare un'opzione dal menu Impostazioni rapide:
Se Firewall è disattivato, l'opzione è Attiva Firewall Endpoint Security.
• Attiva gruppi a tempo Firewall: attiva i gruppi a tempo per un periodo definito
per consentire l'accesso a Internet prima dell'applicazione di regole che
limitano l'accesso. Se i gruppi a tempo sono attivati, l'opzione è Disattiva
gruppi a tempo Firewall.
Ogni volta che si seleziona questa opzione, il tempo dei gruppi viene
reimpostato.
In base alle impostazioni, potrebbe essere richiesto di fornire
all'amministratore una motivazione per l'attivazione dei gruppi a tempo.
• Visualizza gruppi a tempo Firewall: visualizza i nomi dei gruppi a tempo e il
periodo rimanente di attività di ciascun gruppo.
Queste opzioni potrebbero non essere disponibili, in base alla modalità di
configurazione delle impostazioni.
Modalità di indicazione dello stato di Endpoint Security nell'icona
L'aspetto dell'icona cambia per indicare lo stato di Endpoint Security. Mantenere il cursore sull'icona
per visualizzare un messaggio che descrive lo stato.
Icona Indica...
Endpoint Security protegge il sistema e non è presente alcun problema.
Endpoint Security rileva un problema di sicurezza, ad esempio una tecnologia o un modulo
disattivato.
• Firewall è disattivato.
• Prevenzione delle minacce: Prevenzione exploit, Scansione all'accesso o ScriptScan sono
disattivati.
Endpoint Security segnala i problemi in modo diverso, in base al tipo di gestione.
• Autogestito:
• Una o più tecnologie sono disattivate.
• Una o più tecnologie non rispondono.
• Gestito:
• Una o più tecnologie sono disattivate, non come risultato dell'imposizione delle policy dal
server di gestione o da Client Endpoint Security.
• Una o più tecnologie non rispondono.
Quando viene rilevato un problema, la pagina Stato della sicurezza McAfee indica quale modulo o
tecnologia sono disattivati.
Vedere anche
Elementi aggiornati a pagina 24
Guida del prodotto
13
1
Introduzione
Informazioni sui messaggi di notifica
Endpoint Security utilizza due tipi di messaggi per informare l'utente a proposito dei problemi di
protezione o per richiedere un input. Alcuni messaggi potrebbero non essere visualizzati, in base alla
modalità di configurazione delle impostazioni.
Il processo McTray.exe deve essere in esecuzione affinché Endpoint Security possa visualizzare
messaggi di notifica.
Endpoint Security invia due tipi di notifiche:
•
Gli avvisi compaiono al di sopra dell'icona di McAfee per cinque secondi, quindi scompaiono.
Gli avvisi informano l'utente a proposito dei rilevamenti di minacce, come gli eventi di intrusione
Firewall, o quando una scansione su richiesta viene sospesa o ripristinata. Non è necessaria alcuna
azione da parte dell'utente.
•
Le richieste aprono una pagina nella parte inferiore dello schermo e restano visibili fino a quando
si seleziona un'opzione.
Ad esempio:
•
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe
richiedere all'utente di rinviare la scansione.
•
Quando il programma di scansione all'accesso rileva una minaccia, Endpoint Security potrebbe
richiedere all'utente di rispondere al rilevamento.
•
Quando Intelligence sulle minacce rileva un file con reputazione ignota, Endpoint Security
potrebbe richiedere all'utente di consentire o bloccare il file.
Windows 8 e 10 utilizzano notifiche popup: messaggi visualizzati per comunicare all'utente avvisi e
richieste. Fare clic sulla notifica popup per visualizzare la notifica in modalità Desktop.
Vedere anche
Risposta a un messaggio di rilevamento minaccia a pagina 20
Risposta a richiesta di scansione a pagina 21
Risposta a una richiesta di reputazione del file a pagina 21
Informazioni sul client Client Endpoint Security
Il client Client Endpoint Security consente di verificare lo stato di protezione e di accedere alle
funzionalità del proprio computer.
•
Le opzioni del menu Azione
Impostazioni
consentono di accedere alle funzioni.
Configura le impostazioni delle funzioni.
Questa opzione di menu è disponibile se una delle affermazioni seguenti è
vera:
• La modalità interfaccia client è impostata su Accesso completo.
• L'utente ha effettuato l'accesso come amministratore.
Carica Extra.DAT
14
Consente di installare un file Extra.DAT scaricato.
Guida del prodotto
Introduzione
Ripristina AMCore
content
1
Ripristina una versione precedente di AMCore content.
Questa opzione di menu è disponibile se una versione precedente del
contenuto AMCore esiste sul sistema e se una delle seguenti affermazioni è
vera:
• La modalità interfaccia client è impostata su Accesso completo.
• L'utente ha effettuato l'accesso come amministratore.
Guida in linea
Visualizza la Guida in linea.
Link assistenza
Consente di visualizzare una pagina con collegamenti a pagine utili, come
McAfee ServicePortal e il Centro informazioni.
Accesso amministratore Consente di accedere come amministratore del sito. (Richiede le credenziali di
amministratore.)
Questa opzione di menu è disponibile se la Modalità interfaccia client non è
impostata su Accesso completo. Se è stato effettuato l'accesso come
amministratore, questa opzione è Disconnetti amministratore.
•
Informazioni su
Visualizza informazioni su Endpoint Security.
Esci
Esce dal client Client Endpoint Security.
I pulsanti nella parte superiore destra della pagina forniscono un accesso rapido alle attività
frequenti.
Verifica la presenza di malware con una scansione completa o
una scansione rapida del sistema.
Questo pulsante è disponibile solo se il modulo Prevenzione
delle minacce è installato.
Aggiorna i file di contenuto e i componenti software sul
computer.
Questo pulsante potrebbe non essere visualizzato, in base
alla modalità di configurazione delle impostazioni.
•
I pulsanti sul lato sinistro della pagina forniscono informazioni sulla protezione.
Stato
L'utente viene riportato alla pagina Stato principale.
Registro eventi Mostra il registro di tutti gli eventi di protezione e minaccia sul computer.
Quarantena
Apre il Gestore quarantena.
Questo pulsante è disponibile solo se il modulo Prevenzione delle minacce è installato.
•
Il Riepilogo minacce fornisce informazioni sulle minacce rilevate nel sistema da Endpoint Security
negli ultimi 30 giorni.
Vedere anche
Caricamento di un file Extra.DAT a pagina 30
Accedere come amministratore a pagina 27
Scansione del computer per individuare malware a pagina 57
Visualizzazione del Registro eventi a pagina 24
Gestione degli elementi in quarantena a pagina 62
Gestione di Endpoint Security a pagina 27
Informazioni su Riepilogo minacce a pagina 16
Guida del prodotto
15
1
Introduzione
Informazioni su Riepilogo minacce
La pagina Stato di Client Endpoint Security fornisce un riepilogo in tempo reale delle minacce rilevate
sul sistema negli ultimi 30 giorni.
Quando vengono rilevate nuove minacce, la pagina Stato aggiorna in modo dinamico i dati nell'area
Riepilogo minacce, nel riquadro inferiore.
Il Riepilogo minacce include:
•
Data dell'ultima minaccia eliminata
•
I due vettori principali di minaccia, per categoria:
•
Web
Minacce da pagine Web o download.
Dispositivi o supporti
esterni
Minacce da dispositivi esterni, come USB, firewire 1394, eSATA, unità
nastro, CD, DVD o dischi.
Rete
Minacce dalla rete (condivisione di file non in rete).
Sistema locale
Minacce dall'unità di sistema file di boot locale (solitamente C:) o da unità
diverse da quelle classificate come Dispositivi o supporti esterni.
Condivisione file
Minacce da una condivisione di file in rete.
Email
Minacce dai messaggi email.
Messaggio immediato
Minacce da messaggistica immediata.
Sconosciuto
Minacce per le quale il vettore di attacco non è stabilito (a causa di una
condizione di errore o di altri errori).
Numero di minacce per vettore di minaccia
Se Client Endpoint Security non riesce a stabilire una connessione con Event ManagerClient Endpoint
Security, viene visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il proprio
sistema per visualizzare il Riepilogo minacce.
Influenza delle impostazioni sull'accesso al client
Le impostazioni Modalità interfaccia client assegnate al computer determinano a quali moduli e
funzioni è possibile accedere.
Modificare la Modalità interfaccia client nelle impostazioni In comune.
Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle
apportate dalla pagina Impostazioni.
Le opzioni Modalità interfaccia client per il client sono:
16
Guida del prodotto
Introduzione
1
Consente di accedere a tutte le funzionalità, tra cui:
Accesso
completo
• Attivazione e disattivazione di singoli moduli e funzioni.
• Accesso alla pagina Impostazioni per visualizzare o modificare tutte le impostazioni di
Client Endpoint Security.
(Opzione predefinita)
Visualizza lo stato di protezione e consente di accedere alla maggior parte delle
funzionalità:
Accesso
standard
• Aggiorna i file di contenuto e i componenti software sul computer (se attivato
dall'amministratore).
• Esecuzione di un controllo approfondito di tutte le zone del sistema (consigliato se si
sospetta che il computer sia infetto).
• Esecuzione di un controllo rapido (2 minuti) delle zone del sistema più soggette alle
infezioni.
• Accesso al registro eventi.
• Gestione di elementi in quarantena.
Dalla modalità interfaccia Accesso standard, è possibile eseguire l'accesso come
amministratore e accedere a tutte le funzioni, comprese tutte le impostazioni.
Richiede una password per accedere al client.
Blocca
interfaccia
client
Una volta sbloccata l'interfaccia client, è possibile accedere a tutte le funzioni.
Se non è possibile accedere a Client Endpoint Security o ad attività e funzioni specifiche necessarie per
il proprio lavoro, contattare l'amministratore.
Vedere anche
Controllo dell'accesso all'interfaccia client a pagina 33
Come influiscono i moduli installati sul client
Alcuni aspetti del client potrebbero non essere disponibili, a seconda dei moduli installati sul computer.
Le seguenti funzionalità sono disponibili solo se Prevenzione delle minacce è installato:
•
Pulsante
•
Pulsante Quarantena
Guida del prodotto
17
1
Introduzione
Le funzioni installate sul sistema determinano le funzionalità visualizzate:
•
Nell'elenco a discesa Filtra per modulo del Registro eventi.
•
Nella pagina Impostazioni.
In comune
Viene visualizzato se è installato un modulo.
Prevenzione delle minacce Viene visualizzato solo se Prevenzione delle minacce è installato.
Firewall
Viene visualizzato solo se Firewall è installato.
Controllo Web
Viene visualizzato solo se Controllo Web è installato.
Intelligence sulle minacce Viene visualizzato solo se Intelligence sulle minacce e Prevenzione delle
minacce sono installati.
Intelligence sulle minacce non è supportato nei sistemi gestiti da McAfee
ePO Cloud.
In base alla Modalità interfaccia client e al tipo di configurazione dell'accesso da parte
dell'amministratore, alcune o tutte queste funzioni potrebbero non essere disponibili.
Vedere anche
Influenza delle impostazioni sull'accesso al client a pagina 16
18
Guida del prodotto
2
Utilizzare il client in modalità di accesso Standard per eseguire la maggior parte delle funzioni, incluse
le scansioni di sistema e la gestione degli elementi in quarantena.
Sommario
Apertura di Client Endpoint Security
Richiesta di assistenza
Risposta a richieste
Informazioni sulla protezione
Aggiornamento manuale di protezione e software
Visualizzazione del Registro eventi
Gestione di Endpoint Security
Riferimento interfaccia client — In comune
Apertura di Client Endpoint Security
Aprire Client Endpoint Security per visualizzare lo stato delle funzioni di protezione installate sul
computer.
Se la modalità interfaccia è impostata su Blocca interfaccia client, inserire la password amministratore per
aprire Client Endpoint Security.
Attività
1
2
Utilizzare uno di questi metodi per visualizzare Client Endpoint Security:
•
Fare clic con il pulsante destro del mouse sull'icona della barra delle applicazioni, quindi
selezionare McAfee Endpoint Security.
•
Selezionare Start | Tutti i programmi | McAfee | McAfee Endpoint Security.
•
In Windows 8 e 10, avviare l'app McAfee Endpoint Security.
1
Premere il tasto Windows.
2
Inserire McAfee Endpoint Security nell'area di ricerca, quindi fare doppio clic o toccare
l'app McAfee Endpoint Security.
Se richiesto, immettere la password amministratore nella pagina Accesso amministratore, quindi fare
clic su Accedi.
Client Endpoint Security si apre nella modalità interfaccia configurata dall'amministratore.
Vedere anche
Guida del prodotto
19
2
I due metodi di richiesta di assistenza durante l'uso del client sono l'opzione di menu Guida e l'icona ?.
Per consultare la guida di Endpoint Security con Internet Explorer, è necessario attivare gli script attivi
nel browser.
Attività
1
Aprire Client Endpoint Security.
2
A seconda della pagina in cui ci si trova:
•
Pagine Stato, Registro eventi e Quarantena: dal menu Azione
•
Pagine Impostazioni, Aggiorna, Esegui scansione del sistema, Ripristina contenuto di AMCore e Carica Extra.DAT:
fare clic su ? nell'interfaccia.
, selezionare Guida.
A seconda della configurazione delle impostazioni, Endpoint Security può richiedere all'utente un input
quando sta per iniziare una scansione su richiesta pianificata.
Attività
•
Risposta a un messaggio di rilevamento minaccia a pagina 20
Quando il programma di scansione rileva una minaccia, Endpoint Security potrebbe
richiedere all'utente un input per procedere, in base alla modalità di configurazione delle
impostazioni.
•
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe
richiedere all'utente un input per procedere. La richiesta viene visualizzata solo se la
scansione è configurata per consentire all'utente di rinviare, sospendere, riprendere o
annullare la scansione.
•
Risposta a una richiesta di reputazione del file a pagina 21
Quando si tenta di eseguire un file con un determinato livello di reputazione, Endpoint
Security potrebbe inviare una richiesta di conferma per continuare. La richiesta si presenta
solo se Intelligence sulle minacce è configurato per eseguirla.
Risposta a un messaggio di rilevamento minaccia
Quando il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere
all'utente un input per procedere, in base alla modalità di configurazione delle impostazioni.
Attività
Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida.
•
Dalla pagina Scansione all'accesso, selezionare le opzioni per gestire i rilevamenti di minacce.
È possibile aprire nuovamente e in qualsiasi momento la pagina di scansione per gestire i
rilevamenti.
L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint
Security o del sistema.
20
Guida del prodotto
2
Vedere anche
Risposta a richiesta di scansione
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe richiedere
all'utente un input per procedere. La richiesta viene visualizzata solo se la scansione è configurata per
consentire all'utente di rinviare, sospendere, riprendere o annullare la scansione.
Se non si seleziona un'opzione, la scansione viene avviata automaticamente.
Esclusivamente per i sistemi gestiti, se la scansione è configurata per essere eseguita solo quando il
computer è inattivo, Endpoint Security mostra una finestra di dialogo quando la scansione viene
sospesa. Se configurato, è inoltre possibile riprendere le scansioni sospese o reimpostarle per
l'esecuzione solo quando il sistema è inattivo.
Attività
•
Quando viene visualizzata la richiesta, selezionare una delle seguenti opzioni.
Le opzioni visualizzate dipendono dal tipo di configurazione della scansione.
Avvia scansione
Avvia immediatamente la scansione.
Visualizza scansione Visualizza i rilevamenti per una scansione in corso.
Sospendi scansione Sospende la scansione. A seconda della configurazione, se si fa clic su Sospendi
scansione la scansione potrebbe essere reimpostata per l'esecuzione solamente
quando il sistema è inattivo. Fare clic su Riprendi scansione per riprendere la
scansione da dove è stata sospesa.
Riprendi scansione
Riprende una scansione sospesa.
Annulla scansione
Annulla la scansione.
Rinvia scansione
Ritarda la scansione per il numero di ore specificato.
Le opzioni della scansione pianificata determinano quante volte è possibile
rinviare la scansione per un'ora. Potrebbe essere possibile rinviare la scansione
più di una volta.
Chiude la pagina di scansione.
Chiudi
Se il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere all'utente
un input per procedere, in base alla modalità di configurazione delle impostazioni.
Risposta a una richiesta di reputazione del file
Quando si tenta di eseguire un file con un determinato livello di reputazione, Endpoint Security
potrebbe inviare una richiesta di conferma per continuare. La richiesta si presenta solo se Intelligence
sulle minacce è configurato per eseguirla.
L'amministratore configura una soglia di reputazione, che, nel momento in cui viene superata,
determina l'invio della richiesta di conferma. Ad esempio, se la soglia di reputazione è Sconosciuti,
Endpoint Security invia una richiesta di conferma per tutti i file con reputazione sconosciuta e
inferiore.
Guida del prodotto
21
2
Se non viene selezionata alcuna opzione, Intelligence sulle minacce esegue l'azione predefinita
configurata dall'amministratore.
Le azioni di richiesta, timeout e opzione predefinita dipendono dalla configurazione di Intelligence sulle
minacce.
Attività
1
(Opzionale) Insieme alla richiesta, è possibile inserire un messaggio da inviare all'amministratore.
Ad esempio, il messaggio potrebbe descrivere il file o spiegare il motivo per cui l'accesso al file è
stato bloccato o consentito nel sistema.
2
Cliccare su Consenti o Blocca.
Consenti
Consente l'accesso al file.
Blocca
Blocca l'accesso al file nel sistema.
Per impostare Intelligence sulle minacce e non far inviare nuovamente una richiesta di conferma
per lo stesso file, selezionare Memorizza questa decisione.
Intelligence sulle minacce, basandosi sulla scelta dell'utente o l'azione predefinita, interviene e chiude
la finestra di richiesta.
È possibile ottenere informazioni sulla protezione Endpoint Security, inclusi tipo di gestione, moduli,
funzioni, stato, numeri di versione e licenze della protezione.
Attività
1
2
Dal menu Azione
3
Fare clic sul nome di un modulo o di una funzione a sinistra per passare alle informazioni su
quell'elemento.
4
Fare clic sul pulsante Chiudi del browser per chiudere la pagina Informazioni.
, selezionare Informazioni.
Vedere anche
Tipi di gestione a pagina 22
Tipi di gestione
Il tipo di gestione indica la modalità di gestione di Endpoint Security.
22
Guida del prodotto
Tipo gestione
Descrizione
McAfee ePolicy
Orchestrator
Un amministratore gestisce Endpoint Security utilizzando McAfee ePO (in
sede).
McAfee ePolicy
Orchestrator Cloud
Un amministratore gestisce Endpoint Security utilizzando McAfee ePO
Cloud.
2
Le informazioni più recenti sulla licenza di gestione e sull'autorizzazione
per Endpoint Security, consultare l'articolo KB87057.
Autogestito
Endpoint Security è gestito localmente utilizzando Client Endpoint Security.
Questa modalità è anche definita non gestito o autonomo.
In base al tipo di configurazione delle impostazioni, è possibile eseguire la ricerca e scaricare gli
aggiornamenti manualmente per i file di contenuto e i componenti software dal Client Endpoint
Security.
Gli aggiornamenti manuali sono denominati aggiornamenti su richiesta.
È inoltre possibile eseguire aggiornamenti manuali dall'icona della barra delle applicazioni di McAfee.
Endpoint Security non supporta recupero e copia manuale dei file di contenuto aggiornati nel sistema
client. Per assistenza durante l'aggiornamento di una specifica versione di contenuto, mettersi in
contatto con l' Assistenza McAfee .
Attività
1
2
Fare clic su
.
Se il pulsante non viene visualizzato nel client, è possibile attivarlo nelle impostazioni.
Client Endpoint Security verifica la disponibilità di aggiornamenti.
•
Per annullare l'aggiornamento, fare clic su Annulla.
•
Se il sistema è aggiornato, la pagina mostra l'opzione Nessun aggiornamento disponibile e la data e
l'ora dell'ultimo aggiornamento.
•
Se l'aggiornamento viene completato, la pagina visualizza la data e l'ora correnti dell'ultimo
aggiornamento.
Tutti i messaggi o errori vengono visualizzati nell'area Messaggi.
Per maggiori informazioni consultare il file PackageManager_Activity.log o
PackageManager_Debug.log.
3
Fare clic su Chiudi per chiudere la pagina di aggiornamento.
Vedere anche
Accesso alle attività di Endpoint Security dall'icona della barra delle applicazioni McAfee a
pagina 12
Mantenimento dell'aggiornamento della protezione a pagina 10
Nomi e posizioni dei file di registro di Endpoint Security a pagina 25
Elementi aggiornati a pagina 24
Configurazione del comportamento predefinito per gli aggiornamenti a pagina 37
Guida del prodotto
23
2
Elementi aggiornati
Endpoint Security aggiorna contenuto di sicurezza, software (hotfix e patch) e impostazioni della policy
in modo diverso, a seconda del tipo di gestione.
La visibilità e il comportamento del pulsante
possono essere configurati.
Tipo gestione
Metodo di aggiornamento
Aggiornamenti
McAfee ePO
Opzione Aggiorna sicurezza nel menu dell'icona
della barra delle applicazioni di sistema
McAfee
Solo contenuto e software, non le
impostazioni della policy.
Pulsante
Endpoint Security
McAfee ePO
Cloud
della barra delle applicazioni McAfee
Pulsante
Security
Autogestito
nel client Client
in Client Endpoint
della barra delle applicazioni McAfee
Pulsante
Endpoint Security
nel client Client
Contenuto, software e impostazioni
della policy, se configurate.
della policy.
Solo contenuto e software.
Vedere anche
Nei registri attività e debug è memorizzato un record degli eventi che si verificano nel sistema protetto
da McAfee. È possibile visualizzare il registro eventi da Client Endpoint Security.
Attività
Per assistenza, nel menu Azione
1
2
Fare clic su Registro eventi nella parte sinistra della pagina.
Nella pagina sono visualizzati gli eventi registrati da Endpoint Security nel sistema negli ultimi 30
giorni.
Se Client Endpoint Security non riesce a raggiungere Gestore eventi, visualizza un messaggio di
errore di comunicazione. In questo caso, riavviare il sistema per visualizzare il registro eventi.
3
Selezionare un evento dal riquadro superiore per visualizzare i dettagli nel riquadro inferiore.
Per modificare le dimensioni relative dei riquadri, fare clic e trascinare il widget sash tra i riquadri.
24
Guida del prodotto
4
2
Nella pagina Registro eventi, ordinare, cercare, filtrare o ricaricare eventi.
Le opzioni visualizzate dipendono dal tipo di configurazione della scansione.
Per...
Passaggi
Ordinare gli eventi per data,
funzioni, azione intrapresa e
gravità.
Fare clic sull'intestazione colonna della tabella.
Eseguire ricerche nel registro
eventi.
Inserire il testo da cercare nel campo Cerca e premere Invio o
fare clic su Cerca.
La ricerca distingue fra maiuscole e minuscole e viene eseguita
in tutti i campi del registro eventi. Nell'elenco eventi sono
mostrati tutti gli elementi che contengono il testo
corrispondente.
Per annullare la ricerca e visualizzare tutti gli eventi, fare clic
su x nel campo Cerca.
5
Filtrare gli eventi per gravità o
modulo.
Selezionare un'opzione dall'elenco a discesa del filtro.
Aggiornare la visualizzazione del
Registro eventi con eventuali eventi.
Fare clic su
Aprire la cartella che contiene i
file di registro.
Fare clic su Visualizza cartella registri.
Per rimuovere il filtro e visualizzare tutti gli eventi, selezionare
Mostra tutti gli eventi dall'elenco a discesa.
.
Sfogliare il registro eventi.
Per...
Passaggi
Visualizzare la pagina di eventi precedente.
Fare clic su Pagina precedente.
Visualizzare la pagina di eventi successiva.
Fare clic su Pagina successiva.
Visualizzare una pagina specifica nel
registro.
Immettere un numero di pagina e premere Invio o
fare clic su Vai.
Per impostazione predefinita, il registro eventi mostra 20 eventi per pagina. Per visualizzare più
eventi per pagina, selezionare un'opzione dall'elenco a discesa Eventi per pagina.
Vedere anche
Nomi e posizioni dei file di registro di Endpoint Security
I file di registro di attività, errori e debug registrano gli eventi che si verificano nei sistemi in cui è
attivo Endpoint Security. Configurare la registrazione nelle impostazioni In comune.
I file di registro attività vengono visualizzati nella lingua specificata dalle impostazioni locali predefinite
del sistema.
Per impostazione predefinita, tutti i file di registro attività e di debug vengono memorizzati in uno dei
seguenti percorsi, a seconda del sistema operativo.
Sistema operativo
Percorso predefinito
Microsoft Windows 10
%ProgramData%\McAfee\Endpoint Security\Logs
Microsoft Windows 8 e 8.1
Guida del prodotto
25
2
Sistema operativo
Percorso predefinito
Microsoft Windows 7
Microsoft Vista
C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint
Security\Logs
Ogni modulo, funzione o tecnologia posiziona registrazioni di attività o debug in un file separato. Tutti i
moduli posizionano registrazioni di errore in un singolo file denominato
EndpointSecurityPlatform_Errors.log.
L'attivazione della registrazione debug per qualsiasi modulo attiva anche la registrazione di debug per
le funzioni del modulo In comune, come l'autoprotezione.
Tabella 2-1 File di registro
Modulo
Funzionalità o
tecnologia
In comune
Nome file
EndpointSecurityPlatform_Activity.log
EndpointSecurityPlatform_Debug.log
Autoprotezione
SelfProtection_Activity.log
SelfProtection_Debug.log
Aggiornamenti
PackageManager_Activity.log
PackageManager_Debug.log
Prevenzione delle
minacce
Errori
EndpointSecurityPlatform_Errors.log
L'attivazione della
registrazione debug per
qualsiasi tecnologia
Prevenzione delle minacce
attiva anche la
registrazione debug per
ThreatPrevention_Activity.log
Protezione dell'accesso
AccessProtection_Activity.log
ThreatPrevention_Debug.log
AccessProtection_Debug.log
Prevenzione exploit
ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
Scansione all'accesso
OnAccessScan_Activity.log
OnAccessScan_Debug.log
Scansione su richiesta
OnDemandScan_Activity.log
• Scansione rapida
OnDemandScan_Debug.log
• Scansione completa
• Scansione di scelta
rapida
Client Endpoint Security
Firewall
MFEConsole_Debug.log
Firewall_Activity.log
Firewall_Debug.log
FirewallEventMonitor.log
Registra gli eventi di traffico bloccati e consentiti,
se configurato.
Controllo Web
26
WebControl_Activity.log
Guida del prodotto
2
Tabella 2-1 File di registro (segue)
Modulo
Funzionalità o
tecnologia
Nome file
WebControl_Debug.log
Intelligence sulle
minacce
ThreatIntelligence_Activity.log
ThreatIntelligence_Debug.log
Isolamento dinamico
dell'applicazione
DynamicApplicationContainment_Activity.log
DynamicApplicationContainment_Debug.log
Per impostazione predefinita, i file di registro di installazione vengono memorizzati nelle seguenti
posizioni:
Autogestito
%TEMP%\McAfeeLogs (cartella TEMP dell'utente Windows)
Gestito
TEMP\McAfeeLogs (cartella TEMP del sistema Windows)
In qualità di amministratore, è possibile gestire Endpoint Security da Client Endpoint Security e ciò
include la disattivazione e l'attivazione di funzioni, la gestione di file di contenuto, la specifica della
modalità di comportamento dell'interfaccia client, la pianificazione delle attività e la configurazione
delle impostazioni in comune.
Vedere anche
Attivare e disattivare funzionalità a pagina 28
Modifica della versione AMCore content a pagina 29
Uso dei file Extra.DAT a pagina 29
Configurazione delle impostazioni comuni a pagina 30
Accedere come amministratore
Per attivare e disattivare le funzionalità e configurare le impostazioni, accedere al client Client
Endpoint Security come amministratore.
Prima di iniziare
La modalità dell'interfaccia per Client Endpoint Security deve essere impostata su Accesso
standard.
Attività
1
Aprire il client Client Endpoint Security.
2
Dal menu Azione
3
Nel campo Password immettere la password dell'amministratore, quindi fare clic su Accesso.
selezionare Accesso amministratore.
Guida del prodotto
27
2
È ora possibile accedere a tutte le funzionalità di Client Endpoint Security.
Per disconnettersi, selezionare Azione | Disconnetti amministratore. Il client ritorna alla modalità interfaccia
Accesso standard.
Sbloccare l'interfaccia client
Se l'interfaccia del client Client Endpoint Security è bloccata, sbloccarla con la password
dell'amministratore per accedere a tutte le impostazioni.
Prima di iniziare
La modalità dell'interfaccia per Client Endpoint Security deve essere impostata su Blocca
interfaccia client.
Attività
1
2
Nella pagina Accesso amministratore, immettere la password dell'amministratore nel campo Password,
quindi fare clic su Accedi.
Viene aperto il client Client Endpoint Security ed è quindi possibile accedere a tutte le funzionalità
del client.
3
Per uscire e chiudere il client, dal menu Azione
, selezionare Disconnetti amministratore.
Attivare e disattivare funzionalità
L'amministratore può disattivare e attivare le funzionalità di Endpoint Security dal client Client
Endpoint Security.
Prima di iniziare
La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso
completo oppure è necessario essere registrati come amministratore.
La pagina Stato mostra lo stato attivato del modulo, che potrebbe non riflettere lo stato reale delle
funzioni. È possibile visualizzare lo stato di ciascuna funzione nella pagina Impostazioni. Ad esempio, se
l'impostazione Attiva ScriptScan non è applicata correttamente, lo stato potrebbe essere (Stato:
disattivato).
Attività
1
2
Fare clic sul nome del modulo (ad esempio Prevenzione delle minacce o Firewall) nella pagina Stato
principale.
In alternativa, dal menu Azione
pagina Impostazioni.
3
, selezionare Impostazioni, quindi fare clic sul nome del modulo nella
Selezionare o deselezionare l'opzione Attiva modulo o funzione.
Attivando una delle funzioni di Prevenzione delle minacce verrà attivato il modulo Prevenzione delle
minacce.
Vedere anche
28
Guida del prodotto
2
Modifica della versione AMCore content
Utilizzare Client Endpoint Security per modificare la versione di AMCore content sul sistema.
Prima di iniziare
Endpoint Security archivia il file di contenuto attualmente caricato e le due versioni precedenti nella
cartella Program Files\Common Files\McAfee\Engine\content. Se necessario, è possibile tornare a una
versione precedente.
Attività
1
2
Dal menu Azione
3
Dall'elenco a discesa, selezionare la versione da caricare.
4
Fare clic su Applica.
, selezionare Ripristina AMCore content.
I rilevamenti nel file AMCore content caricato vengono applicati immediatamente.
Vedere anche
Funzionamento dei file di contenuto a pagina 11
Uso dei file Extra.DAT
È possibile installare un file Extra.DAT per proteggere il sistema da infezioni malware significative fino
al rilascio dell'aggiornamento AMCore content successivo.
Attività
•
Download di file Extra.DAT a pagina 30
Per scaricare un file Extra.DAT fare clic sul link di download fornito da McAfee Labs.
•
Caricamento di un file Extra.DAT a pagina 30
Per installare il file Extra.DAT scaricato, utilizzare Client Endpoint Security.
Vedere anche
Informazioni sui file Extra.DAT a pagina 29
Informazioni sui file Extra.DAT
Quando viene scoperto un nuovo malware ed è necessario effettuare ulteriori rilevamenti, McAfee Labs
rende disponibile un file Extra.DAT. I file Extra.DAT contengono informazioni utilizzate da Prevenzione
delle minacce per gestire i nuovi malware.
È possibile scaricare file Extra.DAT per minacce specifiche dalla pagina di richiesta file Extra.DAT McAfee
Labs.
Prevenzione delle minacce supporta l'utilizzo di un solo file Extra.DAT.
Guida del prodotto
29
2
Ogni file Extra.DAT include una data di scadenza. Quando il file Extra.DAT viene caricato, questa data
di scadenza viene confrontata con la data di creazione di AMCore content installato sul sistema. Se la
data di creazione del contenuto AMCore è più recente rispetto alla data di scadenza del file Extra.DAT,
quest'ultimo viene considerato scaduto e non viene più caricato e utilizzato dal motore. Durante
l'aggiornamento successivo, il file Extra.DAT viene rimosso dal sistema.
Se il successivo aggiornamento di AMCore content include la firma Extra.DAT, il file Extra.DAT viene
rimosso.
Endpoint Security archivia i file Extra.DAT nella cartella al seguente percorso: c:\Program Files
\Common Files\McAfee\Engine\content\avengine\extradat.
Download di file Extra.DAT
Per scaricare un file Extra.DAT fare clic sul link di download fornito da McAfee Labs.
Attività
1
Fare clic sul link di download, specificare un percorso in cui salvare il file Extra.DAT, quindi fare clic
su Salva.
2
Se necessario, estrarre il file EXTRA.ZIP.
3
Caricare il file Extra.DAT con Client Endpoint Security.
Caricamento di un file Extra.DAT
Per installare il file Extra.DAT scaricato, utilizzare Client Endpoint Security.
Prima di iniziare
Attività
1
2
Nel menu Azione
3
Fare clic su Sfoglia, individuare il percorso in cui è stato scaricato il file Extra.DAT, quindi fare clic su
Apri.
4
Fare clic su Applica.
, selezionare Carica Extra.DAT.
I nuovi rilevamenti nel file Extra.DAT hanno effetto immediato.
Vedere anche
Configurazione delle impostazioni comuni
Configurare le impostazioni applicabili a tutti i moduli e le funzionalità di Endpoint Security nel modulo
In comune. Queste impostazioni includono le impostazioni della lingua e della sicurezza
30
Guida del prodotto
2
dell'interfacciaClient Endpoint Security, la registrazione, le impostazioni del server proxy per McAfee
GTI e la configurazione degli aggiornamenti.
Attività
•
Protezione di risorse Endpoint Security a pagina 31
Una delle prime operazioni che i malware cercano di eseguire durante un attacco è la
disattivazione del software di sicurezza del sistema. Configurare le impostazioni di
autoprotezione di Endpoint Security nelle impostazioni del modulo In comune per impedire
l'arresto o la modifica dei servizi e dei file di Endpoint Security.
•
Configurazione delle impostazioni di registrazione a pagina 32
Configurare la registrazione Endpoint Security nelle impostazioni del modulo In comune.
•
Consentire autenticazione mediante certificato a pagina 32
I certificati consentono a un fornitore di eseguire codice nei processi McAfee.
•
Per controllare l'accesso al client Client Endpoint Security, impostare una password nelle
impostazioni del modulo In comune.
•
Configurazione delle impostazioni del server proxy per McAfee GTI a pagina 34
Specificare le opzioni server proxy per recuperare la reputazione McAfee GTI nelle
Protezione di risorse Endpoint Security
Una delle prime operazioni che i malware cercano di eseguire durante un attacco è la disattivazione
del software di sicurezza del sistema. Configurare le impostazioni di autoprotezione di Endpoint
Security nelle impostazioni del modulo In comune per impedire l'arresto o la modifica dei servizi e dei
file di Endpoint Security.
Prima di iniziare
Se si disattiva l'autoprotezione Endpoint Security, il sistema è vulnerabile agli attacchi.
Attività
1
2
Dal menu Azione
3
Fare clic su Mostra Avanzate.
4
Da Autoprotezione, verificare che Autoprotezione sia attivata.
5
Specificare l'azione per ciascuna delle seguenti risorse Endpoint Security:
6
, selezionare Impostazioni.
•
File e cartelle: impedisce agli utenti di modificare il database McAfee, i file binari, i file di ricerche
sicure e i file di configurazione.
•
Registro: impedisce agli utenti di modificare l'hive del registro McAfee, i componenti COM e di
eseguire disinstallazioni utilizzando il valore di registro.
•
Processi: impedisce l'arresto dei processi McAfee.
Fare clic su Applica per salvare le modifiche, oppure su Annulla.
Vedere anche
Guida del prodotto
31
2
Configurazione delle impostazioni di registrazione
Configurare la registrazione Endpoint Security nelle impostazioni del modulo In comune.
Prima di iniziare
Attività
1
2
Dal menu Azione
3
4
Configurare le impostazioni Registrazione client nella pagina.
5
Vedere anche
Consentire autenticazione mediante certificato
I certificati consentono a un fornitore di eseguire codice nei processi McAfee.
Quando viene rilevato un processo, la tabella dei certificati viene compilata con Fornitore, Soggetto e
Hash della chiave pubblica associata.
Questa impostazione potrebbe causare problemi di compatibilità e ridurre la sicurezza.
Attività
1
2
Dal menu Azione
3
4
Nella sezione Certificati, selezionare Consenti.
5
Visualizza i dettagli della certificazione nella tabella.
32
Guida del prodotto
2
Controllo dell'accesso all'interfaccia client
Per controllare l'accesso al client Client Endpoint Security, impostare una password nelle impostazioni
del modulo In comune.
Prima di iniziare
Per impostazione predefinita, la modalità Interfaccia client è impostata su Accesso completo, in modo da
consentire agli utenti di modificare la propria configurazione di sicurezza, operazione che può
pregiudicare la protezione dei sistemi dagli attacchi malware.
Attività
1
2
Dal menu Azione
3
Configurare le impostazioni della modalità Interfaccia client nella pagina.
Procedura consigliata: per aumentare la sicurezza, impostare la modalità Interfaccia client su Standard o
Blocca interfaccia client. Entrambe le opzioni richiedono una password per accedere alle impostazioni del
client Client Endpoint Security.
4
Vedere anche
Effetti dell'impostazione di una password amministratore a pagina 33
Effetti dell'impostazione di una password amministratore
Quando si imposta la modalità dell'interfaccia su Accesso standard, è inoltre necessario impostare una
password amministratore.
L'impostazione di una password amministratore in Client Endpoint Security ha effetto per i seguenti
utenti:
Guida del prodotto
33
2
Non amministratori
Gli utenti non amministratori possono:
(utenti privi di diritti di
amministratore)
• Visualizzare alcuni parametri di configurazione.
• Eseguire scansioni.
• Verificare la disponibilità di aggiornamenti (se attivato).
• Visualizzare la quarantena.
• Visualizzare il registro eventi.
• Accedere alla pagina Impostazioni per visualizzare o modificare le
regole Firewall (se attivate).
Gli utenti non amministratori non possono:
• Modificare i parametri di configurazione.
• Visualizzare, creare, eliminare o modificare le impostazioni delle .
Un'eccezione è la possibilità di visualizzare o modificare le regole
Firewall (se attivate).
Amministratori
Gli amministratori devono immettere la password per accedere alle aree
(utenti che dispongono dei protette e modificare le impostazioni.
privilegi amministrativi)
Configurazione delle impostazioni del server proxy per McAfee GTI
Specificare le opzioni server proxy per recuperare la reputazione McAfee GTI nelle impostazioni del
modulo In comune.
Prima di iniziare
Attività
1
2
Dal menu Azione
3
4
Configurare le impostazioni Server proxy per McAfee GTI nella pagina.
5
Vedere anche
Funzionamento di McAfee GTI a pagina 34
Funzionamento di McAfee GTI
Se si attiva McAfee GTI per il programma di scansione all'accesso o su richiesta, il programma di
scansione utilizza l'euristica per verificare i file sospetti. Il server McAfee GTI archivia le classificazioni
sito e i rapporti per Controllo Web. Se si configura Controllo Web per la scansione dei file scaricati, il
34
Guida del prodotto
2
programma di scansione utilizza la reputazione dei file fornita da McAfee GTI per verificare la presenza
di file sospetti.
Il programma di scansione invia le impronte digitali degli elementi, o hash, a un server di database
centrale ospitato da McAfee Labs per stabilire se si tratta di malware. Inviando gli hash, il rilevamento
potrebbe essere reso disponibile prima del successivo aggiornamento dei file di contenuto, quando
McAfee Labs pubblica l'aggiornamento.
È possibile configurare il livello di sensibilità utilizzato da McAfee GTI per stabilire se un campione
rilevato è un malware. Un livello di sensibilità più elevato comporta un maggior numero di rilevamenti
di malware. Tuttavia, consentendo un maggior numero di rilevamenti è possibile ottenere un maggior
numero di falsi positivi.
•
Per Prevenzione delle minacce, il livello di sensibilità di McAfee GTI è impostato su Medio per
impostazione predefinita. Configurare il livello di sensibilità per ciascun programma di scansione
nelle impostazioni di Prevenzione delle minacce.
•
Per Controllo Web, il livello di sensibilità di McAfee GTI è impostato su Molto elevato per
impostazione predefinita. Configurare il livello di sensibilità per la scansione dei download di file
nelle impostazioni Opzioni di Controllo Web.
È possibile configurare Endpoint Security per utilizzare un server proxy per il recupero delle
informazioni di reputazione di McAfee GTI nelle impostazioni del modulo In comune.
Configurazione del comportamento di aggiornamento
Specificare il comportamento per gli aggiornamenti avviati da Client Endpoint Security nelle
impostazioni In comune.
Attività
•
Configurazione dei siti di origine per gli aggiornamenti a pagina 35
È possibile configurare i siti dai quali il client Client Endpoint Security ottiene file di
sicurezza aggiornati nelle impostazioni del modulo In comune.
•
È possibile specificare il comportamento predefinito per gli aggiornamenti avviati dal client
Client Endpoint Security nelle impostazioni del modulo In comune.
•
Configurazione, pianificazione e attivazione delle attività di aggiornamento a pagina 39
È possibile configurare le attività di aggiornamento personalizzato o modificare la
pianificazione dell'attività Aggiornamento client predefinito dal client Client Endpoint Security nelle
•
Configurazione, pianificazione e attivazione dei compiti di mirroring a pagina 40
È possibile modificare o pianificare le attività di mirroring da Client Endpoint Securitynelle
impostazioni del In comune .
Configurazione dei siti di origine per gli aggiornamenti
È possibile configurare i siti dai quali il client Client Endpoint Security ottiene file di sicurezza
aggiornati nelle impostazioni del modulo In comune.
Prima di iniziare
Guida del prodotto
35
2
Attività
1
2
Dal menu Azione
3
4
Da In comune, fare clic su Opzioni.
5
Configurare le impostazioni Siti di origine per gli aggiornamenti nella pagina.
È possibile attivare e disattivare il sito di origine backup predefinito, McAfeeHttp, e il server di
gestione (per i sistemi gestiti), ma non è possibile modificarli o eliminarli.
L'ordine dei siti determina l'ordine utilizzato da Endpoint Security per cercare il sito di
aggiornamento.
Per...
Attenersi alla seguente procedura
Aggiungere un sito
all'elenco.
1 Fare clic su Aggiungi.
2 Specificare le impostazioni del sito, quindi fare clic su OK.
Il sito viene visualizzato all'inizio dell'elenco.
Modificare un sito
esistente.
1 Fare doppio clic sul nome del sito.
Eliminare un sito.
Selezionare il sito, quindi fare clic su Elimina.
Importare siti da un file
contenente un elenco di
siti di origine.
1 Fare clic su Importa.
2 Modificare le impostazioni, quindi fare clic su OK.
2 Selezionare il file da importare, quindi fare clic su OK.
Il file con l'elenco di siti sostituisce l'elenco dei siti di origine esistente.
Esportare l'elenco di siti
di origine in un file
SiteList.xml.
1 Fare clic su Esporta tutto.
Riordinare i siti
nell'elenco.
Per spostare gli elementi:
2 Selezionare la posizione in cui salvare il file con l'elenco di siti di
origine e fare clic su OK.
1 Selezionare gli elementi da spostare.
Il simbolo di spostamento
viene visualizzato a sinistra degli
elementi che possono essere spostati.
2 Trascinare e rilasciare gli elementi nella nuova posizione.
Viene visualizzata una riga blu tra gli elementi dove è possibile
rilasciare gli elementi trascinati.
6
Vedere anche
Contenuto dell'elenco degli archivi a pagina 37
Funzionamento dell'attività Aggiornamento client predefinito a pagina 38
36
Guida del prodotto
2
Contenuto dell'elenco degli archivi
L'elenco degli archivi specifica informazioni sugli archivi utilizzati da McAfee Agent per aggiornare i
prodotti McAfee, compresi i file DAT e del motore.
L'elenco degli archivi include:
•
Informazioni sugli archivi e relativi percorsi
•
Preferenza dell'ordine degli archivi
•
Impostazioni del server proxy, se necessario
•
Credenziali crittografate necessarie per accedere a ciascun archivio
L'attività client di aggiornamento del prodotto McAfee Agent si connette al primo archivio attivato (sito
di aggiornamento) nell'elenco degli archivi. Se questo archivio non è disponibile, l'attività contatta il
sito successivo nell'elenco fino a stabilire correttamente la connessione o a raggiungere la fine
dell'elenco.
Se la rete utilizza un server proxy, è possibile specificare le impostazioni proxy da utilizzare, l'indirizzo
del server proxy e determinare se utilizzare o meno l'autenticazione. Le informazioni relative al proxy
vengono memorizzate nell'elenco degli archivi. Le impostazioni proxy configurate si applicano a tutti
gli archivi presenti nell'elenco.
La posizione dell'elenco degli archivi dipende dal sistema operativo:
Sistema operativo Posizione elenco degli archivi
Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml
Microsoft Windows 7
Versioni precedenti
C:\Documents and Settings\All Users\Application Data\McAfee\Common
Framework\SiteList.xml
Configurazione del comportamento predefinito per gli aggiornamenti
È possibile specificare il comportamento predefinito per gli aggiornamenti avviati dal client Client
Endpoint Security nelle impostazioni del modulo In comune.
Prima di iniziare
Utilizzare le impostazioni seguenti per:
•
Visualizzare o nascondere il pulsante
•
nel client.
Specificare cosa aggiornare quando l'utente fa clic sul pulsante o esegue l'attività Aggiornamento
client predefinito.
Per impostazione predefinita, l'attività Aggiornamento client predefinito viene eseguita ogni giorno
all'una di notte e ripetuta ogni quattro ore fino alle 23:59.
Sui sistemi autogestiti, l'attività Aggiornamento client predefinito aggiorna tutti i contenuti e il
software. Sui sistemi gestiti, questa attività aggiorna solo i contenuti.
Guida del prodotto
37
2
Attività
1
2
Dal menu Azione
3
4
Configurare le impostazioni di Aggiornamento client predefinito nella pagina.
5
Vedere anche
Funzionamento dell'attività Aggiornamento client predefinito
L'attività Aggiornamento client predefinito esegue il download della protezione più recente nel client
Endpoint Security include l'attività Aggiornamento client predefinito che viene eseguita ogni giorno
all'una di notte e ripetuta ogni quattro ore fino alle 23:59.
L'attività Aggiornamento client predefinito:
1
Esegue la connessione al primo sito di origine attivato nell'elenco.
Se questo sito non è disponibile, l'attività contatta il sito successivo fino a stabilire la connessione o
a raggiungere la fine dell'elenco.
2
Scarica un file CATALOG.Z crittografato dal sito.
Il file contiene le informazioni necessarie per eseguire l'aggiornamento, compresi i file e gli
aggiornamenti disponibili.
3
Verifica le versioni del software contenute nel file confrontandole con quelle presenti nel computer e
scarica eventuali nuovi aggiornamenti software disponibili.
Se l'attività Aggiornamento client predefinito viene interrotta durante l'aggiornamento:
Aggiornamenti da...
Se interrotto...
HTTP, UNC o un sito locale
All'avvio successivo la scansione verrà ripresa dal punto in cui
era stata sospesa.
Sito FTP (download di un singolo file) Non riprende se viene interrotta.
Sito FTP (download di più file)
Riprende prima del file che si trovava in fase di download al
momento dell'interruzione.
Vedere anche
Contenuto dell'elenco degli archivi a pagina 37
38
Guida del prodotto
2
Configurazione, pianificazione e attivazione delle attività di aggiornamento
È possibile configurare le attività di aggiornamento personalizzato o modificare la pianificazione
dell'attività Aggiornamento client predefinito dal client Client Endpoint Security nelle impostazioni del modulo
In comune.
Prima di iniziare
Utilizzare queste impostazioni per configurare dal client l'esecuzione dell'attività Aggiornamento client
predefinito. È anche possibile configurare il comportamento predefinito per gli aggiornamenti client
avviati dal client Client Endpoint Security.
Attività
1
2
Dal menu Azione
3
4
Da In comune, fare clic su Attività.
5
Configurare le impostazioni dell'attività di aggiornamento nella pagina.
Per...
Creare un'attività di
aggiornamento
personalizzata.
2 Immettere il nome, quindi dall'elenco a discesa Seleziona tipo di attività
selezionare Aggiorna.
3 Configurare le impostazioni, quindi fare clic su OK per salvare
l'attività.
Modificare un'attività di
aggiornamento.
• Fare doppio clic sull'attività, apportare le modifiche quindi fare clic
su OK per salvare l'attività.
Rimuovere un'attività di
aggiornamento
personalizzata.
• Selezionare l'attività, quindi fare clic su Elimina.
Creare una copia di
un'attività di
aggiornamento.
1 Selezionare l'attività, quindi fare clic su Duplica.
2 Immettere il nome, configurare le impostazioni, quindi fare clic su
OK per salvare l'attività.
Guida del prodotto
39
2
Per...
Modificare la pianificazione 1 Fare doppio clic su Aggiornamento client predefinito.
per un'attività Aggiornamento
2 Fare clic sulla scheda Pianificazione, modificare la pianificazione, quindi
client predefinito.
fare clic su OK per salvare l'attività.
È anche possibile configurare il comportamento predefinito per gli
aggiornamenti client avviati dal client Client Endpoint Security.
Eseguire un'attività di
aggiornamento.
• Selezionare l'attività, quindi fare clic su Esegui adesso.
Se l'attività è già in esecuzione, incluse le pause o i rinvii, il pulsante
cambia in Visualizza.
Se si esegue un'attività prima di aver applicato le modifiche, Client
Endpoint Security richiede di salvare le impostazioni.
6
Vedere anche
Funzionamento dell'attività Aggiornamento client predefinito a pagina 38
Configurazione, pianificazione e attivazione dei compiti di mirroring
È possibile modificare o pianificare le attività di mirroring da Client Endpoint Securitynelle impostazioni
del In comune .
Prima di iniziare
Attività
1
2
Dal menu Azione
3
4
5
Configurare le impostazioni dell'attività di mirroring nella pagina.
Per...
mirroring.
2 Immettere il nome, quindi dall'elenco a discesa Seleziona tipo di attività
selezionare Esegui il mirroring.
3 Configurare le impostazioni, quindi fare clic su OK.
40
Modificare un'attività
di mirroring.
• Fare doppio clic sull'attività di mirroring, apportare le modifiche, quindi
fare clic su OK.
Rimuovere un'attività
di mirroring.
Guida del prodotto
Per...
Creare una copia di
un'attività di
mirroring.
Pianificare un'attività
di mirroring.
1 Fare doppio clic sull'attività.
2
2 Immettere il nome, configurare le impostazioni, quindi fare clic su OK.
Eseguire un'attività di • Selezionare l'attività, quindi fare clic su Esegui adesso.
mirroring.
6
Funzionamento delle attività di mirroring
L'attività di mirroring consente di replicare su un sito di mirroring della rete i file di aggiornamento
contenuti nel primo archivio accessibile definito nell'elenco degli archivi.
L'utilizzo più comune di questa attività è il mirroring dei contenuti del sito di download di McAfee in un
server locale.
Dopo aver replicato il sito McAfee che contiene i file di aggiornamento, i computer della rete possono
scaricare i file dal sito di mirroring. Questo approccio consente di aggiornare qualsiasi computer nella
rete, a prescindere che abbia accesso a Internet. L'utilizzo di un sito replicato è più efficiente poiché i
sistemi comunicano con un server più vicino rispetto a un sito Internet McAfee, con un risparmio in
termini di tempo di accesso e download.
Per gli aggiornamenti, Endpoint Security si basa su una directory. Di conseguenza, quando si esegue il
mirroring di un sito, è necessario replicare l'intera struttura della directory.
Gli argomenti della guida di riferimento dell'interfaccia forniscono assistenza sensibile al contesto per
le pagine nell'interfaccia client.
Sommario
Pagina Registro eventi
In comune – Opzioni
In comune: Attività
Pagina Registro eventi
Mostra le attività e gli eventi di debug nel Registro eventi.
Tabella 2-2
Opzioni
Opzione
Definizione
Numero di eventi
Indica il numero di eventi registrati da Endpoint Security sul sistema negli ultimi
30 giorni.
Aggiorna la visualizzazione del Registro eventi con eventuali nuovi dati di
eventi.
Guida del prodotto
41
2
Tabella 2-2
Opzioni (segue)
Opzione
Definizione
Visualizza cartella registri Apre la cartella contenente i file di registro in Windows Explorer.
Mostra tutti gli eventi
Rimuove tutti i filtri.
Filtra per gravità
Filtra gli eventi per livello di gravità:
Filtra per modulo
Avviso
Mostra solo gli eventi con gravità 1.
Critico e superiori
Mostra solo gli eventi con gravità 1 e 2.
Avviso e superiori
Mostra solo gli eventi con gravità 1, 2 e 3.
Notifica e superiori
Mostra gli eventi con gravità 1, 2, 3 e 4.
Filtra gli eventi per modulo:
In comune
Mostra solo gli eventi In comune.
Mostra solo gli eventi Prevenzione delle minacce.
Firewall
Mostra solo gli eventi Firewall.
Controllo Web
Mostra solo gli eventi Controllo Web.
Intelligence sulle minacce
Mostra solo gli eventi di Intelligence sulle minacce.
Le funzioni visualizzate nell'elenco a discesa dipendono dalle funzionalità
installate sul sistema nel momento in cui è stato aperto il Registro eventi.
Cerca
Esegue la ricerca di una stringa nel Registro eventi.
Eventi per pagina
Seleziona il numero di eventi da visualizzare in una pagina. (Per impostazione
predefinita, 20 eventi per pagina)
Pagina precedente
Mostra la pagina precedente nel Registro eventi.
Pagina successiva
Mostra la pagina successiva nel Registro eventi.
Pagina x di x
Seleziona una pagina a cui accedere nel Registro eventi.
Immettere un numero nel campo Pagina e premere Invio oppure fare clic su Vai
per accedere alla pagina.
42
Intestazione
colonna
Ordina elenco degli eventi per...
Data
Data in cui si è verificato l'evento.
Funzionalità
Funzionalità che ha registrato l'evento.
Guida del prodotto
Intestazione
colonna
Ordina elenco degli eventi per...
Azione intrapresa
Azione eventualmente eseguita da Endpoint Security in risposta a un evento.
2
L'azione è configurata nelle impostazioni.
Consentito
L'accesso al file viene consentito.
Accesso negato
L'accesso al file viene impedito.
Eliminato
Il file viene eliminato automaticamente.
Continua
Ripulito
La minaccia viene rimossa automaticamente dal file.
Spostato
Il file viene spostato in quarantena.
Bloccato
L'accesso al file è bloccato.
Bloccherà
Una regola di protezione dell'accesso, se imposta, bloccherà
l'accesso al file.
Livello di gravità dell'evento.
Gravità
Critico
1
Grave
2
Minore
3
Avviso
4
Informativo
5
Vedere anche
Visualizzazione del Registro eventi a pagina 24
In comune – Opzioni
Configura le impostazioni relative a: interfaccia Client Endpoint Security, autoprotezione, registrazione
attività e debug, nonché server proxy.
Tabella 2-3 Opzioni
Sezione
Opzione
Definizione
Modalità interfaccia
client
Accesso completo
Consente di accedere a tutte le funzionalità. (Opzione
predefinita)
Accesso standard
Visualizza lo stato di protezione e consente di accedere alla
maggior parte delle funzionalità, come gli aggiornamenti e le
scansioni.
La modalità Accesso standard richiede una password per la
visualizzazione e la modifica delle impostazioni nella pagina
Impostazioni del client Client Endpoint Security.
Blocca interfaccia client È necessaria una password per accedere alClient Endpoint
Security.
Guida del prodotto
43
2
Tabella 2-3 Opzioni (segue)
Sezione
Opzione
Definizione
Imposta password
amministratore
Per Accesso standard e Blocca interfaccia client, specifica la
password amministratore per accedere a tutte le funzionalità
dell'interfaccia del client Client Endpoint Security.
• Password: indica la password di Web Reporter.
• Conferma password: conferma la password.
Disinstallazione
Richiedi password per
disinstallare il client
Richiede una password per disinstallare il client Client
Endpoint Security e specifica la password.
La password predefinita è mcafee.
(Disattivato per impostazione predefinita)
• Password: indica la password di Web Reporter.
• Conferma password: conferma la password.
Tabella 2-4 Opzioni avanzate
Sezione
Opzione
Definizione
Lingua interfaccia
client
Automatico
Seleziona automaticamente la lingua da utilizzare per il testo
dell'interfaccia Client Endpoint Security in base alla lingua del
sistema client.
Lingua
Specifica la lingua da utilizzare per il testo dell'interfaccia del client
Per i sistemi gestiti, la modifica della lingua apportata Client
Endpoint Security ha priorità sulle modifiche della policy per il
server di gestione. La modifica della lingua viene applicata in
seguito al riavvio di Client Endpoint Security.
La lingua del client non interessa i file di registro. I file di registro
vengono visualizzati nella lingua specificata dalle impostazioni
locali predefinite del sistema.
Autoprotezione
Attiva
autoprotezione
Protegge le risorse del sistema Endpoint Security da attività
dannose.
Azione
Specifica l'azione da intraprendere quando si verificano attività
dannose:
• Blocca e segnala: blocca l'attività e invia una segnalazione a McAfee
ePO. (Opzione predefinita)
• Solo blocco: blocca l'attività, ma non invia una segnalazione a
McAfee ePO.
• Solo segnalazione: invia una segnalazione a McAfee ePO senza
bloccare l'attività.
44
File e cartelle
Impedisce la modifica o l'eliminazione di file e cartelle di sistema
McAfee.
Registro
Impedisce la modifica o l'eliminazione di chiavi e valori di registro
McAfee.
Processi
Impedisce l'arresto dei processi McAfee.
Guida del prodotto
2
Tabella 2-4 Opzioni avanzate (segue)
Sezione
Opzione
Definizione
Escludi questi
processi
Consente l'accesso ai processi specificati.
Sono supportati i caratteri jolly.
Aggiungi: aggiunge un processo all'elenco di esclusioni. Fare clic su
Aggiungi, quindi immettere il nome esatto della risorsa, ad esempio
avtask.exe.
Doppio clic su un elemento – Modifica l'elemento selezionato.
Eliminazione: elimina l'elemento selezionato. selezionare la risorsa,
quindi fare clic su Elimina.
Certificati
Specifica le opzioni per i certificati.
Consenti
Consente a un fornitore di eseguire codice nei processi McAfee.
Questa impostazione potrebbe causare problemi di compatibilità e
ridurre la sicurezza.
Fornitore
Specifica il nome comune (CN) dell'autorità che ha firmato ed
emesso il certificato.
Oggetto
Specifica il nome distinto del firmatario (SDN) che definisce l'entità
associata al certificato.
Queste informazioni possono includere:
• CN – Nome comune
• OU – Unità organizzativa
• O – Organizzazione
• L – Località
• ST – Stato o provincia
• C – Codice paese
Registrazione
client
Hash
Specifica l'hash della chiave pubblica associata.
Percorso file di
registro
Specifica il percorso del file di registro.
Il percorso predefinito è:
<SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs
Per andare a una nuova posizione, immettere il percorso o fare clic
su Sfoglia.
Registrazione
attività
Attiva registrazione
attività
Attiva la registrazione di tutte le attività Endpoint Security.
Limita le dimensioni Limita ciascun file del registro attività alla dimensione massima
(MB) di ciascun file specificata (tra 1 MB e 999 MB). L'impostazione predefinita è 10
del registro attività MB.
Se il file di registro supera le dimensioni impostate, il 25% delle
voci meno recenti viene eliminato per consentire l'aggiunta di
nuovi dati al file.
Disattivare l'opzione per consentire ai file di registro di raggiungere
qualsiasi dimensione.
Guida del prodotto
45
2
Sezione
Opzione
Registrazione
debug
Definizione
L'attivazione della registrazione debug per qualsiasi modulo attiva
anche la registrazione di debug per le funzioni del modulo In
comune, come l'autoprotezione.
Procedura consigliata: attivare la registrazione debug almeno
per le prime 24 ore durante le fasi pilota e di testing. Se non
vengono riscontrati problemi durante questa fase, disattivare la
registrazione debug per evitare conseguenze per le prestazioni dei
sistemi client.
Attiva per
Prevenzione delle
minacce
Attiva la registrazione dettagliata per Prevenzione delle minacce e
le singole tecnologie:
Attiva per protezione dell'accesso - Registra in
AccessProtection_Debug.log.
Attiva per la prevenzione exploit: registra in ExploitPrevention_Debug.log.
Attiva per Scansione all'accesso: registra in OnAccessScan_Debug.log.
Attiva per Scansione su richiesta: registra in OnDemandScan_Debug.log.
L'attivazione della registrazione debug per qualsiasi tecnologia
Prevenzione delle minacce attiva anche la registrazione debug per
Attiva per Firewall
Consente la registrazione dettagliata delle attività Firewall.
Attiva per Controllo
Web
Consente la registrazione dettagliata delle attività Controllo Web.
Attiva per
Intelligence sulle
minacce
Attiva la registrazione dettagliata delle attività di Intelligence sulle
minacce.
Limita le dimensioni Limita ciascun file di registro di debug alla dimensione massima
(MB) di ciascun file specificata (compresa tra 1 MB e 999 MB). L'impostazione
del registro di debug predefinita è 50 MB.
Se il file di registro supera le dimensioni impostate, il 25% delle
voci meno recenti viene eliminato per consentire l'aggiunta di
nuovi dati al file.
Disattivare l'opzione per consentire ai file di registro di raggiungere
qualsiasi dimensione.
Registrazione
eventi
Invia eventi a
McAfee ePO
Invia tutti gli eventi registrati nel Registro eventi del client Client
Endpoint Security a McAfee ePO.
Questa opzione è disponibile solamente sui sistemi gestiti da
McAfee ePO.
Registra eventi nel
registro di
Applicazione
Windows
46
Invia tutti gli eventi registrati nel Registro eventi del client Client
Endpoint Security al registro di Applicazione Windows.
Il registro di Applicazione Windows è accessibile da Visualizzatore
eventi | Registri di Windows | Applicazione.
Guida del prodotto
2
Sezione
Opzione
Definizione
Livelli di gravità Specifica il livello di gravità degli eventi da registrare nel Registro
eventi del client Client Endpoint Security:
• Nessuno: non invia alcun avviso
• Solo Avviso: invia solo avvisi di livello 1.
• Critico e Avviso: invia avvisi di livello 1 e 2.
• Avvertenza, Critico e Avviso: invia avvisi di livello 1-3.
• Tutti tranne Informativo: invia avvisi di livello 1–4.
• Tutti: invia avvisi di livello 1–5.
• 1 - Avviso
• 2 - Critico
• 3 - Avvertenza
• 4 - Notifica
• 5 - Informativo
Eventi Prevenzione
delle minacce da
registrare
Specifica i livelli di gravità degli eventi per ciascuna funzionalità di
Prevenzione delle minacce da registrare:
Protezione dell'accesso: registra in AccessProtection_Activity.log.
L'attivazione della registrazione degli eventi per la protezione
dell'accesso attiva anche la registrazione degli eventi per
l'autoprotezione.
Prevenzione exploit: registra in ExploitPrevention_Activity.log.
Scansione all'accesso: registra in OnAccessScan_Activity.log.
Scansione su richiesta: registra in OnDemandScan_Activity.log.
Server proxy per
McAfee GTI
Eventi Firewall da
registrare
Specifica i livelli di gravità degli eventi Firewall da registrare.
Eventi Controllo
Web da registrare
Specifica i livelli di gravità degli eventi Controllo Web da registrare.
Eventi Intelligence
sulle minacce da
registrare
Specifica il livello di gravità degli eventi di Intelligence sulle
minacce da registrare.
Nessun server proxy Specifica che i sistemi gestiti recuperano le informazioni relative
alla reputazione McAfee GTI direttamente da Internet e non
tramite un server proxy. (Opzione predefinita)
Utilizza impostazioni Specifica l'utilizzo di impostazioni proxy dal sistema client e attiva
proxy di sistema
facoltativamente l'autenticazione proxy HTTP.
Configura server
proxy
Personalizza le impostazioni proxy.
• Indirizzo – Specifica l'indirizzo IP o il nome di dominio completo del
server proxy HTTP.
• Porta – Limita l'accesso dalla porta specificata.
• Escludi questi indirizzi: il server proxy HTTP non deve essere
utilizzato per i siti Web o gli indirizzi IP che iniziano con le voci
specificate.
Fare clic su Aggiungi, quindi immettere il nome dell'indirizzo da
escludere.
Guida del prodotto
47
2
Sezione
Opzione
Definizione
Attiva
autenticazione
proxy HTTP
Il server proxy HTTP necessita di autenticazione. (L'opzione è
disponibile solo se si seleziona un server proxy HTTP.) Immettere
le credenziali proxy HTTP:
• Nome utente – Specifica l'account utente con autorizzazioni
sufficienti per l'accesso al server proxy HTTP.
• Password – Specifica la password per il Nome utente.
• Conferma password – Conferma la password specificata.
Aggiornamento
client predefinito
Attiva il pulsante
Aggiorna ora nel
client
Mostra o nasconde il pulsante
principale del client Client Endpoint Security.
nella pagina
Fare clic su questo pulsante per verificare e scaricare manualmente
gli aggiornamenti dei file di contenuto e i componenti software nel
sistema client.
Elementi da
aggiornare
Specifica cosa aggiornare quando il pulsante
viene selezionato.
• Contenuto di sicurezza, hotfix e patch - Aggiorna tutti i contenuti di
sicurezza (fra cui motore e contenuto AMCore e di prevenzione
exploit), nonché altri hotfix e patch alle ultime versioni.
• Contenuto di sicurezza: aggiorna solo i contenuti di sicurezza.
(Opzione predefinita)
• Hotfix e patch - Aggiorna solo hotfix e patch.
Configura i siti da cui ottenere gli aggiornamenti per i file di
contenuto e i componenti software.
Siti di origine per
gli aggiornamenti
È possibile attivare e disattivare il sito di origine backup
predefinito, McAfeeHttp, e il server di gestione (per i sistemi gestiti),
ma non è possibile modificarli o eliminarli.
Indica gli elementi che possono essere spostati nell'elenco.
Selezionare degli elementi, quindi trascinarli e rilasciarli nella
nuova posizione. Viene visualizzata una riga blu tra gli elementi
dove è possibile rilasciare gli elementi trascinati.
Aggiungi
Aggiunge un sito all'elenco siti di origine.
Doppio clic su
un elemento
Modifica l'elemento selezionato.
Elimina
Elimina il sito selezionato dall'elenco dei siti di origine.
Importa
Importa siti da un file contenente un elenco di siti di origine.
Selezionare il file da importare, quindi fare clic su OK.
Il file con l'elenco di siti sostituisce l'elenco dei siti di origine
esistente.
Esporta tutto
Esporta l'elenco di siti di origine nel file SiteList.xml.
Selezionare la posizione in cui salvare il file con l'elenco di siti di
origine e fare clic su OK.
Server proxy per
siti di origine
48
Nessun server proxy Specifica il recupero, da parte dei sistemi gestiti, delle informazioni
relative alla reputazione McAfee GTI direttamente da Internet e
non tramite un server proxy. (Opzione predefinita)
Guida del prodotto
2
Sezione
Opzione
Definizione
Utilizza impostazioni Specifica l'utilizzo di impostazioni proxy dal sistema client e attiva
proxy di sistema
facoltativamente l'autenticazione proxy HTTP o FTP.
Configura server
proxy
Personalizza le impostazioni proxy.
• Indirizzo HTTP/FTP – Specifica l'indirizzo DNS, IPv4 o IPv6 del server
proxy HTTP o FTP.
• Porta: limita l'accesso dalla porta specificata.
• Escludi questi indirizzi: specifica gli indirizzi per i client Client
Endpoint Security per cui non si desidera utilizzare il server proxy
per ottenere le classificazioni McAfee GTI.
Fare clic su Aggiungi, quindi immettere il nome dell'indirizzo da
escludere.
Attiva
autenticazione
proxy HTTP/FTP
Il server proxy HTTP o FTP necessita di autenticazione. (L'opzione è
disponibile solo se è stata selezionata un'opzione server proxy
HTTP o FTP.) Immettere le credenziali proxy:
• Nome utente – Specifica l'account utente con autorizzazioni
sufficienti per l'accesso al server proxy.
• Password – Specifica la password per il Nome utente specificato.
• Conferma password: conferma la password specificata.
Vedere anche
Protezione di risorse Endpoint Security a pagina 31
Configurazione delle impostazioni di registrazione a pagina 32
Configurazione delle impostazioni del server proxy per McAfee GTI a pagina 34
Aggiungi sito o Modifica sito a pagina 49
Aggiungi sito o Modifica sito
Aggiunge o modifica un sito nell'elenco dei siti di origine.
Tabella 2-5 Definizioni delle opzioni
Opzione
Definizione
Nome
Indica il nome del sito di origine contenente i file di aggiornamento.
Attiva
Attiva o disattiva l'uso del sito di origine per il download dei file di aggiornamento.
Recupera file da
Specifica da dove recuperare i file.
Guida del prodotto
49
2
Tabella 2-5 Definizioni delle opzioni (segue)
Opzione
Definizione
Archivio HTTP
Recupera i file dal percorso dell'archivio HTTP specificato.
Un sito HTTP consente l'aggiornamento indipendentemente dalla protezione di rete, ma
supporta livelli di connessioni simultanee superiori rispetto a FTP.
URL
• Nome DNS – Indica che l'URL è un nome di dominio.
• IPv4 – Indica che l'URL è un indirizzo IPv4.
http:// – Specifica l'indirizzo del server e della cartella HTTP in cui si
trovano i file di aggiornamento.
Porta – Specifica il numero di porta per il server HTTP.
Utilizza
autenticazione
Seleziona l'utilizzo dell'autenticazione e specifica le credenziali per
l'accesso alla cartella del file di aggiornamento.
• Nome utente – Specifica l'account utente con autorizzazioni di lettura
per la cartella del file di aggiornamento.
50
Guida del prodotto
2
Tabella 2-5 Definizioni delle opzioni (segue)
Opzione
Definizione
Archivio FTP
Recupera i file dal percorso dell'archivio FTP specificato.
Un sito FTP offre flessibilità di aggiornamento senza la necessità di doversi conformare
ad autorizzazioni di sicurezza della rete. Poiché l'FTP si è rivelato meno soggetto ad
attacchi di codice non desiderato rispetto a HTTP, esso può offrire una maggiore
tolleranza.
URL
• Nome DNS – Indica che l'URL è un nome di dominio.
ftp:// – Specifica l'indirizzo del server e della cartella FTP in cui si trovano i
file di aggiornamento.
Porta – Specifica il numero di porta per il server FTP.
Seleziona l'utilizzo dell'FTP anonimo per l'accesso alla cartella del file di
aggiornamento.
Utilizza
accesso
anonimo
Deselezionare questa opzione per specificare le credenziali di accesso.
• Nome utente – Specifica l'account utente con autorizzazioni di lettura per
la cartella del file di aggiornamento.
Percorso UNC o Recupera i file dal percorso UNC o locale specificato.
Percorso locale
Un sito UNC è il sito più rapido e semplice da impostare. Per gli aggiornamenti UNC tra
domini è necessario disporre delle autorizzazioni di sicurezza per ciascun dominio e ciò
rende la configurazione dell'aggiornamento più complessa.
Percorso
• Percorso UNC – Specifica il percorso utilizzando la notazione UNC (\
\servername\path\).
• Percorso locale – Specifica il percorso di una cartella su un'unità locale
o di rete.
Utilizza account
di connessione
Accede ai file di aggiornamento utilizzando l'account con il quale è
stato effettuato l'accesso. Questo account deve disporre di
autorizzazioni di lettura alle cartelle contenenti i file di
aggiornamento.
Deselezionare questa opzione per specificare le credenziali di accesso.
• Dominio – Specifica il dominio per l'account utente.
• Nome utente – Specifica l'account utente con autorizzazioni di lettura
per la cartella del file di aggiornamento.
In comune: Attività
Configura e pianifica le attività di Client Endpoint Security.
Nei sistemi gestiti, non è possibile attivare, bloccare o eliminare le attività Amministratore.
Guida del prodotto
51
2
Tabella 2-6
Opzioni
Sezione Opzione
Definizione
Attività
Indica le attività attualmente definite e pianificate.
• Nome - Nome dell'attività pianificata.
• Funzionalità - Modulo o funzionalità ai quali è associata l'attività.
• Pianifica - Indica se l'attività è pianificata per l'esecuzione e se è disattivata.
Ad esempio, nei sistemi gestiti, la pianificazione dell'attività di
Aggiornamento client predefinito deve essere disattivata
dall'amministratore.
• Stato - Stato dell'ultima volta in cui è stata eseguita l'attività:
• (nessuno stato) – Nessuna esecuzione
• Esecuzione – Attualmente in esecuzione o ripristinata
• Sospesa – Sospesa dall'utente (come una scansione)
• Rinviata – Rinviata dall'utente (come una scansione)
• Terminata – Esecuzione completata senza errori
• Terminata (errori) – Esecuzione completata con errori
• Non riuscita – Completamento non riuscito
• Ultima esecuzione - Data e ora dell'ultima esecuzione dell'attività.
• Origine - Origine dell'attività:
• McAfee - Fornito da McAfee.
• Amministratore - (Solo sistemi gestiti) Definito dall'amministratore.
• Utente - Definito sul Client Endpoint Security.
A seconda di quale sia l'origine, non è possibile modificare o eliminare
alcune attività. Ad esempio, l'attività Aggiornamento client predefinito può
essere modificata solo sui sistemi autogestiti. Le attività Amministratore,
definite dall'amministratore nei sistemi gestiti, non possono essere
modificate o eliminate nel Client Endpoint Security.
52
Doppio clic
su un
elemento
Aggiungi
Creare un'attività di scansione, aggiornamento o mirroring.
Elimina
Elimina l'attività selezionata.
Guida del prodotto
Tabella 2-6
2
Opzioni (segue)
Sezione Opzione
Definizione
Duplica
Crea una copia dell'attività selezionata.
Esegui adesso
Consente di eseguire l'attività selezionata.
Se l'attività è già in esecuzione, incluse le pause o i rinvii, il pulsante cambia
in Visualizza.
• Scansione rapida - Apre la finestra di dialogo Scansione rapida e avvia la
scansione.
• Scansione completa - Apre la finestra di dialogo Scansione completa e avvia la
scansione.
• Scansione personalizzata - Apre la finestra di dialogo Scansione personalizzata e
avvia la scansione.
• Aggiornamento client predefinito - Apre la finestra di dialogo Aggiornamento e avvia
l'aggiornamento.
• Aggiornamento - Apre la finestra di dialogo Aggiornamento personalizzato e avvia
l'aggiornamento.
• Mirror: apre la finestra di dialogo Mirror e avvia la replica dell'archivio.
Se si esegue un'attività prima di aver applicato le modifiche, Client Endpoint
Security richiede di salvare le impostazioni.
Vedere anche
Esecuzione di una scansione completa o di una scansione rapida a pagina 58
Aggiungi attività a pagina 53
Aggiungi attività
Aggiunge attività di scansione personalizzata, mirroring o aggiornamento.
Opzione
Definizione
Nome
Specifica il nome dell'attività.
Seleziona tipo di
attività
Specifica il tipo di attività:
• Scansione personalizzata – Configura e pianifica una scansione personalizzata, come
scansioni della memoria quotidiane.
• Esegui il mirroring – Replica su un sito di mirroring della rete i file di contenuto e di
motore aggiornati contenuti nel primo archivio accessibile.
• Aggiorna – Configura e pianifica un aggiornamento dei file di contenuto, del motore
di scansione o del prodotto.
Vedere anche
Aggiunta di attività di scansione o Modifica di attività di scansione a pagina 54
Aggiunta di attività di mirroring o Modifica di attività di mirroring a pagina 55
Aggiunta di attività di aggiornamento o Modifica di attività di aggiornamento a pagina 54
Guida del prodotto
53
2
Aggiunta di attività di scansione o Modifica di attività di scansione
Pianifica l'attività Scansione completa o Scansione rapida oppure configura e pianifica le attività di
scansione personalizzata eseguite sul sistema client.
Tabella 2-7
Scheda
Opzioni
Opzione Definizione
Configura le impostazioni dell'attività di scansione.
Impostazioni
Nome
Indica il nome dell'attività.
Opzioni
Configura le impostazioni di Scansione su richiesta per la scansione.
È possibile configurare le impostazioni delle attività Scansione completa e Scansione
rapida solamente nei sistemi autogestiti.
Attiva e pianifica l'attività per l'esecuzione in un orario specifico.
Pianifica
Vedere anche
Configurazione, pianificazione e attivazione delle attività di scansione a pagina 91
Configurazione delle impostazioni Scansione su richiesta a pagina 86
Prevenzione delle minacce – Scansione su richiesta a pagina 114
Pianifica a pagina 55
Aggiunta di attività di aggiornamento o Modifica di attività di
aggiornamento
Pianifica l'Aggiornamento client predefinito oppure configura e pianifica le attività di aggiornamento
personalizzato eseguite sul sistema client.
Tabella 2-8 Opzioni
Scheda
Opzione
Definizione
Configura le impostazioni dell'attività di aggiornamento.
Impostazioni
Nome
Elementi da
aggiornare
Specifica cosa aggiornare:
• Contenuto di sicurezza, hotfix e patch
• Contenuto di sicurezza
• Hotfix e patch
È possibile configurare queste impostazioni solamente nei sistemi
autogestiti.
Pianifica
Per impostazione predefinita, l'attività Aggiornamento client predefinito viene
eseguita ogni giorno a mezzanotte e ripetuta ogni quattro ore fino alle
23:59.
Vedere anche
In comune – Opzioni a pagina 43
54
Guida del prodotto
2
Aggiunta di attività di mirroring o Modifica di attività di mirroring
Configura e pianifica le attività di mirroring.
Tabella 2-9 Opzioni
Scheda
Opzione
Definizione
Impostazioni
Nome
Posizione mirror
Specifica la cartella in cui memorizzare la replica dell'archivio.
Pianifica
Vedere anche
Pianifica
Pianificazione delle attività di scansione, aggiornamento e mirroring.
Tabella 2-10
Opzioni
Categoria Opzione
Definizione
Pianifica
Pianifica l'attività per l'esecuzione in un orario specifico. (Attivato per
impostazione predefinita)
Attiva pianificazione
È necessario selezionare questa opzione per pianificare l'attività.
Tipo di pianificazione
Specifica l'intervallo per l'esecuzione dell'attività.
• Ogni giorno – Esegue l'attività ogni giorno, a un'ora specificata, in
modo ricorrente in un intervallo specificato tra due orari del giorno
o in base a una combinazione di entrambi.
• Ogni settimana – Esegue l'attività settimanalmente:
• In un giorno feriale specifico, tutti i giorni feriali, nel fine
settimana o in base a una combinazione di giorni
• A un'ora specifica dei giorni selezionati o in modo ricorrente in un
intervallo specificato tra due orari dei giorni selezionati
• Ogni mese – Esegue l'attività mensilmente:
• Nel giorno del mese specificato
• Nei giorni della settimana specificati: primo, secondo, terzo,
quarto o ultimo
• Una volta – Avvia l'attività all'ora e nella data specificate.
• All'avvio del sistema – Esegue l'attività quando si avvia il sistema.
• All'accesso – Avvia l'attività al successivo accesso dell'utente al
sistema.
• Esegui subito: avvia l'attività immediatamente.
Frequenza
Specifica la frequenza per le attività giornaliere e settimanali.
Esegui il
Specifica il giorno della settimana per le attività settimanali e mensili.
Esegui in
Specifica i mesi dell'anno per le attività mensili.
Esegui l'attività solo
una volta al giorno
Esegue l'attività una volta al giorno per le attività All'avvio del sistema e
All'accesso.
Ritarda l'attività di
Specifica il numero di minuti di ritardo prima dell'esecuzione delle
attività All'avvio del sistema e All'accesso.
Guida del prodotto
55
2
Tabella 2-10
Opzioni (segue)
Categoria Opzione
Definizione
Data di inizio
Specifica la data di inizio per le attività Ogni giorno, Ogni settimana, Ogni
mese ed eseguite Solo una volta.
Data di fine
Specifica la data di fine per le attività Ogni giorno, Ogni settimana e Ogni
mese.
Ora di inizio
Specifica l'orario in cui iniziare l'attività.
• Esegui una volta nell'orario definito – Esegue l'attività una volta all'Ora di
inizio specificata.
• Esegui nell'orario definito e ripeti fino a – Esegue l'attività all'Ora di inizio
specificata. Quindi, avvia l'attività dopo il numero di ore/minuti
specificati da Avvia attività ogni fino all'ora di fine specificata.
• Esegui nell'orario definito e ripeti per – Esegue l'attività all'Ora di inizio
specificata. Quindi, avvia l'attività dopo il numero di ore/minuti
specificati da Avvia attività ogni fino a quando è stata eseguita per il
periodo di tempo specificato.
Opzioni
Esegui questa attività
in base a UTC (tempo
universale coordinato)
Specificare se la pianificazione dell'attività viene eseguita in base
all'ora locale del sistema gestito o all'ora UTC (tempo universale
coordinato).
Termina l'attività se
eseguita per oltre
Arresta l'attività dopo il numero di ore e minuti specificato.
Tempo di avvio attività
casuale alle
Se l'attività viene interrotta prima del completamento, all'avvio
successivo la scansione verrà ripresa dal punto in cui è stata
interrotta.
Indica che l'attività specificata viene eseguita casualmente nel
periodo specificato.
In caso contrario, l'attività viene avviata all'ora pianificata,
indipendentemente dalla presenza di altre attività client la cui
esecuzione sia pianificata alla stessa ora.
Esegui attività non
eseguita
Esegue l'attività dopo il numero di minuti specificato da Ritarda avvio alle
dopo il riavvio del sistema gestito.
Specifica le credenziali per eseguire l'attività.
Account
Se non vengono specificate credenziali, l'attività viene eseguita come
account amministratore del sistema locale.
Nome utente
Specifica l'account utente.
Password
Specifica la password per l'account utente specificato.
Conferma password
Conferma la password per l'account utente specificato.
Dominio
Specifica il dominio dell'account utente specificato.
Vedere anche
Aggiunta di attività di scansione o Modifica di attività di scansione a pagina 54
Aggiunta di attività di aggiornamento o Modifica di attività di aggiornamento a pagina 54
Aggiunta di attività di mirroring o Modifica di attività di mirroring a pagina 55
56
Guida del prodotto
3
Prevenzione delle minacce verifica la presenza di virus, spyware, programmi indesiderati e altre
minacce eseguendo la scansione degli elementi del computer.
Sommario
Scansione del computer per individuare malware
Gestione dei rilevamenti di minacce
Gestione degli elementi in quarantena
Gestione di Prevenzione delle minacce
Riferimento interfaccia client — Prevenzione delle minacce
Scansione per rilevare malware sul computer selezionando opzioni in Client Endpoint Security o
Windows Explorer.
Attività
•
Utilizzare il client Client Endpoint Security per eseguire una scansione completa o una
scansione rapida manuale sul computer.
•
Scansione di un file o una cartella a pagina 60
Fare clic con il pulsante destro del mouse in Windows Explorer per eseguire
immediatamente la scansione di un singolo file o cartella che si ritiene possano contenere
minacce.
Vedere anche
Tipi di scansioni a pagina 57
Tipi di scansioni
Endpoint Security fornisce due tipi di scansione: scansioni all'accesso e su richiesta.
•
Scansione all'accesso – L'amministratore configura le scansioni all'accesso per l'esecuzione sui
computer gestiti. Per i computer autogestiti, configurare il programma di scansione all'accesso nella
pagina Impostazioni.
Quando si accede a file, cartelle e programmi, il programma di scansione all'accesso intercetta
l'operazione ed esegue la scansione dell'elemento, sulla base dei criteri definiti nelle impostazioni.
•
Guida del prodotto
57
3
Manuale
L'amministratore (o utente, per i sistemi autogestiti) configura scansioni su richiesta
predefinite o personalizzate che gli utenti possono eseguire sui computer gestiti.
• Eseguire una scansione su richiesta predefinita in qualsiasi momento da Client
Endpoint Security facendo clic su
un tipo di scansione:
e selezionando
Scansione rapida esegue un rapido controllo delle zone del sistema più soggette a
infezione.
Scansione completa esegue un controllo approfondito di tutte le zone del sistema.
(consigliato se si teme che il computer sia infetto.)
• Eseguire la scansione di un singolo file o una cartella in qualsiasi momento da
Windows Explorer facendo clic con il pulsante destro del mouse sul file o la cartella
e selezionando Ricerca minacce dal menu popup.
• Configurare ed eseguire una scansione su richiesta personalizzata come
amministratore da Client Endpoint Security:
1 Selezionare Impostazioni | In comune | Attività.
2 Selezionare l'attività da eseguire.
3 Fare clic su Esegui adesso.
Pianificata L'amministratore (o utente, per i sistemi autogestiti) configura e pianifica le scansioni
su richiesta per l'esecuzione sui computer.
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security
mostra una richiesta di scansione nella parte bassa della schermata. È possibile
avviare la scansione immediatamente o ritardarla, se configurato.
Per configurare e pianificare le scansioni su richiesta predefinite, Scansione rapida e
Scansione completa:
1 Scheda Impostazioni | Scansione su richiesta | Scansione completa o Scansione rapida –
Configura le scansioni su richiesta.
2 Impostazioni | Common | Attività – Pianifica scansioni su richiesta.
Vedere anche
Esecuzione di una scansione completa o di una scansione
rapida
Utilizzare il client Client Endpoint Security per eseguire una scansione completa o una scansione rapida
manuale sul computer.
Prima di iniziare
Il modulo Prevenzione delle minacce deve essere installato.
Il comportamento della scansione completa e scansione rapida dipende dalla modalità di configurazione delle
impostazioni. È possibile modificare e pianificare queste scansioni nelle impostazioni della Scansione su
richiesta con le credenziali di amministratore.
58
Guida del prodotto
3
Attività
1
2
Fare clic su
3
.
Nella pagina Esegui scansione del sistema, fare clic su Avvia scansione per la scansione che si desidera
eseguire.
Scansione completa Esegue un controllo approfondito di tutte le zone del sistema (consigliato se si
sospetta che il computer sia infetto).
Scansione rapida
Esegue un controllo rapido delle zone del sistema più soggette alle infezioni.
Se è già in corso una scansione, il pulsante Avvia scansione diventa Visualizza scansione.
È inoltre possibile visualizzare il pulsante Visualizza rilevamenti per il programma di scansione
all'accesso, in base alla configurazione delle impostazioni e al rilevamento o meno di una minaccia.
Fare clic su questo pulsante per aprire la pagina Scansione all'accesso e gestire i rilevamenti in
qualsiasi momento.
Client Endpoint Security mostra lo stato della scansione su una nuova pagina.
Procedura consigliata: la Data di creazione del contenuto AMCore indica l'ultimo orario di
aggiornamento del contenuto. Se la data del contenuto risale a più di due giorni prima, aggiornare la
protezione prima di eseguire la scansione.
4
5
Fare clic sui pulsanti nella parte superiore della pagina di stato per controllare la scansione.
Sospendi scansione
Sospende la scansione prima di terminarla.
Riprendi scansione
Annulla scansione
Annulla una scansione in esecuzione.
Al termine della scansione, nella pagina vengono visualizzati il numero di file sottoposti a
scansione, il tempo trascorso e gli eventuali rilevamenti.
Nome rilevamento
Identifica il nome del malware rilevato.
Tipo
Mostra il tipo di minaccia.
File
Identifica il file infetto.
Azione intrapresa
Descrive l'ultima azione di sicurezza intrapresa sul file infetto:
• Accesso negato
• Ripulito
• Eliminato
• Nessuno
L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione
su richiesta successiva.
Guida del prodotto
59
3
6
Selezionare un rilevamento nella tabella, quindi fare clic su Ripulisci o Elimina per ripulire o eliminare
il file infetto.
A seconda del tipo di minaccia e delle impostazioni di scansione, queste azioni potrebbero non
essere disponibili.
7
Fare clic su Chiudi per chiudere la pagina.
Vedere anche
Nomi rilevamenti a pagina 64
Scansione di un file o una cartella
Fare clic con il pulsante destro del mouse in Windows Explorer per eseguire immediatamente la
scansione di un singolo file o cartella che si ritiene possano contenere minacce.
Prima di iniziare
Il comportamento della scansione di scelta rapida dipende dalla modalità di configurazione delle
impostazioni. È possibile modificare queste scansioni nelle impostazioni della Scansione su richiesta con le
credenziali di amministratore.
Attività
1
In Windows Explorer, fare clic con il pulsante destro del mouse sul file o sulla cartella e selezionare
Ricerca minacce dal menu popup.
Client Endpoint Security mostra lo stato della scansione nella pagina Ricerca minacce.
2
3
Fare clic sui pulsanti nella parte superiore della pagina per controllare la scansione.
Sospendi scansione
Sospende la scansione prima di terminarla.
Riprendi scansione
Annulla scansione
Annulla una scansione in esecuzione.
Al termine della scansione, nella pagina vengono visualizzati il numero di file sottoposti a
scansione, il tempo trascorso e gli eventuali rilevamenti.
Nome rilevamento
Identifica il nome del malware rilevato.
Tipo
Mostra il tipo di minaccia.
File
Identifica il file infetto.
Azione intrapresa
Descrive l'ultima azione di sicurezza intrapresa sul file infetto:
• Accesso negato
• Ripulito
• Eliminato
• Nessuno
L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione
su richiesta successiva.
60
Guida del prodotto
4
3
Selezionare un rilevamento nella tabella, quindi fare clic su Ripulisci o Elimina per ripulire o eliminare
il file infetto.
A seconda del tipo di minaccia e delle impostazioni di scansione, queste azioni potrebbero non
essere disponibili.
5
Fare clic su Chiudi per chiudere la pagina.
Vedere anche
In base al tipo di configurazione delle impostazioni, è possibile gestire i rilevamenti di minacce da
Prima di iniziare
Attività
1
2
Fare clic su Avvia scansione per aprire la pagina Esegui scansione del sistema.
3
In Scansione all'accesso, fare clic su Visualizza rilevamenti.
Questa opzione non è disponibile se l'elenco non contiene rilevamenti o se l'opzione di messaggistica
utente è disattivata.
4
Nella pagina Scansione all'accesso, selezionare una di queste opzioni.
Pulisci
Cerca di ripulire l'elemento (file, voce di registro) e di posizionarlo in quarantena.
Endpoint Security utilizza le informazioni del file di contenuto per pulire i file. Se il file
di contenuto non dispone di uno strumento di pulizia o il file è stato danneggiato oltre
la riparazione, il programma di scansione vi nega l'accesso. In questo caso, McAfee
consiglia di eliminare il file dalla quarantena e di ripristinarlo da una copia di backup
pulita.
Elimina
Elimina l'elemento che contiene la minaccia.
Rimuovi voce Rimuove la voce dall'elenco di rilevamenti.
Chiudi
Chiude la pagina di scansione.
Se per la minaccia non è disponibile alcuna azione, l'opzione corrispondente è disattivata. Ad
esempio, Pulisci non è disponibile se il file è già stato eliminato.
Guida del prodotto
61
3
Endpoint Security salva gli elementi rilevati come minacce nella quarantena. Sugli elementi in
quarantena è possibile eseguire azioni.
Prima di iniziare
Ad esempio, è possibile ripristinare un elemento dopo aver scaricato una versione successiva del
contenuto, che contiene informazioni in grado di eliminare la minaccia.
Gli elementi in quarantena possono includere diversi tipi di oggetti sottoposti a scansione, come file,
registri o qualsiasi elemento per il quale Endpoint Security ha eseguito una scansione per rilevare
malware.
Attività
1
2
Fare clic su Quarantena nella parte sinistra della pagina.
La pagina mostra tutti gli elementi in quarantena.
Se Client Endpoint Security non riesce a stabilire una connessione con Gestore quarantena, viene
visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il sistema per
visualizzare la pagina Quarantena.
62
Guida del prodotto
3
3
Selezionare un elemento dal riquadro superiore per visualizzare i dettagli nel riquadro inferiore.
Per...
Eseguire questa operazione
Modificare le dimensioni relative dei riquadri. Fare clic e trascinare il widget scorrevole tra i
riquadri.
Ordinare gli elementi nella tabella per nome
o tipo di minaccia.
4
Fare clic sull'intestazione colonna della tabella.
Nella pagina Quarantena, eseguire azioni sugli elementi selezionati.
Per...
Eliminare elementi
dalla quarantena.
Selezionare gli elementi, fare clic su Elimina, quindi ancora su Elimina per
confermare.
Gli elementi eliminati non possono essere ripristinati.
Ripristinare elementi Selezionare gli elementi, fare clic su Ripristina, quindi ancora su Ripristina per
dalla quarantena.
confermare.
Endpoint Security ripristina gli elementi nella posizione originale e li
rimuove dalla quarantena.
Se un elemento costituisce ancora una minaccia valida, Endpoint Security
lo reinserisce in quarantena al successivo accesso.
Ripetere la scansione Selezionare gli elementi, quindi fare clic su Ripeti scansione.
di elementi.
Ad esempio, è possibile ripetere la scansione di un elemento dopo aver
aggiornato la protezione. Se l'elemento non costituisce più una minaccia, è
possibile ripristinarlo nella posizione originale e rimuoverlo dalla
quarantena.
Visualizzare un
elemento nel
registro eventi.
Selezionare un elemento, quindi fare clic sul link Visualizza in registro eventi nel
riquadro dei dettagli.
Ottenere ulteriori
informazioni su una
minaccia.
Selezionare un elemento, quindi fare clic sul link Ulteriori informazioni su questa
minaccia nel riquadro dei dettagli.
Viene visualizzata la pagina del registro eventi con l'evento relativo
all'elemento selezionato evidenziato.
Si apre una nuova finestra del browser nella pagina del sito Web McAfee
Labs che riporta ulteriori informazioni sulla minaccia che ha causato
l'inserimento in quarantena dell'elemento.
Vedere anche
Ripetizione scansione di elementi in quarantena a pagina 65
Guida del prodotto
63
3
Nomi rilevamenti
Minacce riportate dalla quarantena per nome rilevamento.
Nome
rilevamento
Descrizione
Adware
Genera fatturato visualizzando messaggi pubblicitari indirizzati all'utente.
L'adware acquisisce guadagni dal fornitore o dai relativi partner. Alcuni tipi di
adware possono acquisire o trasmettere dati personali.
Dialer
Reindirizza le connessioni Internet verso un corrispondente diverso dall'ISP
predefinito dell'utente. Il reindirizzamento è finalizzato a provocare addebiti per
la connessione a un fornitore di contenuti, fornitore o terza parte.
Joke
Finto danneggiamento di un computer, senza addebiti o usi nocivi. I joke non
recano danno alla sicurezza o alla privacy, ma potrebbero allarmare o infastidire
un utente.
Keylogger
Intercetta i dati tra l'inserimento da parte dell'utente e l'applicazione di
destinazione prevista. I keylogger di trojan horse o programmi potenzialmente
indesiderati potrebbero presentare un funzionamento identico. Il software
McAfee rileva entrambi i tipi per prevenire violazioni della privacy.
Password cracker
Consente a un utente o amministratore di recuperare le password smarrite o
dimenticate di account o file dati. In mano agli autori di attacchi, questi
strumenti consentono di accedere a informazioni riservate e rappresentano una
minaccia alla sicurezza e alla privacy.
Programma
potenzialmente
indesiderato
Software spesso legittimi (non malware) che possono alterare lo stato di
sicurezza o la privacy del sistema. Questo software può essere scaricato insieme
a un programma desiderato. Può includere spyware, adware, keylogger,
password cracker, strumenti di hacking e dialer.
Strumento di
amministrazione
remota
Fornisce a un amministratore il controllo remoto di un sistema. Questi strumenti
possono costituire una minaccia significativa per la sicurezza se controllati da un
autore di attacchi.
Spyware
Trasmette informazioni personali a una terza parte senza che l'utente ne sia a
conoscenza o fornisca il consenso. Uno spyware sfrutta i computer infetti per
acquisire vantaggi commerciali:
• Fornendo contenuti pubblicitari pop-up non richiesti
• Carpendo i dati personali, comprese le informazioni finanziarie come i numeri
delle carte di credito
• Monitorando l'attività di navigazione sul Web a scopo di marketing
• Indirizzando le richieste HTTP a siti di contenuti pubblicitari
Vedere anche Programmi potenzialmente indesiderati.
Stealth
Si tratta di un tipo di virus che cerca di evitare il rilevamento da parte dei
software antivirus.
Noto anche come intercettatore di interrupt.
Molti virus stealth intercettano le richieste di accesso al disco. In questo modo,
quando un'applicazione antivirus cerca di leggere i file o settori di boot per
individuare il virus, il virus invia al programma un'immagine "pulita"
dell'elemento richiesto. Altri virus nascondono le dimensioni reale di un file
infetto e mostrano le dimensioni del file prima dell'infezione.
64
Guida del prodotto
3
Nome
rilevamento
Descrizione
Trojan horse
Si tratta di un programma dannoso che finge di essere un'applicazione innocua.
Un trojan non esegue repliche ma danneggia o compromette la sicurezza del
computer.
Generalmente, un computer diventa infetto:
• Quando un utente apre un allegato contenente un trojan in un'email.
• Quando un utente scarica un trojan da un sito Web.
• Networking peer-to-peer.
Poiché non eseguono repliche di sé stessi, i trojan non sono considerati virus.
Virus
Si unisce ai dischi o ad altri file e si replica ripetutamente, generalmente a
insaputa o senza il permesso dell'utente.
Alcuni virus si uniscono ai file in modo che quando il file infetto viene eseguito,
anche il virus va in esecuzione. Altri virus risiedono nella memoria del computer
e infettano i file nel momento in cui il computer li apre, modifica o crea. Alcuni
virus presentano sintomi, mentre altri danneggiano file e sistemi del computer.
Ripetizione scansione di elementi in quarantena
Quando si ripete la scansione di elementi in quarantena, Endpoint Security utilizza le impostazioni di
scansione designate per fornire la massima protezione.
Procedura consigliata: ripetere sempre la scansione degli elementi in quarantena prima del ripristino.
Ad esempio, è possibile ripetere la scansione di un elemento dopo aver aggiornato la protezione. Se
l'elemento non costituisce più una minaccia, è possibile ripristinarlo nella posizione originale e
rimuoverlo dalla quarantena.
Nell'intervallo di tempo tra quando la minaccia è stata identificata e quando la scansione viene
ripetuta, le condizioni di scansione possono cambiare, influenzando il rilevamento degli elementi in
quarantena.
Durante la ripetizione della scansione degli elementi in quarantena, Endpoint Security sempre:
•
Scansiona file con codifica MIME.
•
Scansiona file di archivio compressi.
•
Esegue una ricerca McAfee GTI nel file.
•
Imposta il livello di sensibilità di McAfee GTI su Molto elevato.
Sebbene vengano utilizzate queste impostazioni di scansione, la ripetizione della scansione di un
elemento in quarantena potrebbe non rilevare una minaccia. Ad esempio, se sono cambiati i metadati
dell'elemento (percorso o posizione nel registro), la ripetizione della scansione potrebbe dare un falso
positivo anche se l'elemento è ancora infetto.
In qualità di amministratore, è possibile specificare le impostazioni Prevenzione delle minacce per
impedire l'accesso di minacce e configurare le scansioni.
Guida del prodotto
65
3
Configurazione delle esclusioni
Prevenzione delle minacce consente di ottimizzare la protezione specificando gli elementi da escludere.
Ad esempio, potrebbe essere necessario escludere alcuni tipi di file per impedire al programma di
scansione di bloccare un file utilizzato da un database o un server. Un file bloccato può causare
problemi al database o al server o produrre errori.
Le esclusioni inserite negli elenchi di esclusioni si escludono a vicenda. Ciascuna esclusione viene
valutata separatamente dalle altre incluse nell'elenco.
Per escludere una cartella sui sistemi Windows, aggiungere una barra rovesciata (\) alla fine del
percorso.
Per questa
funzione...
Specificare gli
elementi da
escludere
Dove eseguire la
configurazione
Escludi elementi
per
Utilizzare
caratteri
jolly?
Protezione
dell'accesso
Processi (per tutte
le regole o una
regola specificata)
Impostazioni
Nome o percorso file
di processo, hash
MD5 o firmatario
Tranne per
l'hash MD5
Prevenzione exploit
Processi
Impostazioni Prevenzione
exploit
di processo, hash
MD5 o firmatario
Tranne per
l'hash MD5
del modulo
chiamante, hash
MD5 o firmatario
API
Tutte le scansioni
Nomi rilevamenti
Opzioni impostazioni
Nome rilevamento
(distinzione tra
maiuscole e
minuscole)
Sì
Nome
Sì
Nome file o cartella,
tipo di file o data del
file
Sì
URL ScriptScan
Nome URL
No
File, cartelle e unità Impostazioni
file
Sì
File, cartelle e unità In comune | Attività |
Aggiungi attività |
Scansione personalizzata
file
Sì
Programmi
potenzialmente
indesiderati
Scansione
all'accesso
File, tipi di file e
cartelle
Impostazioni
Scansione all'accesso
• Predefinito
• Rischio elevato
• Rischio basso
Scansione su
richiesta
• Scansione rapida
• Scansione completa
• Scansione di scelta
rapida
Scansione su
richiesta
personalizzata
Vedere anche
Caratteri jolly nelle esclusioni di scansione a pagina 67
66
Guida del prodotto
3
Caratteri jolly nelle esclusioni di scansione
È possibile utilizzare caratteri jolly per rappresentare i caratteri nelle esclusioni per le scansioni di file,
cartelle, nomi rilevamenti e programmi potenzialmente indesiderati.
Tabella 3-1 Caratteri jolly validi
Carattere jolly Nome
?
Rappresenta
Punto interrogativo Singolo carattere.
Questo carattere jolly verrà applicato solo se il numero di
caratteri corrisponde alla lunghezza del nome del file o della
cartella. Ad esempio: L'esclusione W?? esclude WWW, ma non
WW o WWWW.
*
Asterisco
Caratteri multipli, eccetto la barra rovesciata (\).
*\ non è consentito all'inizio del percorso di un file. Usare **\.
Ad esempio: **\ABC\*.
**
Doppio asterisco
Zero o più caratteri qualsiasi, inclusa la barra rovesciata (\).
Questo carattere jolly corrisponde a zero o più caratteri. Ad
esempio: C:\ABC\**\XYZ corrisponde a C:\ABC\DEF\XYZ e C:
\ABC\XYZ.
I caratteri jolly possono essere visualizzati davanti a barre rovesciate (\) nei percorsi. Ad esempio, il
percorso C:\ABC\*\XYZ corrisponde a C:\ABC\DEF\XYZ.
Esclusioni a livello di root
Prevenzione delle minacce richiede un percorso assoluto per le esclusioni a livello di root. Questo
significa che non è consentito utilizzare \ o i caratteri jolly ?:\ all'inizio di un percorso per far
corrispondere i nomi delle unità a livello di root.
Questo comportamento è diverso da VirusScan Enterprise. Vedere l'articolo KB85746 della
KnowledgeBase e la Guida di Migrazione McAfee Endpoint Security.
Con Prevenzione delle minacce, è possibile utilizzare i caratteri jolly **\ all'inizio di un percorso per far
corrispondere unità e sottocartelle nelle esclusioni a livello di root. Ad esempio, **\test corrisponde ai
seguenti percorsi:
C:\test
D:\test
C:\temp\test
D:\foo\test
Protezione dei punti di accesso del sistema
La prima linea di difesa contro i malware consiste nella protezione dei punti di accesso al sistema
dall'ingresso di minacce. La protezione dell'accesso impedisce che nei computer gestiti si verifichino
modifiche indesiderate mediante la limitazione dell'accesso a file, condivisioni, chiavi e valori di
registro e processi.
La protezione dell'accesso utilizza regole definite sia da McAfee sia dall'utente (dette anche regole
personalizzate) per segnalare o bloccare l'accesso agli elementi. La protezione dell'accesso confronta
un'azione richiesta con l'elenco di regole e agisce secondo la regola.
Guida del prodotto
67
3
La protezione dell'accesso deve essere attivata per rilevare tentativi di accesso a file, condivisioni,
chiavi e valori di registro e processi.
La protezione dell'accesso è attivata per impostazione predefinita.
Modalità di accesso delle minacce
Le minacce accedono al sistema tramite diversi punti di accesso.
Punto di accesso
Descrizione
Macro
Come parte dei documenti di elaboratori di testo e delle applicazioni di fogli
elettronici.
File eseguibili
Programmi apparentemente innocui che insieme al programma previsto
possono contenere virus. Alcune estensioni di file comuni
sono .EXE, .COM, .VBS, .BAT, .HLP e .DLL.
Script
Associati a pagine Web ed email, gli script, come ad esempio ActiveX e
JavaScript, se eseguiti possono contenere virus.
Messaggi Internet
Relay Chat (IRC)
File inviati con questi messaggi possono facilmente contenere malware. Ad
esempio, i processi ad avvio automatico possono contenere minacce quali
worm e cavalli di Troia.
File della guida del
browser e delle
applicazioni
Il download di questi file della Guida espone il sistema a virus ed eseguibili
incorporati.
Email
Scherzi, giochi e immagini vengono inviati come parte di messaggi email
con allegati.
Combinazione di tutti
questi punti di accesso
Autori di programmi malware sofisticati combinano tutti questi metodi di
invio delle minacce e incorporano persino programmi malware uno dentro
l'altro per tentare di accedere al computer gestito.
Modalità di arresto delle minacce da parte della protezione dell'accesso
La protezione dell'accesso arresta le potenziali minacce gestendo le azioni in base alle regole di
protezione definite da McAfee e dall'utente.
Prevenzione delle minacce segue questo processo di base per fornire la protezione dell'accesso.
Quando si verifica una minaccia
Quando un utente o un processo agisce:
1
La protezione dell'accesso esamina l'azione in base a regole definite.
2
Se l'azione viola una regola, la protezione dell'accesso gestisce l'azione utilizzando le informazioni
nelle regole configurate.
3
La protezione dell'accesso aggiorna il file di registro e genera e invia un evento al server gestito, se
gestito.
Esempio di minaccia all'accesso
68
1
Un utente scarica un programma legittimo (non malware), ad esempio MyProgram.exe, da
Internet.
2
L'utente avvia il programma MyProgram.exe che sembra partire nel modo previsto.
3
MyProgram.exe avvia un processo figlio, denominato AnnoyMe.exe.
4
AnnoyMe.exe tenta di modificare il sistema operativo per assicurarsi che venga sempre caricato
all'avvio.
Guida del prodotto
3
5
La protezione dell'accesso elabora la richiesta e la confronta con una regola esistente che è
configurata per bloccare le minacce e inviare un report.
6
La protezione dell'accesso impedisce ad AnnoyMe.exe di modificare il sistema operativo e registra i
dettagli del tentativo. La protezione dell'accesso, inoltre, genera e invia un avviso al server di
gestione.
Informazioni sulle regole di protezione dell'accesso
Utilizzare le regole di protezione dell'accesso definite da McAfee e dall'utente per proteggere i punti di
accesso del sistema.
Le regole definite da McAfee vengono sempre applicate prima delle regole definite dall'utente.
Tipo di regola
Descrizione
Regole definite
da McAfee
• Queste regole impediscono la modifica delle impostazioni e dei file utilizzati più
di frequente.
• È possibile attivare, disattivare e modificare la configurazione delle regole
definite da McAfee, ma non è possibile eliminarle.
Regole definite
dall'utente
• Queste regole integrano la protezione offerta dalle regole definite da McAfee.
• Se la tabella degli eseguibili è vuota, la regola viene applicata a tutti gli eseguibili.
• Se la tabella Nomi utente è vuota, la regola viene applicata a tutti gli utenti.
• È possibile aggiungere ed eliminare, ma anche attivare, disattivare e modificare
la configurazione di queste regole.
Esclusioni
A livello di regola, esclusioni e inclusioni si applicano alla regola specificata. A livello di policy, le
esclusioni si applicano a tutte le regole. Le esclusioni sono facoltative.
Vedere anche
Esclusione dei processi dalla protezione dell'accesso a pagina 75
Configurare le regole di protezione dell'accesso definite da McAfee
Le regole predefinite da McAfee impediscono agli utenti di modificare i file e le impostazioni utilizzati
più di frequente.
Prima di iniziare
È possibile:
•
Modificare le impostazioni di blocco e segnalazione per queste regole.
•
Aggiungere eseguibili da escludere o includere a queste regole.
Non è possibile:
•
Eliminare queste regole.
•
Modificare i file e le impostazioni protetti da queste regole.
•
Aggiungere sottoregole o nomi utente a queste regole.
Guida del prodotto
69
3
Attività
1
2
Fare clic su Prevenzione delle minacce nella pagina Stato principale.
nella pagina Impostazioni.
3
4
Fare clic su Protezione dell'accesso.
5
Modificare la regola:
a
6
, selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce
Nella sezione Regole, selezionare Blocca, Segnala o entrambe le opzioni per la regola.
•
Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga.
•
Per disattivare la regola, deselezionare Blocca e Segnala.
b
Fare doppio clic su una regola definita da McAfee da modificare.
c
Nella pagina Modifica regola definita da McAfee, configurare le impostazioni.
d
Nella sezione Eseguibili, fare clic su Aggiungi, configurare le impostazioni e fare clic due volte su
Salva per salvare la regola.
Vedere anche
Regole di protezione dell'accesso definite da McAfee a pagina 70
Regole di protezione dell'accesso definite da McAfee
Utilizzare le regole di protezione dell'accesso definite da McAfee per proteggere il computer da
modifiche indesiderate.
Regola definita da
McAfee
Descrizione
Alterazione delle registrazioni Protegge le chiavi di registro in HKEY_CLASSES_ROOT dove sono registrate
delle estensioni di file
le estensioni dei file.
Questa regola impedisce ai malware di modificare le registrazioni di
estensione dei file per consentire ai malware di essere eseguiti in
background.
Procedura consigliata: disattivare questa regola durante l'installazione di
applicazioni valide che modificano le registrazioni dell'estensione dei file nel
registro.
Questa regola costituisce un'alternativa più restrittiva a Assunzione del controllo
di file eseguibili con estensione .EXE e altre estensioni.
Alterazione delle policy di
diritti utente
Protegge i valori di registro che contengono informazioni di sicurezza
Windows.
Questa regola impedisce ai worm di modificare gli account che dispongono di
diritti amministratore.
70
Guida del prodotto
Regola definita da
McAfee
Descrizione
Creazione di nuovi file
eseguibili nella cartella
Programmi
Impedisce la creazione di nuovi file eseguibili nella cartella Programmi.
3
Questa regola impedisce ad adware e spyware di creare nuovi file .EXE
e .DLL e di installare nuovi file eseguibili nella cartella Programmi.
Procedura consigliata: installare la applicazioni prima di attivare questa
regola o inserire i processi bloccati nell'elenco di esclusioni.
Creazione di nuovi file
eseguibili nella cartella
Windows
Impedisce la creazione di file da qualsiasi processo, non soltanto in rete.
Questa regola impedisce la creazione di file .EXE e .DLL nella cartella
Windows.
Procedura consigliata: aggiungere all'elenco di esclusioni i processi che
devono salvare file nella cartella Windows.
Disattivazione di Editor del
Registro e Task Manager
Protegge le voci di registro Windows, impedendo la disattivazione dell'Editor
del Registro e di Task Manager.
Durante un'epidemia, disattivare questa regola per poter modificare il
registro oppure aprire Task Manager per arrestare i processi attivi.
Esecuzione di script di
Windows script host
(CScript.exe o Wscript.exe)
da qualsiasi cartella
temporanea
Impedisce a Windows Scripting Host di eseguire script VBScript e JavaScript
da qualsiasi cartella che contiene "temp" nel nome.
Assunzione del controllo di
file eseguibili con
estensione .EXE o altre
estensioni
Protegge .EXE, .BAT e altre chiavi di registro eseguibili in
HKEY_CLASSES_ROOT.
Questa regola protegge da numerosi trojan e meccanismi di installazione
Web discutibili utilizzati da applicazioni adware e spyware.
Questa regola potrebbe bloccare l'installazione o l'esecuzione di applicazioni
di terze parti e script legittimi.
Questa regola impedisce ai malware di modificare le chiavi di registro per
eseguire il virus quando si sta eseguendo un altro eseguibile.
Questa regola è un'alternativa meno restrittiva a Modifica di tutte le registrazioni
delle estensioni di file.
Installazione di oggetti helper Impedisce l'installazione di adware, spyware e trojan come oggetti helper
browser o estensioni shell
browser nel computer host.
Questa regola impedisce l'installazione di adware e spyware sui sistemi.
Procedura consigliata: per consentire ad applicazioni personalizzate o di
terze parti legittime di installare questi oggetti, aggiungerli all'elenco di
esclusioni. Dopo l'installazione, è possibile riattivare la regola in quanto non
impedisce il funzionamento degli oggetti helper browser installati.
Installazione di nuovi CLSID,
APPID e TYPELIB
Impedisce l'installazione o la registrazione di nuovi server COM.
Questa regola protegge da programmi adware e spyware che si installano
come add-on COM in Internet Explorer o nelle applicazioni Microsoft Office.
Procedura consigliata: consentire le applicazioni legittime che si
registrano come add-on COM, comprese alcune applicazioni comuni come
Adobe Flash, aggiungendole all'elenco delle esclusioni.
Guida del prodotto
71
3
Regola definita da
McAfee
Descrizione
Apertura automatica di file
dalla cartella Programmi
scaricati di Internet Explorer
Impedisce l'installazione di software tramite il browser Web. Questa regola è
specifica per Microsoft Internet Explorer.
Poiché questa regola potrebbe bloccare anche l'installazione di software
legittimo, installare l'applicazione prima di attivarla o aggiungere il processo
di installazione come esclusione.
L'impostazione predefinita della regola è Segnala.
Questa regola impedisce ad adware e spyware di installare ed eseguire
eseguibili da questa cartella.
Modifica di processi Windows Impedisce la creazione o l'esecuzione di file con i nomi contraffatti più
principali
comuni.
Questa regola impedisce a virus e trojan di essere eseguiti con il nome di un
processo Windows. Questa regola esclude i file Windows autentici.
Modifica di impostazioni
Internet Explorer
Impedisce ai processi di modificare le impostazioni di Internet Explorer.
Questa regola impedisce a trojan, adware e spyware della pagina iniziale di
modificare le impostazioni browser, come cambiare la pagina iniziale o
installare i preferiti.
Modifica delle impostazioni di Impedisce ai processi non presenti nell'elenco di esclusioni di modificare le
rete
impostazioni di rete di un sistema.
Questa regola protegge dai Layered Service Provider che trasmettono dati,
come i comportamenti di navigazione, acquisendo il traffico di rete e
inviandolo a siti di terze parti.
Procedura consigliata: aggiungere i processi che devono modificare le
impostazioni di rete all'elenco di esclusioni o disattivare la regola quando si
apportano modifiche.
Registrazione di programmi
Blocca i tentativi di adware, spyware, trojan e virus di registrarsi per il
da eseguire automaticamente caricamento a ogni riavvio del sistema.
Questa regola impedisce ai processi non presenti nell'elenco di esclusioni di
registrare processi che vengono eseguiti a ogni riavvio del sistema.
Procedura consigliata: aggiungere applicazioni legittime all'elenco di
esclusioni o installarle prima dell'attivazione della regola.
Accesso remoto a file o
cartelle locali
Impedisce l'accesso al computer in lettura e scrittura da computer remoti.
Questa regola impedisce la diffusione di un worm di tipo share-hopping.
In un ambiente standard, questa regola è adatta alle workstation, ma non ai
server, ed è utile solamente quando i computer si trovano sotto attacco
attivo.
Se un computer viene gestito eseguendovi il push di file, questa regola
impedisce l'installazione di aggiornamenti o patch. Questa regola non
influisce sulle funzioni di gestione di McAfee ePO.
Creazione remota di file di
esecuzione automatica
Impedisce ad altri computer di stabilire una connessione e creare o
modificare i file di esecuzione automatica (autorun.inf).
I file di esecuzione automatica vengono utilizzati per avviare
automaticamente i file di programmi, normalmente file di configurazione da
CD.
Questa regola impedisce l'esecuzione di spyware e adware distribuiti su CD.
Questa regola è selezionata per impostazione predefinita per Blocca e Segnala.
72
Guida del prodotto
3
Regola definita da
McAfee
Descrizione
Creazione o modifica di file o
cartelle da remoto
Blocca l'accesso in scrittura a tutte le condivisioni.
Questa regola è utile durante un'epidemia, in quanto impedisce l'accesso in
scrittura per limitare la diffusione dell'infezione. La regola blocca i malware
che altrimenti limiterebbero gravemente l'uso del computer o della rete.
In un ambiente standard, questa regola è adatta alle workstation, ma non ai
server, ed è utile solamente quando i computer si trovano sotto attacco
attivo.
Se un computer viene gestito eseguendovi il push di file, questa regola
impedisce l'installazione di aggiornamenti o patch. Questa regola non
influisce sulle funzioni di gestione di McAfee ePO.
Creazione o modifica remota
di tipi di file quali eseguibile
portabile, .INI, .PIF e percorsi
sistema principale
Impedisce ad altri computer di stabilire una connessione e modificare i file
eseguibili, come i file nella cartella Windows. Questa regola riguarda
solamente i tipi di file generalmente infettati da virus.
Questa regola protegge da worm o virus che si diffondono rapidamente, che
attraversano una rete tramite le condivisioni aperte o amministrative.
Questa regola è un'alternativa meno sicura a Impostare tutte le condivisioni come di
sola lettura.
Esecuzione di file da
Impedisce agli eseguibili di eseguire o avviare file da qualsiasi cartella che
qualsiasi cartella temporanea contiene "temp" nel nome.
Questa regola protegge contro il malware salvato ed eseguito dalla cartella
Temp dell'utente o del sistema. Tale malware potrebbe includere allegati
eseguibili nell'email e nei programmi scaricati.
Nonostante questa regola fornisca la protezione maggiore, potrebbe bloccare
l'installazione di applicazioni legittime.
Esecuzione file dalla cartella
temporanea da parte di
programmi comuni
Impedisce alle applicazioni di installare software dal browser o dal client
email.
Questa regola impedisce l'esecuzione di allegati email ed eseguibili nelle
pagine Web.
Procedura consigliata: per installare un'applicazione che utilizza la cartella
temporanea, aggiungere il processo all'elenco di esclusioni.
Vedere anche
Configurare le regole di protezione dell'accesso definite da McAfee a pagina 69
Configurare le regole di protezione dell'accesso definite dall'utente
Queste regole definite dall'utente integrano la protezione offerta dalle regole definite da McAfee. È
possibile aggiungere ed eliminare, ma anche attivare, disattivare e modificare la configurazione di
queste regole.
Prima di iniziare
Procedura consigliata: per informazioni sulla creazione di regole di protezione dell'accesso contro i
ransomware, consultare l'articolo PD25203.
Guida del prodotto
73
3
Attività
1
2
3
4
5
Creazione della regola: nella sezione Regole, fare clic su Aggiungi.
Nella pagina Aggiungi regola, configurare le impostazioni.
a
Nella sezione Eseguibili, fare clic su Aggiungi, configurare le proprietà dell'eseguibile e fare clic due
volte su Salva.
Se la tabella degli eseguibili è vuota, la regola viene applicata a tutti gli eseguibili.
b
Nella sezione Nomi utente, fare clic su Aggiungi e configurare le proprietà del nome utente.
Se la tabella Nomi utente è vuota, la regola viene applicata a tutti gli utenti.
c
Nella sezione Sottoregole, fare clic su Aggiungi e configurare le proprietà della sottoregola.
Procedura consigliata: per evitare effetti negativi sulle prestazioni, non selezionare
l'operazione Leggi.
Nella sezione Destinazioni, fare clic su Aggiungi, configurare le informazioni sulla destinazione e fare
clic due volte su Salva.
6
7
Nella sezione Regole, selezionare Blocca, Segnala o entrambe le opzioni per la regola.
•
•
Vedere anche
Valutazione delle destinazioni nelle sottoregole di Protezione dell'accesso
Ciascuna destinazione viene aggiunta con una direttiva Includi o Escludi.
74
Guida del prodotto
3
Quando si valuta un evento di sistema utilizzando una sottoregola, questa lo valuta come vero se:
•
Almeno una direttiva Includi è vera.
e
•
Tutte le direttive Escludi sono false.
Escludi ha la precedenza su Includi. Di seguito sono riportati alcuni esempi:
•
Se un'unica sottoregola include ed esclude il file C:\marketing\jjohns, la sottoregola non viene
attivata per quel file.
•
Se una sottoregola include tutti i file ma esclude il file C:\marketing\jjohns, la sottoregola viene
attivata se il file non è C:\marketing\jjohns.
•
Se una sottoregola include il file C:\marketing\*, ma esclude C:\marketing\jjohns, la sottoregola
viene attivata per C:\marketing\anyone, ma non per C:\marketing\jjohns.
Esclusione dei processi dalla protezione dell'accesso
Se viene bloccato un programma ritenuto affidabile, escludere il processo creando un'esclusione
basata su policy o basata su regole.
Attività
1
2
3
4
Guida del prodotto
75
3
5
Verificare che Protezione dell'accesso sia attivata.
La Protezione dell'accesso è attivata per impostazione predefinita.
6
Eseguire una delle seguenti operazioni:
Per...
Eseguire questa operazione...
Creare un'esclusione 1 Nella sezione Esclusioni, fare clic su Aggiungi per aggiungere processi da
basata su policy.
escludere da tutte le regole.
2 Nella pagina Aggiungi eseguibile, configurare le proprietà dell'eseguibile.
3 Fare clic su Salva, quindi su Applica per salvare le impostazioni.
Creare un'esclusione 1 Modificare una regola esistente o aggiungerne una nuova.
basata su regole.
2 Nella pagina Aggiungi regola o Modifica regola, fare clic su Aggiungi per
aggiungere un eseguibile da escludere.
3 Nella pagina Aggiungi eseguibile, configurare le proprietà dell'eseguibile.
4 Fare clic su Salva per salvare le esclusioni.
Blocco degli exploit da overflow del buffer
Prevenzione exploit impedisce l'esecuzione di codici arbitrari da parte di overflow del buffer interessati
da exploit. La funzione controlla le chiamate all'API della modalità utente e riconosce se sono il
risultato di un overflow del buffer.
Al verificarsi di un rilevamento, le informazioni vengono memorizzate nel registro attività, visualizzate
nel sistema client e inviate al server di gestione, se configurato.
Prevenzione delle minacce si serve dei file di contenuto di prevenzione exploit per proteggere
applicazioni come Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word e
MSN Messenger.
Host Intrusion Prevention 8.0 può essere installato nello stesso sistema di Endpoint Security 10.2. Se
McAfee Host IPS è attivato, Prevenzione exploit viene disattivato anche se attivato nelle impostazioni
della policy.
Modalità di verifica dell'exploit di overflow del buffer
Gli autori dell'attacco sfruttano gli exploit di overflow del buffer per avviare codice eseguibile tramite
l'overflow dei buffer di memoria di dimensioni fisse per un processo di input. Tale codice consente
all'autore dell'attacco di assumere il controllo del computer bersaglio o di comprometterne i dati.
Oltre il 25% degli attacchi malware è costituito da attacchi di overflow del buffer che cercano di
sovrascrivere la memoria adiacente nello stack frame.
Esistono due tipologie di exploit di overflow del buffer:
•
Gli attacchi basati su stack utilizzano gli oggetti della memoria stack per memorizzare l'input
dell'utente e sono i più comuni.
•
Gli attacchi basati su heap occupano lo spazio di memoria riservato a un programma, ma sono rari.
L'oggetto della memoria stack di dimensioni fisse è in genere vuoto e in attesa dell'input dell'utente.
Quando un programma riceve l'input dell'utente, i dati vengono memorizzati nella parte superiore
dello stack e viene loro assegnato un indirizzo di memoria di restituzione. Quando lo stack viene
elaborato, l'input dell'utente viene inviato all'indirizzo di restituzione specificato dal programma.
76
Guida del prodotto
3
Di seguito viene fornita una descrizione degli attacchi tramite overflow del buffer basati su stack:
1
Overflow dello stack.
Quando il programma viene compilato, una quantità di spazio di memoria specifica viene riservata
ai dati. Gli overflow dello stack si verificano se la quantità di dati scritti supera lo spazio a essi
riservato nello stack della memoria. Questo rappresenta un problema solo quando è presente un
input pericoloso.
2
Exploit dell'overflow.
Il programma attende l'input dell'utente. Se l'autore dell'attacco digita un comando eseguibile che
supera la dimensione dello stack, tale comando viene salvato al di fuori dello spazio riservato.
3
Esecuzione del malware.
Il comando non viene eseguito automaticamente perché supera la quantità di spazio disponibile nel
buffer dello stack. Prima il programma inizia ad arrestarsi in modo anomalo a causa dell'overflow
del buffer. Se l'autore dell'attacco ha fornito un indirizzo di memoria di restituzione che fa
riferimento al comando dannoso, il programma cerca di recuperarlo utilizzando l'indirizzo di
restituzione. Se l'indirizzo di restituzione è un indirizzo valido, il comando dannoso viene eseguito.
4
Exploit delle autorizzazioni.
Il malware viene ora eseguito con le stesse autorizzazioni dell'applicazione compromessa. Poiché i
programmi vengono in genere eseguiti in modalità kernel o con autorizzazioni ereditate da un
account di servizio, l'autore dell'attacco ora è in grado di controllare completamente il sistema
operativo.
Configurare le impostazioni della policy di prevenzione exploit
Per impedire l'esecuzione di codice arbitrario da parte delle applicazioni sul computer personale,
configurare le impostazioni della policy di prevenzione exploit.
Prima di iniziare
Attività
1
2
3
4
Fare clic su Prevenzione exploit.
5
Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su
Annulla.
Vedere anche
Guida del prodotto
77
3
Esclusione di processi dalla prevenzione exploit
Quando si verifica un evento di violazione di prevenzione exploit, esiste un processo associato e un
possibile modulo chiamante o API.
Se si sospetta che l'evento di violazione sia un falso positivo, è possibile aggiungere un'esclusione che
specifica il processo, il modulo chiamante o l'API.
All'interno di una stessa esclusione, il processo, il modulo e l'API sono collegati con un AND logico. Per
evitare che si ripetano violazioni, processo, modulo e API associati all'evento di violazione devono
corrispondere.
Ogni esclusione è indipendente: più esclusioni sono collegate con un OR logico, per cui, se
un'esclusione corrisponde, l'evento di violazione non si verifica.
Rilevamento di programmi potenzialmente indesiderati
Per proteggere il computer gestito da programmi potenzialmente indesiderati, è necessario configurare
i file e i programmi da rilevare nell'ambiente, quindi attivare il rilevamento.
I programmi potenzialmente indesiderati sono programmi software fastidiosi o in grado di alterare lo
stato di protezione oppure i criteri di riservatezza del sistema. I programmi potenzialmente
indesiderati possono essere contenuti in programmi scaricati intenzionalmente dall'utente. I
programmi potenzialmente indesiderati possono includere spyware, adware e dialer.
1
Specificare i programmi indesiderati personalizzati che i programmi di scansione all'accesso e su
richiesta dovranno rilevare nelle impostazioni della policy Opzioni.
2
Attivare il rilevamento dei programmi indesiderati e specificare quali azioni intraprendere quando si
verificano dei rilevamenti nelle seguenti impostazioni:
•
Impostazioni della policy di scansione all'accesso
•
Impostazioni della policy di scansione su richiesta
Vedere anche
Specificare programmi potenzialmente indesiderati personalizzati da rilevare a pagina 78
Attivazione e configurazione di rilevamenti di programmi potenzialmente indesiderati e
risposte a pagina 79
Configurare le impostazioni della policy di scansione all'accesso a pagina 81
Specificare programmi potenzialmente indesiderati personalizzati da
rilevare
Specificare i programmi aggiuntivi che i programmi di scansione all'accesso e su richiesta dovranno
gestire come indesiderati nelle impostazioni Opzioni.
Prima di iniziare
I programmi di scansione rilevano i programmi specificati dall'utente e quelli specificati nei file di
contenuto AMCore.
78
Guida del prodotto
3
Attività
1
2
3
4
Fare clic su Opzioni.
5
Da Rilevamenti di programmi potenzialmente indesiderati:
•
Fare clic su Aggiungi per specificare il nome e la descrizione facoltativa di singoli file o programmi
da rilevare come programmi potenzialmente indesiderati.
Quando viene effettuato un rilevamento, la descrizione compare come nome rilevamento.
•
Fare doppio clic sul nome o la descrizione di un programma potenzialmente indesiderato
esistente per modificarli.
•
Selezionare un programma potenzialmente indesiderato esistente, quindi fare clic su Elimina per
rimuoverlo dall'elenco.
Vedere anche
Attivazione e configurazione di rilevamenti di programmi potenzialmente
indesiderati e risposte
Attivare il rilevamento di programmi potenzialmente indesiderati e specificare le risposte in caso di
rilevamento da parte dei programmi di scansione all'accesso e su richiesta.
Prima di iniziare
Attività
1
Configurare le impostazioni della policy di scansione all'accesso.
a
b
c
d
Fare clic su Scansione all'accesso.
Guida del prodotto
79
3
2
e
In Impostazioni per i processi, per ciascun tipo di scansione all'accesso, selezionare Rileva programmi
indesiderati.
f
In Azioni, configurare le risposte a programmi indesiderati.
Configurare le impostazioni della policy di scansione su richiesta.
a
b
c
d
Fare clic su Scansione su richiesta.
e
Per ciascun tipo di scansione (scansione completa, scansione rapida e scansione di scelta rapida):
•
Selezionare Rileva programmi indesiderati.
•
In Azioni, configurare le risposte a programmi indesiderati.
Vedere anche
Configurazione delle impostazioni di scansione comuni
Per specificare impostazioni che si applicano sia alle scansioni all'accesso sia a quelle su richiesta,
configurare le impostazioni della policy Prevenzione delle minacce Opzioni.
Prima di iniziare
Queste impostazioni si applicano a tutte le scansioni:
•
Posizione di quarantena e numero di giorni in cui gli elementi resteranno in quarantena prima di
essere automaticamente eliminati
•
Nomi dei rilevamenti da escludere dalle scansioni
•
Programmi potenzialmente indesiderati da rilevare, come spyware e adware
•
Feedback telemetria basato su McAfee GTI
Attività
1
2
3
80
Guida del prodotto
4
5
Annulla.
3
Vedere anche
di file sospetti.
•
•
Configurare le impostazioni della policy di scansione all'accesso
Queste impostazioni attivano e configurano la scansione all'accesso e ciò include la specifica di
messaggi da inviare al rilevamento di una minaccia e diverse impostazioni basate sul tipo di processo.
Prima di iniziare
Consultare la Guida per le impostazioni delle Opzioni del modulo Prevenzione delle minacce.
Attività
1
2
Guida del prodotto
81
3
3
4
Fare clic su Scansione all'accesso.
5
Selezionare Attiva scansione all'accesso per attivare il programma di scansione all'accesso e modificare
le opzioni.
6
Specificare se utilizzare le impostazioni Standard per tutti i processi o diverse impostazioni per i
processi con rischio basso ed elevato.
7
•
Impostazioni standard – Configurare le impostazioni di scansione nella scheda Standard.
•
Diverse policy basate sul tipo di processo – Selezionare la scheda (Standard, Rischio elevato o
Rischio basso) e configurare le impostazioni di scansione per ciascun tipo di processo.
Vedere anche
Configurazione delle impostazioni di scansione comuni a pagina 80
Funzionamento della scansione all'accesso
Il programma di scansione all'accesso si integra con i livelli più bassi del sistema (driver di filtro del file
system) ed esegue la scansione dei file nel punto in cui entrano nel sistema.
Il programma di scansione all'accesso consegna notifiche all'interfaccia del servizio in caso di
rilevamenti.
Quando viene eseguito un tentativo di apertura o chiusura di un file, il programma di scansione
intercetta l'operazione e intraprende le azioni seguenti:
1
Il programma di scansione determina se sottoporre l'elemento a scansione in base ai criteri
seguenti:
•
L'estensione del file corrisponde a quanto indicato nella configurazione.
•
Il file non è stato memorizzato nella cache, escluso o precedentemente sottoposto a scansione.
Se si configura McAfee GTI, il programma di scansione utilizza l'euristica per verificare la presenza di
file sospetti.
2
Se il file soddisfa il criterio di scansione, ne viene eseguita la scansione confrontando le firme
contenute nell'elemento con le firme dei file AMCore content correntemente caricati.
•
Se il file non è infetto, il risultato viene memorizzato nella cache e l'accesso viene consentito in
lettura o scrittura.
•
Se il file contiene una minaccia, l'operazione viene negata e il programma di scansione esegue
l'azione configurata.
Se ad esempio l'azione consiste nel ripulire il file, il programma di scansione:
82
1
Utilizza le informazioni del file AMCore content correntemente caricato per ripulire il file.
2
Registra i risultati nel registro attività.
3
Notifica all'utente il rilevamento di una minaccia nel file e richiede che venga intrapresa
l'azione appropriata (ripulire o eliminare il file).
Guida del prodotto
3
Windows 8 e 10: se il programma di scansione rileva una minaccia nel percorso di
un'applicazione del Windows Store installata, contrassegna tale file come alterato. Windows
aggiunge il contrassegno di alterato al riquadro dell'app. Quando si cerca di eseguirla, Windows
informa l'utente del problema e lo reindirizza a Windows Store per la reinstallazione.
3
Se il file non soddisfa i requisiti di scansione, il programma di scansione memorizza il file nella
cache e consente l'accesso.
L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security
o del sistema.
Prevenzione delle minacce scarica la cache di scansione globale ed esegue nuovamente la scansione di
tutti i file quando:
•
La configurazione della scansione all'accesso subisce modifiche.
•
È stato aggiunto un file Extra.DAT.
Scansione durante la scrittura su disco, la lettura dal disco o consentire a McAfee
di decidere
È possibile specificare quando il programma di scansione all'accesso deve eseguire la scansione dei
file: durante la scrittura su disco, durante la lettura dal disco o consentire a McAfee di decidere quando
eseguire la scansione.
Quando i file vengono scritti sul disco, il programma di scansione all'accesso esegue la scansione di
questi file:
•
File in ingresso che vengono scritti sul disco rigido locale.
•
File creati sul disco rigido locale o su un'unità di rete mappata, se attivata (compresi i file nuovi,
modificati o copiati/spostati da un'unità all'altra).
Guida del prodotto
83
3
Quando i file vengono letti dal disco, il programma di scansione esegue la scansione di questi file:
•
File in uscita che vengono letti dal disco rigido locale o dalle unità di rete mappate (se attivate).
•
Qualsiasi file che tenta di eseguire un processo sul disco rigido locale.
•
File aperti sul disco rigido locale.
Se si consente a McAfee di decidere se un file deve essere sottoposto a scansione, il programma di
scansione all'accesso utilizza la logica di affidabilità per ottimizzare la scansione. La logica di
affidabilità migliora la sicurezza e le prestazioni evitando scansioni non necessarie. Ad esempio,
McAfee analizza alcuni programmi e li considera affidabili. Se McAfee verifica che questi programmi
non sono stati alterati, il programma di scansione potrebbe eseguire una scansione ridotta o
ottimizzata.
Procedura consigliata: attivare questa opzione per ottimizzare protezione e prestazioni.
Informazioni su ScriptScan
Il programma di scansione script di Prevenzione delle minacce agisce come componente proxy nel
Windows Script Host nativo, intercettando ed eseguendo la scansione di script prima della loro
esecuzione.
•
Se uno script non è infetto, il programma di scansione degli script lo trasmette al sistema Windows
Script Host nativo.
•
Se lo script contiene una minaccia potenziale, il programma di scansione script ne impedisce
l'esecuzione.
Esclusioni di ScriptScan
I siti e le applicazioni Web ad alta densità di script potrebbero funzionare in maniera non ottimale
quando ScriptScan è attivato. Anziché disattivare ScriptScan, si consiglia di specificare esclusioni URL
per i siti affidabili, come quelli all'interno dell'Intranet o le applicazioni Web ritenute sicure.
84
Guida del prodotto
3
Quando si creano esclusioni URL:
•
Non utilizzare caratteri jolly.
•
Non includere numeri di porta.
•
Si consiglia di utilizzare solo nomi di dominio completi (FQDN) e nomi NetBIOS.
Sui sistemi Windows Server 2008, le esclusioni degli URL ScriptScan non funzionano con Internet
Explorer, a meno che non si attivino estensioni di browser di terze parti e si riavvii il sistema. Vedere
l'articolo KB69526 della KnowledgeBase.
ScriptScan e Internet Explorer
Quando Prevenzione delle minacce è installato, al primo avvio di Internet Explorer viene visualizzata
una richiesta di attivare i componenti aggiuntivi di McAfee. Affinché ScriptScan esegua la scansione
degli script:
•
L'impostazione Attiva ScriptScan deve essere selezionata.
•
Il componente aggiuntivo deve essere attivato nel browser.
Se ScriptScan è disattivato all'avvio di Internet Explorer e viene attivato in seguito, non rileva gli script
dannosi in quella istanza di Internet Explorer. È necessario riavviare Internet Explorer dopo aver attivato
ScriptScan affinché rilevi gli script dannosi.
Determinazione delle impostazioni di scansione per i processi
Seguire questa procedura per determinare se configurare diverse impostazioni in base al tipo di
processo.
Guida del prodotto
85
3
Configurazione delle impostazioni Scansione su richiesta
Queste impostazioni consentono di configurare il comportamento di tre scansioni su richiesta
predefinite: Scansione completa, Scansione rapida e Scansione di scelta rapida.
Prima di iniziare
Consultare la Guida per le impostazioni delle Opzioni del modulo Prevenzione delle minacce.
86
Guida del prodotto
3
Attività
1
2
3
4
Fare clic su Scansione su richiesta.
5
Fare clic su una scheda per configurare le impostazioni per la scansione specificata.
6
•
Scansione completa
•
Scansione rapida
•
Scansione di scelta rapida
Annulla.
Vedere anche
Modalità di funzionamento della scansione su richiesta
Il programma di scansione su richiesta esamina file, cartelle, memoria e registro del sistema alla
ricerca di eventuali malware che avrebbero potuto infettare il sistema.
Il momento e la frequenza di esecuzione delle scansioni su richiesta vengono stabiliti dall'utente. È
possibile eseguire la scansione del sistema manualmente, a un orario pianificato o all'avvio.
1
Il programma di scansione su richiesta applica i seguenti criteri per stabilire se l'elemento deve
essere sottoposto a scansione:
•
L'estensione del file corrisponde a quanto indicato nella configurazione.
•
Il file non è stato memorizzato nella cache, escluso o esaminato in precedenza (se il programma
di scansione utilizza una cache di scansione).
Se si configura McAfee GTI, il programma di scansione utilizza l'euristica per verificare la presenza di
file sospetti.
2
Se il file soddisfa il criterio di scansione, ne viene eseguita la scansione confrontando le
informazioni contenute nell'elemento con le firme di malware note nei file AMCore content
correntemente caricati.
•
Se il file è pulito, il risultato viene inserito nella cache e viene eseguita la verifica del successivo
elemento.
•
Se il file contiene una minaccia, il programma di scansione applica l'azione configurata.
Guida del prodotto
87
3
Ad esempio, se l'azione è quella di ripulire il file, il programma di scansione:
1
Utilizza le informazioni del file AMCore content correntemente caricato per ripulire il file.
2
Registra i risultati nel registro attività.
3
Invia una notifica all'utente a proposito del rilevamento di una minaccia nel file e include il
nome dell'elemento e l'azione intrapresa.
Windows 8 e 10: se il programma di scansione rileva una minaccia nel percorso di
un'applicazione del Windows Store installata, contrassegna tale file come alterato. Windows
aggiunge il contrassegno di alterato al riquadro dell'app. Quando si cerca di eseguirla, Windows
informa l'utente del problema e lo reindirizza a Windows Store per la reinstallazione.
3
Se l'elemento non soddisfa i requisiti di scansione, il programma di scansione non lo controlla. Anzi,
il programma continua fino ad aver eseguito la scansione di tutti i dati.
L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione su
richiesta successiva.
Prevenzione delle minacce scarica la cache di scansione globale ed esegue nuovamente la scansione di
tutti i file al caricamento di un Extra.DAT.
Riduzione dell'impatto delle scansioni sugli utenti
Per minimizzare l'impatto prodotto dalle scansioni su richiesta su un sistema, specificare le opzioni
relative alle prestazioni durante la configurazione di queste scansioni.
Esegui scansione solo quando il sistema è inattivo
Il modo più semplice per assicurarsi che la scansione non produca alcun impatto sugli utenti consiste
nell'eseguirla su richiesta solo quando il computer è inattivo.
88
Guida del prodotto
3
Quando questa opzione è selezionata, Prevenzione delle minacce mette in pausa la scansione quando
rileva attività del disco o dell'utente, come l'accesso mediante tastiera o mouse. Prevenzione delle
minacce riprende la scansione dopo tre minuti dall'ultimo accesso al sistema da parte dell'utente.
È inoltre possibile:
•
Consentire agli utenti di riprendere le scansioni messe in pausa a causa di attività dell'utente.
•
Ripristinare l'esecuzione della scansione solo quando il sistema è inattivo.
Disattivare questa opzione sui sistemi server e i sistemi ai quali gli utenti accedono solamente tramite
connessione desktop remota (RDP). Prevenzione delle minacce dipende da McTray per stabilire se il
sistema è inattivo. Sui sistemi ai quali si accede solamente tramite RDP, McTray non viene avviato e il
programma di scansione su richiesta non viene mai eseguito. Per aggirare questo problema, gli utenti
possono avviare McTray (in C:\Program Files\McAfee\Agent\mctray.exe, per impostazione predefinita)
manualmente quando accedono tramite RDP.
Selezionare Scansiona solo quando il sistema è inattivo nella sezione Prestazioni della
schedaImpostazionidell'attività di scansione su richiesta.
Mettere in pausa le scansioni automaticamente
Per migliorare le prestazioni, è possibile mettere in pausa le scansioni su richiesta quando la batteria è
quasi esaurita. È inoltre possibile mettere in pausa la scansione quando un'applicazione, come un
browser, programma di riproduzione multimediale o una presentazione, vengono eseguiti in modalità a
schermo intero. La scansione riprende immediatamente quando il sistema viene connesso
all'alimentazione o non si trova più in modalità a schermo intero.
Selezionare queste opzioni nella sezione Prestazioni della scheda Impostazioni dell'attività di
scansione:
•
Non eseguire la scansione quando il sistema è alimentato a batteria
•
Non eseguire la scansione quando il sistema è in modalità presentazione (disponibile quando Scansiona in qualsiasi
momento è selezionato)
Consentire agli utenti di rinviare le scansioni
Se si sceglie Scansiona in qualsiasi momento, è possibile consentire agli utenti di rinviare le scansioni
pianificate in incrementi di un'ora, fino a 24 ore, o per sempre. Ciascun rinvio dell'utente può durare
un'ora. Ad esempio, se l'opzione Numero massimo di ore di rinvio da parte dell'utente è impostata su 2, l'utente
può rinviare l'attività di scansione per due volte (due ore). Quando il numero di ore massimo
specificato scade, la scansione riprende. Se si consente di configurare rinvii illimitati impostando
l'opzione sul valore zero, l'utente potrà continuare a rinviare la scansione a tempo indeterminato.
Selezionare L'utente può rinviare le scansioni nella sezione Prestazioni delle impostazioni dell'attività di
scansione:
Limitazione dell'attività di scansione con scansioni incrementali
Utilizzare scansioni incrementali o recuperabili per impostare un limite di tempo per il verificarsi
dell'attività di scansione su richiesta e di eseguire la scansione dell'intero sistema in più sessioni. Per
utilizzare la scansione incrementale aggiungere un limite di tempo alla scansione pianificata. La
scansione si interrompe quando viene raggiunto il limite. Al successivo avvio, questa attività
riprenderà dal punto nel file e nella struttura della cartella in cui la scansione precedente si era
interrotta.
Selezionare Termina l'attività se eseguita per oltre nella sezione opzioni della scheda Pianifica dell'Attività di
scansione.
Guida del prodotto
89
3
Configurare l'utilizzo del sistema
Utilizzo del sistema specifica la quantità di tempo della CPU che il programma di scansione riceve
durante la scansione. Per i sistemi con attività dell'utente finale, impostare l'utilizzo del sistema su
Basso.
Selezionare Utilizzo del sistema nella sezione Prestazioni della scheda Impostazioni dell'attività di
scansione.
Vedere anche
Modalità di funzionamento dell'utilizzo del sistema
Il programma di scansione su richiesta utilizza l'impostazione di priorità di Windows per la priorità dei
processi di scansione e dei thread. L'impostazione di utilizzo del sistema (limitazione delle richieste)
consente al sistema operativo di impostare la quantità di tempo della CPU che il programma di
scansione su richiesta riceve durante il processo di scansione.
Se si imposta l'utilizzo del sistema per la scansione su un valore basso, aumentano le prestazioni delle
altre applicazioni in esecuzione. L'impostazione sul livello basso è utile per i sistemi con attività
dell'utente finale. Di contro, impostando l'utilizzo del sistema su un valore normale, la scansione viene
eseguita più rapidamente. L'impostazione normale è utile per i sistemi che dispongono di grandi
volumi e una minima attività dell'utente finale.
Ogni attività viene eseguita in maniera indipendente e senza considerare i limiti impostati per le altre
attività.
Tabella 3-2 Impostazioni processo predefinite
Impostazione processo Questa opzione...
Prevenzione delle
minacce
Impostazione della
priorità di Windows
Basso
Fornisce prestazioni migliori per le altre
Basso
applicazioni in uso. Selezionare questa opzione
per i sistemi con attività dell'utente finale.
Al di sotto del normale
Imposta l'utilizzo di sistema per la scansione
sul valore McAfee ePO predefinito.
Normale (predefinito)
Consente di completare la scansione più
Normale
rapidamente. Selezionare questa opzione per i
sistemi che dispongono di grandi volumi e una
minima attività dell'utente finale.
Al di sotto del normale
Modalità di funzionamento della scansione dell'archivio remoto
È possibile configurare il programma di scansione su richiesta per eseguire la scansione del contenuto
dei file gestiti dall'archivio remoto.
Archivio remoto monitora la quantità di spazio disponibile nel sistema locale. Quando necessario,
l'archivio remoto esegue una migrazione automatica del contenuto (dati) da file qualificati del sistema
client a un dispositivo di archiviazione, come una libreria di nastri. Quando un utente apre un file i cui
dati sono stati migrati, l'archivio remoto recupera automaticamente i dati dal dispositivo di
archiviazione.
Selezionare l'opzione File di cui è stata eseguita la migrazione nell'archivio per configurare il programma di
scansione su richiesta per eseguire la scansione di file gestiti dall'archivio remoto. Quando il
programma di scansione incontra un file il cui contenuto è stato migrato, il file viene ripristinato nel
sistema locale prima della scansione.
Per ulteriori informazioni, vedere What is Remote Storage.
90
Guida del prodotto
3
Configurazione, pianificazione e attivazione delle attività di
scansione
È possibile pianificare le attività di scansione completa e scansione rapida predefinite oppure creare attività di
scansione personalizzata da Client Endpoint Security nelle impostazioni di In comune.
Prima di iniziare
Attività
1
2
Dal menu Azione
3
4
5
Configurare le impostazioni dell'attività di scansione nella pagina.
Per...
scansione
personalizzata.
2 Immettere il nome, selezionare Scansione personalizzata dall'elenco a
discesa, quindi fare clic su Avanti.
3 Configurare le impostazioni e la pianificazione dell'attività di
scansione, quindi fare clic su OK per salvare l'attività.
Modificare un'attività di
scansione.
• Fare doppio clic sull'attività, apportare le modifiche quindi fare clic su
OK per salvare l'attività.
Rimuovere un'attività di
scansione
personalizzata.
Creare una copia di
un'attività di scansione.
2 Immettere il nome, configurare le impostazioni, quindi fare clic su OK
per salvare l'attività.
Guida del prodotto
91
3
Per...
Modificare la
pianificazione per
un'attività di scansione
completa o di scansione
rapida.
1 Fare doppio clic su Scansione completa o Scansione rapida.
È possibile configurare le impostazioni delle attività Scansione completa e
Scansione rapida solamente nei sistemi autogestiti.
Per impostazione predefinita, l'esecuzione della Scansione completa è
pianificata ogni mercoledì a mezzanotte. L'esecuzione della Scansione
rapida è pianificata ogni giorno alle 19:00. Le pianificazioni sono
attivate.
Eseguire un'attività di
scansione.
• Selezionare l'attività, quindi fare clic su Esegui adesso.
6
Vedere anche
Sommario
Pagina Quarantena
Prevenzione delle minacce - Protezione dell'accesso
Prevenzione delle minacce - Prevenzione exploit
Prevenzione delle minacce – Scansione su richiesta
Percorsi di scansione
McAfee GTI
Azioni
Aggiungi esclusione o Modifica esclusione
Prevenzione delle minacce – Opzioni
Ripristina AMCore content
92
Guida del prodotto
3
Pagina Quarantena
Gestione di elementi in quarantena.
Tabella 3-3
Opzioni
Opzione
Definizione
Elimina
Elimina gli elementi selezionati dalla quarantena.
Gli elementi eliminati non possono essere ripristinati.
Ripristina gli elementi dalla quarantena.
Ripristina
Endpoint Security ripristina gli elementi nella posizione originale e li rimuove dalla
quarantena.
Se un elemento costituisce ancora una minaccia valida, Endpoint Security lo reinserisce
immediatamente in quarantena.
Ripeti scansione Ripete la scansione degli elementi selezionati nella quarantena.
Se l'elemento non costituisce più una minaccia, Endpoint Security lo ripristina nella
posizione originale e lo rimuove dalla quarantena.
Intestazione colonna
Ordina elenco quarantena per...
Nome rilevamento
Nome del rilevamento.
Tipo
Tipo di minaccia, ad esempio, Trojan o Adware.
Tempo in quarantena
Il lasso di tempo durante il quale l'elemento è rimasto in quarantena.
Numero di oggetti
Il numero di oggetti del rilevamento.
Versione AMCore content
Il numero di versione di AMCore content che ha identificato la
minaccia.
Stato della ripetizione della
scansione
Lo stato della ripetizione della scansione, se l'elemento ha ripetuto la
scansione risulta:
• Non infetto - La ripetizione della scansione non ha rilevato minacce.
• Infetto: Endpoint Security ha rilevato una minaccia durante la
ripetizione della scansione.
Vedere anche
Gestione degli elementi in quarantena a pagina 62
Ripetizione scansione di elementi in quarantena a pagina 65
Prevenzione delle minacce - Protezione dell'accesso
Protegge i punti di accesso del sistema in base alle regole configurate.
Consultare le impostazioni nel modulo In comune per la configurazione della registrazione.
La protezione dell'accesso confronta un'azione richiesta con l'elenco di regole configurate e agisce
secondo la regola.
Procedura consigliata: per informazioni sulla creazione di regole di protezione dell'accesso contro i
ransomware, consultare l'articolo PD25203.
Tabella 3-4
Opzioni
Sezione
Opzione
Definizione
PROTEZIONE DELL'ACCESSO
Attiva protezione dell'accesso
Attiva la funzione di protezione dell'accesso.
Guida del prodotto
93
3
Sezione Opzione Descrizione
Esclusioni
Consente di accedere ai processi specificati, detti anche eseguibili, per tutte le
regole.
• Aggiungi: aggiunge un processo all'elenco di esclusioni.
• Doppio clic su un elemento – Modifica l'elemento selezionato.
• Elimina: elimina l'elemento selezionato.
• Duplica: Crea una copia dell'elemento selezionato.
Regole
Configura le regole di protezione dell'accesso.
È possibile attivare, disattivare e modificare le regole definite da McAfee, ma non
è possibile eliminarle.
• Aggiungi – Crea una regola personalizzata e la aggiunge all'elenco.
• Elimina – elimina l'elemento selezionato.
• Duplica – Crea una copia dell'elemento selezionato.
• Blocca solo: blocca i tentativi di accesso senza eseguire la registrazione.
• Segnala solo – Avvisa senza bloccare i tentativi di accesso.
• Blocca e Segnala – Blocca e registra i tentativi di accesso.
Procedura consigliata: se non si conosce l'impatto completo di una regola,
selezionare Segnala, non Blocca, per ricevere un avviso senza bloccare i tentativi di
accesso. In questo modo è possibile decidere se bloccare l'accesso, monitorare i
registri e i report.
Vedere anche
Configurare le regole di protezione dell'accesso definite da McAfee a pagina 69
Configurare le regole di protezione dell'accesso definite dall'utente a pagina 73
Aggiungi regola o Modifica regola a pagina 94
Regole di protezione dell'accesso definite da McAfee a pagina 70
Aggiungi regola o Modifica regola
Aggiunge o modifica le regole di protezione dell'accesso definite dall'utente.
94
Guida del prodotto
Tabella 3-6
3
Opzioni
Sezione
Opzione
Definizione
Opzioni
Nome
Specifica o indica il nome della regola. (Obbligatorio)
Azione
Specifica le azioni per la regola.
• Blocca solo – Blocca i tentativi di accesso senza eseguire la registrazione.
• Segnala solo – Avvisa senza bloccare i tentativi di accesso.
• Blocca e Segnala: blocca e registra i tentativi di accesso.
selezionare Segnala, non Blocca, per ricevere un avviso senza bloccare i tentativi
di accesso. In questo modo è possibile decidere se bloccare l'accesso,
monitorare i registri e i report.
Eseguibili
Specifica gli eseguibili per la regola.
• Aggiungi – Crea un eseguibile e lo aggiunge all'elenco.
• Attiva/disattiva stato inclusione: modifica lo stato di inclusione dell'elemento
alternando Includi ed Escludi.
Nomi utente
Specifica i nomi utenti per i quali viene applicata la regola (solo per le regole
definite dagli utenti).
• Aggiungi: seleziona un nome utente e lo aggiunge all'elenco.
• Attiva/disattiva stato inclusione: modifica lo stato di inclusione dell'elemento
alternando Includi ed Escludi.
Sottoregole
Configura le sottoregole (solo per le regole definite dagli utenti).
• Aggiungi: crea una sottoregola e la aggiunge all'elenco.
Note
Fornisce ulteriori informazioni sull'elemento.
Vedere anche
Aggiungi eseguibile o Modifica eseguibile a pagina 104
Aggiungi nome utente o Modifica nome utente a pagina 96
Aggiungi sottoregola o Modifica sottoregola a pagina 96
Guida del prodotto
95
3
Aggiungi nome utente o Modifica nome utente
Aggiunge o modifica i nomi utenti per i quali viene applicata la regola (solo per le regole definite dagli
utenti).
Tabella 3-7
Opzioni
Opzione
Definizione
Nome
Specifica il nome dell'utente al quale viene applicata la regola.
Per indicare l'utente, usare il seguente formato:
• Utente locale: esempi di voci valide:
<nome_macchina>\<nome_utente_locale>
.\<nome_utente_locale>
.\amministratore (per l'amministratore locale)
• Utente di dominio: <nome dominio>\<nome utente_dominio>
• Sistema locale: Locale\Sistema indica l'account NT AUTHORITY\System sul sistema.
Stato inclusione Specifica lo stato di inclusione dell'utente.
• Includi: attiva la regola se l'utente specificato esegue l'eseguibile che viola una
sottoregola.
• Escludi: non attiva la regola se l'utente specificato esegue l'eseguibile che viola una
sottoregola.
Vedere anche
Aggiungi sottoregola o Modifica sottoregola
Aggiunta o modifica di una sottoregola (solo per le regole definite dagli utenti).
Tabella 3-8
Opzioni
Sezione Opzione
Definizione
Descrizione Nome
Specifica il nome della sottoregola.
Proprietà
Indica il tipo di sottoregola.
Tipo di
sottoregola
Modificando il tipo di sottoregola si rimuovono le voci eventualmente definite
in precedenza nella tabella delle destinazioni.
• File: protegge un file o una directory. Ad esempio, è possibile creare una
regola personalizzata per bloccare o segnalare i tentativi di eliminazione di
un foglio di calcolo Excel contenente informazioni riservate.
• Chiave di registro – Protegge la chiave specificata. Una chiave di registro è il
contenitore del valore di registro. Ad esempio, HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
• Valore di registro – Protegge il valore specificato. I valori di registro sono
memorizzati nelle chiavi di registro e sono riportati separatamente dalle
chiavi di registro. Ad esempio, HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run\Autorun.
• Processi: protegge i processi specificati. Ad esempio, consente di creare una
regola personalizzata per bloccare o segnalare le operazioni tentate su un
processo.
96
Guida del prodotto
3
Tabella 3-8
Opzioni (segue)
Sezione Opzione
Operazioni
Definizione
Indica le operazioni permesse con il tipo di sottoregola. È necessario
specificare almeno un'operazione da applicare alla sottoregola.
Procedura consigliata: per evitare effetti negativi sulle prestazioni, non
selezionare l'operazione Leggi.
• File:
• Modifica attributi di sola lettura/nascosti: blocca o segnala le modifiche di tali
attributi dei file contenuti nella cartella specificata.
• Crea: blocca o segnala la creazione di file nella cartella specificata.
• Elimina: blocca o segnala l'eliminazione di file nella cartella specificata.
• Esegui: blocca o segnala l'esecuzione di file nella cartella specificata.
• Modifica delle autorizzazioni: blocca o segnala le impostazioni di modifica delle
autorizzazioni per i file contenuti nella cartella specificata.
• Leggi: blocca o segnala l'accesso in lettura ai file specificati.
• Rinomina: blocca o segnala il tentativo di rinominare i file specificati.
Guida del prodotto
97
3
Tabella 3-8
Opzioni (segue)
Sezione Opzione
Definizione
Se si specifica la destinazione File di destinazione, Rinomina è l'unica
operazione consentita.
• Scrivi: blocca o segnala l'accesso in scrittura ai file specificati.
• Chiave di registro:
• Scrivi: blocca o segnala l'accesso in scrittura alla chiave specificata.
• Crea: blocca o segnala la creazione della chiave specificata.
• Elimina: blocca o segnala l'eliminazione della chiave specificata.
• Leggi: blocca o segnala l'accesso in lettura alla chiave specificata.
• Enumera: blocca o segnala l'enumerazione delle sottochiavi della chiave di
registro specificata.
• Carica: blocca o segnala la possibilità di scaricare la chiave di registro
specificata e le relative sottochiavi dal registro.
• Sostituisci: blocca o segnala la sostituzione della chiave di registro
specificata e delle relative sottochiavi con un altro file.
• Ripristina: blocca o segnala la possibilità di salvare le informazioni di
registro in un file specificato e ricopia la chiave specificata.
• Modifica delle autorizzazioni: blocca o segnala le impostazioni di modifica delle
autorizzazioni per le chiavi di registro specificate e le relative sottochiavi.
• Valore di registro:
• Scrivi: blocca o segnala l'accesso in scrittura al valore specificato.
• Crea: blocca o segnala la creazione del valore specificato.
• Elimina: blocca o segnala l'eliminazione del valore specificato.
• Leggi: blocca o segnala l'accesso in lettura al valore specificato.
• Processi:
• Apri con qualsiasi accesso: blocca o segnala l'apertura del processo con
qualsiasi accesso.
• Apri con accesso per creare un thread: blocca o segnala l'apertura del processo
con accesso per creare un thread.
• Apri con accesso per modifica: blocca o segnala l'apertura del processo con
accesso per la modifica.
• Apri con accesso per arresto: blocca o segnala l'apertura del processo con
accesso per l'arresto.
• Esegui eseguibile di destinazione: blocca o segnala l'esecuzione dell'eseguibile di
destinazione specificato.
È necessario aggiungere almeno un eseguibile di destinazione alla regola.
Per l'operazione Esegui eseguibile di destinazione, quando si verifica un tentativo
di eseguire il processo di destinazione, viene generato un evento. Per
tutte le altre operazioni, quando la destinazione viene aperta viene
generato un evento.
Destinazioni
98
• Aggiungi: specifica le destinazioni della regola. Le destinazioni variano a
seconda del tipo di regola selezionato. È necessario aggiungere almeno una
destinazione alla sottoregola.
Guida del prodotto
Tabella 3-8
3
Opzioni (segue)
Sezione Opzione
Definizione
Fare clic su Aggiungi, selezionare lo stato di inclusione, quindi immettere o
selezionare la destinazione da includere o escludere.
Vedere anche
DestinazioniPagina a pagina 100
Guida del prodotto
99
3
DestinazioniPagina
Specifica lo stato di inclusione e la definizione di una destinazione.
Tabella 3-9
Sezione
Opzioni
Opzione
Definizione
Determina se la destinazione è una corrispondenza positiva per la
sottoregola. Specifica inoltre lo stato di inclusione della destinazione.
Destinazioni
• Includi: indica che la sottoregola può corrispondere alla destinazione
specificata.
• Escludi: indica che la sottoregola non deve corrispondere alla
destinazione specificata.
Se è stato
selezionato il
tipo di
sottoregola
File...
100
Specifica il nome del file, il nome della cartella, il percorso o il tipo di
unità di destinazione per una sottoregola File.
• Percorso file: Cercare e selezionare il file.
• File di destinazione: Cercare e selezionare il nome del file di destinazione o
il percorso per rinominarlo.
Guida del prodotto
3
Tabella 3-9
Sezione
Opzioni (segue)
Opzione
Definizione
Se la destinazione del file di destinazione è selezionata, deve essere
selezionata (solo) l'operazione Rinomina.
• Tipo di unità: selezionare il tipo di unità di destinazione dall'elenco a
discesa:
• Rimovibile: file in un'unità USB o in un'altra unità rimovibile collegata a
una porta USB, comprese quelle in cui è installato Windows To Go.
Non sono inclusi i file salvati su CD, DVD o floppy disk.
Se si blocca questo tipo di unità, vengono bloccate anche le unità in
cui è installato Windows To Go.
• Rete: file in condivisioni di rete
• Fissi: file che si trovano nel disco rigido locale o in altri dischi rigidi
fissi
• CD/DVD: file memorizzato su un CD o DVD
• Dischetto: file salvati in un dischetto
È possibile utilizzare ?, * e ** come caratteri jolly.
Procedure consigliate per la destinazione della sottoregola File
Ad esempio, per proteggere:
• Un file o una cartella con nome c:\testap, usare la destinazione c:
\testap o c:\testap\
• I contenuti della cartella, usare il carattere jolly asterisco: c:\testap\*
• I contenuti di una cartella e delle sottocartelle, usare due asterischi: c:
\testap\**
Le variabili di ambiente del sistema sono supportate. È possibile
specificare le variabili di ambiente in uno dei seguenti formati:
• $(EnvVar) - $(SystemDrive), $(SystemRoot)
• %EnvVar% - %SystemRoot%, %SystemDrive%
Non tutte le variabili di ambiente definite dal sistema sono accessibili
utilizzando la sintassi $(var), in particolare quelle contenenti i caratteri
o. È possibile utilizzare la sintassi %var% per evitare questo problema.
Le variabili di ambiente dell'utente non sono supportate.
Guida del prodotto
101
3
Tabella 3-9
Sezione
Opzioni (segue)
Opzione
Definizione
Se è stato
selezionato il
tipo di
sottoregola
Chiave di
registro...
Definisce le chiavi di registro usando chiavi principali. Sono supportate le
seguenti chiavi principali:
• HKLM o HKEY_LOCAL_MACHINE
• HKCU o HKEY_CURRENT_USER
• HKCR o HKEY_CLASSES_ROOT
• HKCCS corrisponde a HKLM/SYSTEM/CurrentControlSet e HKLM/
SYSTEM/ControlSet00X
• HKLMS corrisponde a HKLM/Software nei sistemi a 32 e 64 bit e a
HKLM/Software/Wow6432Node solo nei sistemi a 64 bit
• HKCUS corrisponde a HKCU/Software nei sistemi a 32 e 64 bit e a
HKCU/Software/Wow6432Node solo nei sistemi a 64 bit
• HKULM è trattato sia come HKLM sia come HKCU
• HKULMS è trattato sia come HKLMS sia come HKCUS
• HKALL è trattato sia come HKLM sia come HKU
È possibile utilizzare ?, * e ** come caratteri jolly e | (barra verticale)
come carattere di escape.
Procedure consigliate per la destinazione della sottoregola Chiave
di registro
• Una chiave di registro con nome HKLM\SOFTWARE\testap, usare la
destinazione HKLM\SOFTWARE\testap o HKLM\SOFTWARE\testap\
• I contenuti di una chiave di registro, usare il carattere jolly asterisco:
HKLM\SOFTWARE\testap\*
• I contenuti di una chiave di registro e delle relative sottochiavi, usare
due asterischi: HKLM\SOFTWARE\testap\**
• Chiavi di registro e valori di una chiave di registro, attivare l'operazione
di scrittura
102
Guida del prodotto
3
Tabella 3-9
Sezione
Opzioni (segue)
Opzione
Definizione
Se è stato
selezionato il
tipo di
sottoregola
Valore di
registro...
Definisce i valori di registro di registro usando chiavi principali. Sono
supportate le seguenti chiavi principali:
• HKLM o HKEY_LOCAL_MACHINE
• HKCU o HKEY_CURRENT_USER
• HKCR o HKEY_CLASSES_ROOT
• HKCCS corrisponde a HKLM/SYSTEM/CurrentControlSet e HKLM/
SYSTEM/ControlSet00X
• HKLMS corrisponde a HKLM/Software nei sistemi a 32 e 64 bit e a
HKLM/Software/Wow6432Node solo nei sistemi a 64 bit
• HKCUS corrisponde a HKCU/Software nei sistemi a 32 e 64 bit e a
HKCU/Software/Wow6432Node solo nei sistemi a 64 bit
• HKULM è trattato sia come HKLM sia come HKCU
• HKULMS è trattato sia come HKLMS sia come HKCUS
• HKALL è trattato sia come HKLM sia come HKU
È possibile utilizzare ?, * e ** come caratteri jolly e | (barra verticale)
come carattere di escape.
Procedure consigliata per la destinazione della sottoregola Valore
di registro
• Un valore di registro con nome HKLM\SOFTWARE\testap, usare la
destinazione HKLM\SOFTWARE\testap
• I valori di registro di una chiave di registro, usare il carattere jolly
asterisco: HKLM\SOFTWARE\testap\*
• I valori di registro di una chiave di registro e delle relative sottochiavi,
usare due asterischi: HKLM\SOFTWARE\testap\**
Se è stato
selezionato il
tipo di
sottoregola
Processi...
Definisce il nome o il percorso del file di processo, l'hash MD5 o la
destinazione del firmatario della sottoregola Processi.
È possibile usare ?, * e ** come caratteri jolly tranne per l'hash MD5.
Procedure consigliate per la destinazione della sottoregola
Processi
• Un processo con nome c:\testap.exe, usare il nome o il percorso di file
di destinazione c:\testap.exe
• Tutti i processi contenuti in una cartella, usare il carattere jolly
asterisco: c:\testap\*
• Tutti i processi contenuti in una cartella e nelle relative sottocartelle,
usare due asterischi: c:\testap\**
Vedere anche
Aggiungi sottoregola o Modifica sottoregola a pagina 96
Guida del prodotto
103
3
Aggiungi eseguibile o Modifica eseguibile
Consente di aggiungere o modificare un eseguibile da escludere o includere.
Per la protezione dell'accesso di Prevenzione delle minacce è possibile escludere gli eseguibili a livello
di policy oppure includerli o escluderli a livello di regola. Per Contenimento dinamico delle applicazioni
di Intelligence sulle minacce è possibile escludere gli eseguibili a livello di policy.
Per specificare esclusioni e inclusioni, tenere presente quanto segue:
•
È necessario specificare almeno un identificatore: Nome o percorso del file, Hash MD5 o Firmatario.
•
Se si specifica più di un identificatore, vengono applicati tutti gli identificatori.
•
Se si specificano più identificatori, ma non corrispondono (ad esempio, il nome del file e l'hash MD5
non si riferiscono allo stesso file), l'esclusione o l'inclusione viene considerata non valida.
•
Le esclusioni e le inclusioni non fanno distinzione tra maiuscole e minuscole.
•
È consentito l'uso di caratteri jolly tranne per l'hash MD5.
Tabella 3-10
Opzioni
Opzione
Definizione
Nome
Specifica il nome assegnato all'eseguibile.
Questo campo è obbligatorio ed è necessario almeno un altro campo: Nome o percorso
file, Hash MD5 o Firmatario.
Stato inclusione
Determina lo stato di inclusione per l'eseguibile.
• Includi: attiva la regola se l'eseguibile viola una sottoregola.
• Escludi: non attiva la regola se l'eseguibile viola una sottoregola.
Lo stato di inclusione viene visualizzato solo per la protezione dell'accesso di Prevenzione
delle minacce, quando si aggiunge un eseguibile a una regola o la destinazione della
sottoregola Processi.
Nome o percorso
file
Specifica il nome o percorso file dell'eseguibile da aggiungere o modificare.
Fare clic su Sfoglia per selezionare l'eseguibile.
Il percorso file può contenere caratteri jolly.
Hash MD5
104
Indica l'hash MD5 (numero esadecimale a 32 cifre) del processo.
Guida del prodotto
3
Tabella 3-10
Opzioni (segue)
Opzione
Definizione
Firmatario
Attiva controllo firma digitale – Garantisce che il codice non sia stato modificato o corrotto
dalla sua firma con un hash crittografico.
Se attivato, specificare:
• Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di processo.
• Autore firma: consente solo i file firmati dal firmatario del processo specificato.
È necessario un nome distinto firmatario (SDN) per l'eseguibile, che deve
corrispondere esattamente alle voci nel relativo campo, inclusi virgole e spazi.
Il firmatario del processo viene visualizzato nel formato corretto negli eventi del
Registro eventi del client Client Endpoint Security e nel Registro eventi di minaccia
di McAfee ePO. Ad esempio:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,
CN=MICROSOFT WINDOWS
Per ottenere l'SDN di un eseguibile:
1 Fare clic con il pulsante destro del mouse su un eseguibile e selezionare Proprietà.
2 Nella scheda Firme digitali, selezionare un firmatario e fare clic su Dettagli.
3 Nella scheda Generale, fare clic su Visualizza certificato.
4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il nome distinto
del firmatario. Ad esempio, Firefox dispone di questo SDN:
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = Stati Uniti
Note
Vedere anche
Prevenzione delle minacce - Prevenzione exploit
Attivazione e configurazione di Prevenzione exploit per impedire agli exploit di overflow del buffer di
eseguire codice arbitrario sul computer.
McAfee Host IPS è attivato, Prevenzione exploit viene disattivato anche se attivato nelle impostazioni
della policy.
Tabella 3-11
Opzioni
Sezione
Opzione
Definizione
PREVENZIONE EXPLOIT Attiva prevenzione exploit Attiva la funzione di prevenzione exploit.
Se questa opzione non viene attivata, il sistema non è
protetto dagli attacchi malware.
Guida del prodotto
105
3
Sezione
Opzione
Definizione
Specifica il livello di protezione della prevenzione exploit.
Livello di
protezione
Standard
Rileva e blocca solo gli exploit di overflow del buffer con livello di gravità
elevato identificati nel file di contenuto di prevenzione exploit e arresta il
thread rilevato.
Usare questa funzione in modalità Standard per un breve periodo. Controllare il
contenuto del file di registro per il tempo di utilizzo della funzione e stabilire
se è necessario passare alla protezione Massima.
Massima
Rileva e blocca gli exploit di overflow del buffer con livello di gravità elevato e
medio identificati nel file di contenuto di prevenzione exploit e arresta il
thread rilevato.
Questa impostazione può generare falsi positivi.
Protezione
da aumento
generico dei
privilegi
Protezione
esecuzione
programmi di
Windows
Attiva la
protezione da
aumento
generico dei
privilegi
Attiva il supporto per la protezione da aumento generico dei privilegi (GPEP).
Attiva
Protezione
esecuzione
programmi di
Windows
Consente l'integrazione di Protezione esecuzione programmi di Windows
(DEP). (Disattivato per impostazione predefinita)
GPEP utilizza firme GPEP nel contenuto di Prevenzione exploit per garantire la
protezione da exploit di aumento dei privilegi nelle modalità kernel e utente.
Poiché GPEP potrebbe generare report con falsi positivi, questa opzione è
disattivata per impostazione predefinita.
Selezionare questa opzione per:
• Se non è già stato attivato, attivare DEP per le applicazioni a 32 bit
nell'elenco di protezione delle applicazioni McAfee e utilizzarlo al posto della
protezione generica da overflow del buffer (GBOP).
Convalida chiamante e Monitoraggio API assegnate vengono ancora
imposte.
• Monitora i rilevamenti DEP nelle applicazioni a 32 bit in cui è attivo DEP.
• Monitora i rilevamenti DEP nelle applicazioni a 64 bit incluse nell'elenco di
protezione delle applicazioni McAfee.
• Registra tutti i rilevamenti DEP e invia un evento a McAfee ePO.
Disattivando questa opzione non si hanno effetti sui processi con DEP attivata
come conseguenza della policy DEP di Windows.
Specifica le azioni Blocca o Segnala per la prevenzione exploit.
Azione
L'impostazione di segnalazione non si applica quando la Protezione
esecuzione programmi di Windows è attiva.
Blocca
Blocca il processo specificato. Selezionare Blocca per attivare la prevenzione
exploit o deselezionarlo per disattivare la prevenzione exploit.
Per bloccare i tentativi di accesso senza registrarli, selezionare Blocca ma non
selezionare Segnala.
106
Guida del prodotto
3
Sezione
Opzione
Definizione
Segnala
Attiva la segnalazione dei tentativi di violazione della prevenzione exploit. Al
verificarsi di un rilevamento, le informazioni vengono memorizzate nel
registro attività.
selezionare Segnala, non Blocca, per ricevere un avviso senza bloccare i
tentativi di accesso. In questo modo è possibile decidere se bloccare
l'accesso, monitorare i registri e i report.
Indica il processo, il modulo chiamante o l'API da escludere.
Esclusioni
Le esclusioni con Modulo chiamante o API non si applicano a DEP.
• Aggiungi: crea un'esclusione e la aggiunge all'elenco.
Vedere anche
Configurare le impostazioni della policy di prevenzione exploit a pagina 77
Aggiungi esclusione o Modifica esclusione a pagina 107
Aggiunge o modifica un'esclusione di Prevenzione exploit.
È necessario indicare almeno un valore tra Processo, Modulo chiamante e API. Le esclusioni con Modulo
chiamante o API non si applicano a DEP.
Per specificare le esclusioni, tenere presente quanto segue:
•
•
Se si specifica più di un identificatore, tutti gli identificatori vengono applicati all'esclusione.
•
non si riferiscono allo stesso file), l'esclusione viene considerata non valida.
•
Le esclusioni non distinguono tra maiuscole e minuscole.
•
Tabella 3-13
Opzioni
Sezione
Opzione
Definizione
Processo
Nome
Specifica il nome del processo da escludere. La prevenzione exploit
esclude il processo indipendentemente da dove questo si trovi.
Questo campo è obbligatorio ed è necessario almeno un altro campo: Nome
o percorso file, Hash MD5 o Firmatario.
Nome o
percorso file
Hash MD5
Guida del prodotto
107
3
Tabella 3-13
Sezione
Opzioni (segue)
Opzione
Definizione
Firmatario
Attiva controllo firma digitale – Garantisce che il codice non sia stato modificato
o corrotto dalla sua firma con un hash crittografico.
• Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di
processo.
• Autore firma: consente solo i file firmati dal firmatario del processo
specificato.
È necessario un nome distinto firmatario (SDN) per l'eseguibile, che
deve corrispondere esattamente alle voci nel relativo campo, inclusi
virgole e spazi.
Il firmatario del processo viene visualizzato nel formato corretto negli
eventi del Registro eventi del client Client Endpoint Security e nel
Registro eventi di minaccia di McAfee ePO. Ad esempio:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,
OU=MOPR, CN=MICROSOFT WINDOWS
1 Fare clic con il pulsante destro del mouse su un eseguibile e selezionare
Proprietà.
4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il
nome distinto del firmatario. Ad esempio, Firefox dispone di questo
SDN:
• S = California
• C = Stati Uniti
Modulo
chiamante
Nome
Specifica il nome del modulo cui appartiene la memoria scrivibile che
effettua la chiamata.
Questo campo è obbligatorio ed è necessario almeno un altro campo: Nome
o percorso file, Hash MD5 o Firmatario.
108
Nome o
percorso file
Hash MD5
Guida del prodotto
3
Tabella 3-13
Sezione
Opzioni (segue)
Opzione
Definizione
Firmatario
Attiva controllo firma digitale – Garantisce che il codice non sia stato modificato
o corrotto dalla sua firma con un hash crittografico.
• Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di
processo.
• Autore firma: consente solo i file firmati dal firmatario del processo
specificato.
È necessario un nome distinto firmatario (SDN) per l'eseguibile, che
deve corrispondere esattamente alle voci nel relativo campo, inclusi
virgole e spazi.
Il firmatario del processo viene visualizzato nel formato corretto negli
eventi del Registro eventi del client Client Endpoint Security e nel
Registro eventi di minaccia di McAfee ePO. Ad esempio:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,
OU=MOPR, CN=MICROSOFT WINDOWS
1 Fare clic con il pulsante destro del mouse su un eseguibile e selezionare
Proprietà.
4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il
nome distinto del firmatario. Ad esempio, Firefox dispone di questo
SDN:
• S = California
• C = Stati Uniti
API
Nome
Specifica il nome dell'API (Application Programming Interface) che viene
chiamata.
Note
Vedere anche
Prevenzione delle minacce - Prevenzione exploit a pagina 105
Esclusione di processi dalla prevenzione exploit a pagina 78
Attivare e configurare le impostazioni di scansione all'accesso.
Guida del prodotto
109
3
Tabella 3-14
Opzioni
Sezione
Opzione
Definizione
SCANSIONE
ALL'ACCESSO
Attiva scansione
all'accesso
Attiva la funzione Scansione all'accesso.
Attiva scansione
all'accesso all'avvio
del sistema
Attiva la funzione Scansione all'accesso ogni volta che si accende
il computer.
Specifica il numero
massimo di secondi
per la scansione di
ciascun file
Limita la scansione di ciascun file al numero di secondi specificato.
(Attivato per impostazione predefinita)
Il valore predefinito è 45 secondi.
Se viene superato il limite di tempo, la scansione si interrompe e
viene registrato un messaggio.
Scansione dei settori
di avvio
Esamina il settore di avvio del disco.
Procedura consigliata: quando il disco contiene un settore di
avvio univoco o anomalo che non può essere sottoposto a
scansione, disattivare la scansione del settore di avvio.
Scansione dei processi Esegue nuovamente la scansione di tutti i processi attualmente in
ad avvio servizio e
memoria, ogni volta che:
aggiornamento
• Riattiva le scansioni all'accesso.
contenuto
• I file di contenuto sono aggiornati.
• Il sistema viene avviato.
• Il processo McShield.exe viene avviato.
Procedura consigliata: poiché alcuni programmi o eseguibili
vengono avviati automaticamente quando si avvia il sistema,
disattivare questa opzione per ridurre il tempo di avvio del
sistema.
Quando il programma di scansione all'accesso è attivo, esegue
sempre le scansioni di tutti i processi quando questi vengono
eseguiti.
Esegui scansione dei
programmi di
installazione affidabili
Esegue la scansione dei file MSI (installati da msiexec.exe e con
firma McAfee o Microsoft) o dei file del servizio Windows Trusted
Installer.
Procedura consigliata: disattivare questa opzione per
migliorare le prestazioni dei programmi di installazione della
maggior parte delle applicazioni Microsoft.
110
Guida del prodotto
3
Tabella 3-14
Sezione
Opzioni (segue)
Opzione
Definizione
Scansione durante la
copia da cartelle locali
Esegue la scansione dei file quando l'utente li copia da una
cartella locale a un'altra.
Se questa opzione è:
• Disattivato – Vengono sottoposti a scansione solo gli elementi
che si trovano nella cartella di destinazione.
• Attivato – Vengono sottoposti a scansione sia gli elementi nella
cartella di origine (lettura) sia quelli in quella di destinazione
(scrittura).
Attiva e configura le impostazioni di McAfee GTI.
McAfee GTI
ScriptScan
Attiva ScriptScan
Consente agli script di scansione JavaScript e VBScript di impedire
l'esecuzione di script indesiderati.
Se ScriptScan è disattivato all'avvio di Internet Explorer e viene
attivato in seguito, non rileva gli script dannosi in quella istanza
di Internet Explorer. È necessario riavviare Internet Explorer
dopo aver attivato ScriptScan affinché rilevi gli script dannosi.
Escludi questi URL
Specifica le esclusioni ScriptScan in base all'URL.
Aggiungi: aggiunge un URL all'elenco di esclusioni.
Elimina – Rimuove un URL dall'elenco di esclusioni.
Gli URL non possono includere caratteri jolly. Tuttavia, qualsiasi
URL che contenga una stringa proveniente da un URL escluso
viene a sua volta escluso. Ad esempio, se l'URL msn.com è
escluso, anche i seguenti URL vengono esclusi:
• http://weather.msn.com
• http://music.msn.com
Sui sistemi Windows Server 2008, le esclusioni degli URL
ScriptScan non funzionano con Internet Explorer, a meno che
non si attivino estensioni di browser di terze parti e si riavvii il
sistema. Vedere l'articolo KB69526 della KnowledgeBase.
Sezione
Opzione
Definizione
Messaggistica
utente rilevamento
minacce
Al rilevamento di una
minaccia, mostra la
finestra di scansione
all'accesso
Mostra la pagina Scansione all'accesso con il messaggio specificato
agli utenti client quando si verifica un rilevamento.
Quando questa opzione è selezionata, gli utenti possono aprire
questa pagina dalla pagina Avvia scansione ogni volta che l'elenco
di rilevamenti include almeno una minaccia.
L'elenco di rilevamenti della scansione all'accesso viene ripulito
al riavvio del servizio Endpoint Security o del sistema.
Messaggio
Specifica il messaggio da mostrare agli utenti client quando si
verifica un rilevamento.
Il messaggio predefinito è: McAfee Endpoint Security ha rilevato
una minaccia.
Guida del prodotto
111
3
Sezione
Opzione
Definizione
Impostazioni dei
processi
Utilizza impostazioni
standard per tutti i
processi
Applica le stesse impostazioni configurate a tutti i processi
durante l'esecuzione di una scansione all'accesso.
Configura impostazioni
diverse per processi ad
alto e basso rischio
Configura diverse impostazioni di scansione per ciascun tipo di
processo identificato.
Standard
Configura le impostazioni per i processi non identificati come a
rischio elevato o basso.
Scansione
Rischio elevato
Configura le impostazioni per i processi che presentano un
rischio elevato.
Rischio basso
Configura le impostazioni per i processi che presentano un
rischio basso.
Aggiungi
Aggiunge un processo all'elenco Rischio elevato o Rischio basso.
Elimina
Rimuove un processo dall'elenco Rischio elevato o Rischio basso.
Quando eseguire la scansione
Durante la scrittura sul
disco
Tenta la scansione di tutti i file quando vengono scritti o
modificati nel computer o in altri dispositivi di memorizzazione
dati.
Durante la lettura dal
disco
Esegue la scansione di tutti i file quando vengono letti dal
computer o da altri dispositivi di memorizzazione dati.
Lascia decidere McAfee
Consente a McAfee di decidere se sottoporre un file a
scansione, utilizzando la logica di affidabilità per ottimizzare la
scansione. La logica di affidabilità migliora la sicurezza e le
prestazioni evitando scansioni non necessarie.
Procedura consigliata: attivare questa opzione per
ottimizzare protezione e prestazioni.
Non eseguire la
scansione durante la
lettura o la scrittura da
disco
Specifica di non eseguire la scansione dei soli processi con
Rischio basso.
Elementi da sottoporre a scansione
Tutti i file
Esegue la scansione di tutti i file, indipendentemente dalla loro
estensione.
Se non è possibile attivare tutti i file, il sistema è vulnerabile
agli attacchi malware.
Tipi di file specificati e
predefiniti
Esegue la scansione di:
• Elenco predefinito di estensioni di file nel file di contenuto
AMCore corrente, inclusi i file senza estensione
• Eventuali estensioni file aggiuntive specificate
Separare le estensioni con una virgola.
• (Facoltativo) Minacce di macro conosciute nell'elenco delle
estensioni file specificate e predefinite
112
Guida del prodotto
3
Sezione
Opzione
Definizione
Solo i tipi di file
specificati
Esegue la scansione di (un'opzione individualmente o
entrambe contemporaneamente):
• Solo file con le estensioni specificate (separate da virgole)
• Tutti i file senza estensione
Sulle unità di rete
Esegue la scansione delle risorse sulle unità di rete mappate.
Procedura consigliata: disattivare questa opzione per
migliorare le prestazioni.
Aperto per i backup
Esegue la scansione dei file quando aperto da un software di
backup.
Procedura consigliata: nella maggior parte degli ambienti,
non è necessario attivare questa impostazione.
File di archivio
compressi
Esamina il contenuto dei file di archivio (compressi), inclusi i
file .jar.
La scansione dei file compressi può ridurre le prestazioni del
sistema.
File compressi con
codifica MIME
Consente di rilevare, decodificare e sottoporre a scansione i
file MIME (Multipurpose Internet Mail Extensions) codificati.
Opzioni di scansione aggiuntive
Rileva programmi
indesiderati
Consente al programma di scansione di rilevare programmi
potenzialmente indesiderati.
Il programma di scansione utilizza le informazioni configurate
nelle impostazioni Prevenzione delle minacce Opzioni per
rilevare programmi potenzialmente indesiderati.
Rileva minacce di
programma sconosciute
Utilizza McAfee GTI per rilevare file eseguibili con codice simile
a malware.
Rileva minacce di macro
sconosciute
Utilizza McAfee GTI per rilevare virus macro sconosciuti.
Azioni
Specifica la modalità di risposta del programma di scansione al
rilevamento di una minaccia.
Esclusioni
Specifica i file, le cartelle e le unità da escludere dalla
scansione.
Aggiungi
Aggiunge un elemento all'elenco di esclusioni.
Elimina
Rimozione di un elemento dall'elenco di esclusioni.
Vedere anche
McAfee GTI a pagina 118
Azioni a pagina 119
Guida del prodotto
113
3
Configura le impostazioni di Scansione su richiesta per le scansioni preconfigurate e le scansioni
personalizzate eseguite sul sistema.
Queste impostazioni specificano il comportamento del programma di scansione quando:
•
Si seleziona Scansione completa o Scansione rapida dalla pagina Esegui Scansione nel Client Endpoint
Security.
•
Come amministratore, si configura ed esegue una scansione su richiesta personalizzata come
amministratore dalle Impostazioni | Attività | In comune nel Client Endpoint Security.
•
Si fa clic con il pulsante destro del mouse su un file o una cartella e si seleziona Ricerca minacce dal
menu popup.
Tabella 3-16
Opzioni
Sezione
Opzione
Definizione
Elementi da
sottoporre a
scansione
Settori di avvio
Esamina il settore di avvio del disco.
Procedura consigliata: quando il disco contiene un settore di
avvio univoco o anomalo che non può essere sottoposto a
scansione, disattivare la scansione del settore di avvio.
File di cui è stata
eseguita la
migrazione
nell'archivio
Esegue la scansione di file gestiti dall'archiviazione remota.
Alcune soluzioni di archiviazione dati offline sostituiscono i file
originali con file stub. Quando il programma di scansione incontra un
file stub, questo viene ripristinato dal programma di scansione nel
sistema locale prima della scansione.
Si consiglia la disattivazione di questa opzione.
File compressi con
codifica MIME
Consente di rilevare, decodificare e sottoporre a scansione i file
MIME (Multipurpose Internet Mail Extensions) codificati.
File di archivio
compressi
Esamina il contenuto dei file di archivio (compressi), inclusi i file .jar.
Procedura consigliata: usare questa opzione di scansione nei
tempi di inattività, quando il sistema non è utilizzato, perché la
scansione dei file compressi può ridurre le prestazioni del sistema.
Opzioni di
scansione
aggiuntive
Percorsi di
scansione
114
Sottocartelle (solo
Scansione di scelta
rapida)
Esamina tutte le sottocartelle della cartella specificata.
Rileva programmi
indesiderati
Consente al programma di scansione di rilevare programmi
potenzialmente indesiderati.
Il programma di scansione utilizza le informazioni configurate nelle
impostazioni Prevenzione delle minacce Opzioni per rilevare
programmi potenzialmente indesiderati.
Rileva minacce di
programma
sconosciute
Utilizza McAfee GTI per rilevare file eseguibili con codice simile a
malware.
Rileva minacce di
macro sconosciute
Utilizza McAfee GTI per rilevare virus macro sconosciuti.
(Solo Scansione
completa e
Scansione rapida)
Specifica i percorsi da sottoporre a scansione.
Queste opzioni si applicano solamente a scansione completa e scansione
rapida.
Guida del prodotto
3
Tabella 3-16
Opzioni (segue)
Sezione
Opzione
Definizione
Tipi di file da
sottoporre a
scansione
Tutti i file
Esegue la scansione di tutti i file, indipendentemente dalla loro
estensione.
McAfee consiglia vivamente di attivare Tutti i file.
Se non è possibile attivare tutti i file, il sistema è vulnerabile agli
attacchi malware.
Tipi di file specificati Esegue la scansione di:
e predefiniti
• Elenco predefinito di estensioni di file nel file di contenuto AMCore
corrente, inclusi i file senza estensione
• Eventuali estensioni file aggiuntive specificate
Separare le estensioni con una virgola.
• (Facoltativo) Minacce di macro conosciute nell'elenco delle
estensioni file specificate e predefinite
Solo i tipi di file
specificati
Esegue la scansione di (un'opzione individualmente o entrambe
contemporaneamente):
• Solo file con le estensioni specificate (separate da virgole)
• Tutti i file senza estensione
McAfee GTI
Attiva e configura le impostazioni di McAfee GTI.
Esclusioni
Specifica i file, le cartelle e le unità da escludere dalla scansione.
Aggiungi
Aggiunge un elemento all'elenco di esclusioni.
Elimina
Rimozione di un elemento dall'elenco di esclusioni.
Specifica la modalità di risposta del programma di scansione al
rilevamento di una minaccia.
Azioni
Prestazioni
Utilizza la cache di
scansione
Consente al programma di scansione di utilizzare i risultati di
scansione dei file ripuliti esistenti.
Selezionare questa opzione per ridurre le scansioni duplicate e
migliorare le prestazioni.
Utilizzo del sistema
Consente al sistema operativo di impostare la quantità di tempo
della CPU che il programma di scansione riceve durante il processo
di scansione.
Ogni attività viene eseguita in maniera indipendente e senza
considerare i limiti impostati per le altre attività.
• Basso: fornisce prestazioni migliori per altre applicazioni in uso.
Procedura consigliata: selezionare questa opzione per i sistemi
con attività dell'utente finale.
• Al di sotto del normale: imposta l'utilizzo di sistema per la scansione
sul valore predefinito di McAfee ePO.
• Normale (opzione predefinita): consente di completare la scansione
più rapidamente.
Procedura consigliata: selezionare questa opzione per i sistemi
che dispongono di grandi volumi e una minima attività dell'utente
finale.
Guida del prodotto
115
3
Tabella 3-16
Sezione
Opzioni di
scansione
pianificata
Opzioni (segue)
Opzione
Definizione
Queste opzioni si applicano solamente a scansione completa e scansione
rapida.
Esegui scansione
solo quando il
sistema è inattivo
Esegue la scansione solo quando il sistema è inattivo.
Prevenzione delle
l'utente accede al
Prevenzione delle
la CPU) è inattivo
minacce mette in pausa la scansione quando
sistema utilizzando la tastiera o il mouse.
minacce riprende la scansione quando l'utente (e
per cinque minuti.
Disattivare questa opzione sui sistemi server e i sistemi ai quali gli
utenti accedono solamente tramite connessione desktop remota
(RDP). Prevenzione delle minacce dipende da McTray per stabilire se
il sistema è inattivo. Sui sistemi ai quali si accede solamente tramite
RDP, McTray non viene avviato e il programma di scansione su
richiesta non viene mai eseguito. Per aggirare questo problema, gli
utenti possono avviare McTray (in C:\Program Files\McAfee\Agent
\mctray.exe, per impostazione predefinita) manualmente quando
accedono tramite RDP.
Scansiona in
qualsiasi momento
Esegue la scansione anche se l'utente è attivo e specifica le opzioni
di scansione.
L'utente può rinviare le scansioni: consente all'utente di rinviare le
scansioni pianificate e specifica le opzioni per il rinvio.
• Numero massimo di volte in cui gli utenti possono rinviare per un'ora: specifica il
numero di volte (1–23) in cui l'utente può rinviare la scansione
per un'ora.
• Messaggio utente – Specifica il messaggio da visualizzare quando una
scansione sta per iniziare.
Il messaggio predefinito è: McAfee Endpoint Security sta per
eseguire la scansione del sistema.
• Durata messaggio (secondi) – Specifica la durata (in secondi) di
visualizzazione del messaggio utente quando una scansione sta
per iniziare. L'intervallo valido per la durata è 30–300; il valore
predefinito è 45 secondi.
Non eseguire la scansione quando il sistema è in modalità presentazione: rinvia la
scansione mentre il sistema si trova in modalità di presentazione.
Non eseguire la
Rinvia la scansione quando l'alimentazione è a batteria.
scansione quando il
sistema è alimentato
a batteria
Vedere anche
Scansione di un file o una cartella a pagina 60
Percorsi di scansione a pagina 117
Azioni a pagina 119
116
Guida del prodotto
3
Percorsi di scansione
Queste opzioni si applicano solamente a scansione completa e scansione rapida.
Tabella 3-17
Opzioni
Sezione
Opzione
Definizione
Percorsi di
scansione
Scansiona
sottocartelle
Il programma di scansione esamina tutte le sottocartelle nei
volumi specificati quando una di queste opzioni è selezionata:
• Cartella principale
• Cartella Temp
• Cartella del profilo utente
• File o cartella
• Cartella Programmi
Deselezionare questa opzione per esaminare solo il livello
principale dei volumi.
Specifica percorsi
• Aggiungi: aggiunge un percorso alla scansione.
Fare clic su Aggiungi, quindi selezionare la posizione dal menu a
discesa.
• Elimina: rimuove un percorso dalla scansione.
Selezionare il percorso e fare clic su Elimina.
Memoria per i rootkit
Esegue la scansione della memoria del sistema per individuare
rootkit installati, processi nascosti e altri segnali che indichino il
tentativo di nascondersi da parte di malware. Questa scansione
viene eseguita prima di tutte le altre.
Se questa opzione non viene attivata, il sistema non è protetto
dagli attacchi malware.
Processi in
esecuzione
Esegue la scansione della memoria di tutti i processi in
esecuzione.
Le Azioni diverse da Pulisci file vengono trattate come Continua
scansione.
Se questa opzione non viene attivata, il sistema non è protetto
dagli attacchi malware.
File registrati
Esegue la scansione dei file riportati dal registro di Windows.
Il programma di scansione esegue prima una ricerca nel registro
in base al nome dei file, stabilisce se i file esistono, crea un
elenco di file da sottoporre a scansione ed esegue la scansione
dei file.
Risorse del computer
Esegue la scansione di tutte le unità collegate fisicamente al
computer o delle unità logiche mappate a lettere di unità del
computer in uso.
Tutte le unità locali
esegue la scansione di tutte le unità e delle relative sottocartelle
sul computer in uso.
Tutte le unità fisse
Esegue la scansione di tutte le unità collegate fisicamente al
computer in uso.
Tutte le unità
rimovibili
Esegue la scansione di tutte le unità rimovibili o di altri
dispositivi di archiviazione collegati al computer, tranne le unità
in cui è installato Windows To Go.
Guida del prodotto
117
3
Tabella 3-17
Opzioni (segue)
Sezione
Opzione
Definizione
Tutte le unità mappate esegue la scansione di tutte le unità logiche di rete mappate a
un'unità di rete del computer in uso.
Cartella principale
Esegue la scansione della cartella principale dell'utente che ha
avviato la scansione.
Cartella del profilo
utente
Esegue la scansione del profilo dell'utente che avvia la
scansione, inclusa la cartella Documenti dell'utente.
Cartella Windows
Esegue la scansione della cartella Windows.
Cartella Programmi
Esegue la scansione dei contenuti della cartella Programmi.
Cartella Temp
esegue la scansione della cartella Temp.
Cestino
Esegue la scansione del contenuto del Cestino.
File o cartella
esegue la scansione di un file o una cartella specifici.
Vedere anche
McAfee GTI
Attivazione e configurazione delle impostazioni di McAfee GTI (Global Threat Intelligence).
Tabella 3-18
Sezione
Opzioni
Opzione
Definizione
Attiva e disattiva i controlli euristici.
Attiva McAfee
GTI
• Quando è attivata, questa opzione invia impronte digitali degli esempi o
hash a McAfee Labs per stabilire se si tratta di malware. Inviando gli hash,
il rilevamento potrebbe essere reso disponibile prima del successivo
aggiornamento dei file AMCore content, quando McAfee Labs pubblica
l'aggiornamento.
• Quando non è attiva, nessuna impronta digitale o dato viene inviato a
McAfee Labs.
Consente di configurare il livello di sensibilità da utilizzare per determinare se
un elemento rilevato è malware.
Livello di
sensibilità
Un livello di sensibilità più elevato comporta un maggior numero di
rilevamenti di malware. Tuttavia, consentendo l'esecuzione di un elevato
numero di rilevamenti è possibile ottenere un maggior numero di risultati
falsi positivi.
Molto basso
Indica che la quantità di rilevamenti e il rischio che si verifichino falsi positivi
corrispondono a quelli che si presentano quando si utilizzano i normali file di
contenuto AMCore. Anziché attendere il successivo aggiornamento del file di
contenuto AMCore, un rilevamento può essere reso disponibile a Prevenzione
delle minacce quando viene pubblicato da McAfee Labs.
Utilizzare questa impostazione per i desktop e server con diritti utente limitati
e un'impronta digitale di sicurezza affidabile.
Questa impostazione produce una media di 10-15 query al giorno, per
computer.
Basso
Questa impostazione è quella minima raccomandata per i laptop o i desktop e
per i server con un'impronta digitale di sicurezza affidabile.
computer.
118
Guida del prodotto
3
Tabella 3-18
Sezione
Opzioni (segue)
Opzione
Definizione
Medio
Utilizzare questo livello quando il rischio normale di esposizione al malware è
maggiore del rischio di un falso positivo. Le verifiche euristiche proprietarie di
McAfee Labs sono in gradi di rilevare gli elementi malware. Tuttavia, alcuni
rilevamenti possono generare falsi positivi. Con questa impostazione, McAfee
Labs verifica che i file di applicazioni e sistemi operativi largamente diffusi
non generino falsi positivi.
Questa impostazione è quella minima raccomandata per i laptop o i desktop e
per i server.
computer.
Elevato
Utilizzare questa impostazione per la distribuzione nei sistemi o nelle aree
infettati regolarmente.
computer.
Molto elevato McAfee consiglia di utilizzare questo livello solamente per la scansione di
volumi e directory che non supportano l'esecuzione di programmi o sistemi
operativi.
Benché presumibilmente pericolosi, i rilevamenti ottenuti mediante questo
livello non sono stati sottoposti a verifiche esaustive per confermare che non
si tratti di falsi positivi.
Procedura consigliata: utilizzare questa impostazione sui volumi non
relativi a sistemi operativi.
computer.
Vedere anche
Controllo Web - Opzioni a pagina 166
Azioni
Specificare la modalità di risposta del programma di scansione al rilevamento di una minaccia.
Tabella 3-19
Sezione
Opzioni
Opzione
Definizione
Tipo di scansione
Scansione
all'accesso
Prima risposta al
rilevamento delle
minacce
Scansione su
richiesta
Consente di selezionare la prima azione che il programma di scansione
deve intraprendere al rilevamento di una minaccia.
Nega l'accesso
ai file
Impedisce agli utenti di
accedere a qualsiasi file con
potenziali minacce.
Continua a
eseguire la
scansione
Continua a eseguire la
scansione in caso di
rilevamento di una minaccia. Il
programma di scansione non
sposta gli elementi in
quarantena.
Guida del prodotto
119
3
Tabella 3-19
Sezione
Opzioni (segue)
Opzione
Definizione
Tipo di scansione
Scansione
all'accesso
Pulisci file
Rimuove la minaccia dal file
rilevato, se possibile.
Elimina file
Elimina i file contenenti
potenziali minacce.
Scansione su
richiesta
Consente di selezionare l'azione che il programma di scansione deve
intraprendere al rilevamento di una minaccia se la prima azione non
riesce.
Se la prima
risposta non riesce
Nega l'accesso
ai file
potenziali minacce.
Continua a
eseguire la
scansione
quarantena.
Elimina file
Elimina i file contenenti
potenziali minacce.
Consente di selezionare la prima azione che il programma di scansione
deve eseguire al rilevamento di un programma potenzialmente
indesiderato.
Prima risposta ai
programmi
indesiderati
Questa opzione è disponibile solo se Rileva programmi indesiderati è
selezionato.
Nega l'accesso
ai file
potenziali minacce.
Consenti
Consente agli utenti di accedere
l'accesso ai file ai file con potenziali minacce.
Continua a
eseguire la
scansione
quarantena.
Pulisci file
Rimuove la minaccia dal file del
programma potenzialmente
indesiderato, se possibile.
Elimina file
Elimina i file del programma
potenzialmente indesiderato.
Consente di selezionare l'azione che il programma di scansione deve
eseguire al rilevamento di un programma potenzialmente indesiderato,
se la prima azione non ha esito positivo.
Se la prima
risposta non riesce
Questa opzione è disponibile solo se Rileva programmi indesiderati è
selezionato.
Nega l'accesso
ai file
potenziali minacce.
Consenti
Consente agli utenti di accedere
l'accesso ai file ai file con potenziali minacce.
120
Guida del prodotto
Tabella 3-19
Sezione
3
Opzioni (segue)
Opzione
Definizione
Tipo di scansione
Scansione
all'accesso
Continua a
eseguire la
scansione
quarantena.
Elimina file
Elimina automaticamente i file
del programma potenzialmente
indesiderato.
Scansione su
richiesta
Vedere anche
Aggiungere o modificare una definizione di esclusione.
Tabella 3-20
Sezione
Opzioni
Opzione
Definizione
Tipo di scansione
All'accesso Su richiesta
Elementi da
escludere
Specifica il tipo di esclusione e i dettagli dell'esclusione.
Nome o percorso
file
Specifica il file o il percorso da escludere.
Il percorso file può contenere caratteri
jolly.
Per escludere una cartella sui sistemi
Windows, aggiungere una barra
rovesciata (\) alla fine del percorso.
Se necessario, selezionare Escludi anche le
sottocartelle.
Tipo di file
Specifica i tipi di file (estensioni di file) da
escludere.
Data file
Specifica il tipo di accesso (Ultima modifica,
Ultimo accesso (solo per scansione su
richiesta) o Data creazione) dei file da
escludere e il Tempo minimo in giorni.
Specifica quando escludere l'elemento selezionato.
Quando
escludere
Durante la scrittura Esclude dalla scansione quando i file
o la lettura del
vengono scritti o letti dal disco o da altri
disco
dispositivi di memorizzazione dati.
Durante la lettura
dal disco
Esclude dalla scansione quando i file
vengono letti dal computer o da altri
dispositivi di memorizzazione dati.
Durante la scrittura Esclude dalla scansione quando i file
sul disco
vengono scritti o modificati dal disco o da
altri dispositivi di memorizzazione dati.
Guida del prodotto
121
3
Vedere anche
Caratteri jolly nelle esclusioni di scansione a pagina 67
Configurazione delle esclusioni a pagina 66
Prevenzione delle minacce – Opzioni
Configurare le impostazioni applicabili alla funzionalità Prevenzione delle minacce, incluse quarantena,
programmi potenzialmente indesiderati ed esclusioni.
Questa sezione include solo opzioni Avanzate.
Tabella 3-21
Sezione
Opzioni avanzate
Opzione
Gestore quarantena Cartella di
quarantena
Definizione
Specifica il percorso per la cartella di quarantena o accetta il
percorso predefinito:
c:\Quarantena
La cartella di quarantena è limitata a 190 caratteri.
Specifica il numero Specifica il numero di giorni (1–999) in cui gli elementi resteranno
massimo di giorni di in quarantena prima di essere automaticamente eliminati. Il valore
conservazione dei
predefinito è 30 giorni.
dati in quarantena
Esclusioni in base
Escludi questi nomi Specifica le esclusioni di rilevamento in base al nome rilevamento.
al nome rilevamento rilevamento
Ad esempio, per specificare che il programma di scansione
all'accesso e su richiesta non rilevino le minacce di verifica
dell'installazione, immettere Installation Check.
Aggiungi – Aggiunge un nome rilevamento all'elenco di esclusioni.
Fare clic su Aggiungi, quindi immettere il nome rilevamento.
Doppio clic su un elemento – Modifica l'elemento selezionato.
Elimina - Rimuove un nome rilevamento dall'elenco di esclusioni.
Selezionare il nome, quindi fare clic su Elimina.
122
Guida del prodotto
3
Tabella 3-21
Opzioni avanzate (segue)
Sezione
Opzione
Definizione
Rilevamenti di
programmi
potenzialmente
indesiderati
Escludere i
programmi
indesiderati
personalizzati
Consente di specificare singoli file o programmi da rilevare come
programmi potenzialmente indesiderati.
I programmi di scansione rilevano i programmi specificati
dall'utente e quelli specificati nei file di contenuto AMCore.
Il programma di scansione non rileva programmi indesiderati
definiti dall'utente di dimensioni pari a zero byte.
• Aggiungi – Definisce un programma indesiderato personalizzato.
Fare clic su Aggiungi, immettere il nome, quindi premere Tab per
immettere la descrizione.
• Nome - Specifica il nome del file del programma potenzialmente
indesiderato.
• Descrizione – Specifica le informazioni da visualizzare come
nome rilevamento quando viene rilevato un elemento.
• Elimina – Rimuove un programma potenzialmente indesiderato
dall'elenco.
Selezionare il programma nella tabella, quindi fare clic su Elimina.
Analisi dati
proattiva
Invia dati di utilizzo e diagnostica anonimi a McAfee.
Feedback McAfee
GTI
Attiva il feedback telemetrico basato su McAfee GTI per ottenere
dati anonimi relativi ai file e ai processi in esecuzione sul sistema
client.
Impulso di sicurezza Verifica lo stato del sistema client prima e dopo l'aggiornamento
dei file di contenuto AMCore e invia i risultati a McAfee a intervalli
regolari.
I risultati crittografati vengono inviati a McAfee tramite SSL. Quindi
McAfee aggrega e analizza i dati derivanti da questi report per
identificare anomalie che potrebbero indicare potenziali problemi
relativi al contenuto. L'identificazione della richiesta di tali problemi
è fondamentale per provvedere all'immediato contenimento e
risoluzione degli stessi.
L'impulso di sicurezza raccoglie i tipi di dati seguenti:
• Versione sistema operativo e impostazioni locali
• Versione prodotto McAfee
• AMCore content e versione motore
• Informazioni sui processi in esecuzione di McAfee e Microsoft
Reputazione
AMCore content
Esegue un controllo della reputazione McAfee GTI nei file AMCore
content prima dell'aggiornamento del sistema client.
• Se McAfee GTI consente l'accesso al file, Endpoint Security
aggiorna AMCore content.
• Se McAfee GTI non consente l'accesso al file, Endpoint Security
non aggiorna AMCore content.
Vedere anche
Guida del prodotto
123
3
Ripristina AMCore content
Modifica di AMCore content a una versione precedente.
Opzione
Definizione
Selezionare la versione
da caricare
Specifica i numeri di versione di un file AMCore content precedente da caricare.
Endpoint Security conserva le due versioni precedenti sul sistema client.
Quando si torna a una versione precedente, Endpoint Security rimuove la
versione corrente di AMCore content dal sistema.
Vedere anche
Modifica della versione AMCore content a pagina 29
124
Guida del prodotto
4
Uso di Firewall
Il Firewall agisce come filtro tra il computer e la rete o Internet.
Sommario
Funzionamento di Firewall
Attivare e disattivare Firewall dall'icona della barra delle applicazioni McAfee
Attivare o visualizzare i gruppi a tempo Firewall dall'icona della barra delle applicazioni McAfee.
Gestione di Firewall
Riferimento interfaccia client — Firewall
Funzionamento di Firewall
Firewall esegue la scansione di tutto il traffico in ingresso e in uscita.
Poiché esamina il traffico in ingresso e in uscita, Firewall controlla i relativi elenchi di regole, che sono
costituiti da una serie di criteri con azioni associate. Se il traffico corrisponde a tutti i criteri di una
regola, Firewall agisce secondo la regola, bloccando o consentendo il traffico attraverso Firewall.
Le informazioni sui rilevamenti delle minacce vengono salvate nei rapporti inviati all'amministratore
per la notifica di qualsiasi problema di sicurezza per il computer.
Le regole e opzioni Firewall definiscono il funzionamento del Firewall. I gruppi di regole organizzano le
regole firewall per una gestione semplificata.
Se la Modalità interfaccia client è impostata su Accesso completo oppure è stato effettuato l'accesso come
amministratore, è possibile configurare regole e gruppi utilizzando Client Endpoint Security. Per i
sistemi gestiti, le regole e i gruppi creati potrebbero essere sovrascritti quando l'amministratore
distribuisce una policy aggiornata.
Vedere anche
Configurazione Firewall a pagina 127
Funzionamento delle regole firewall a pagina 131
Funzionamento dei gruppi di regole firewall a pagina 133
Attivare e disattivare Firewall dall'icona della barra delle
applicazioni McAfee
In base alla configurazione delle impostazioni, è possibile attivare e disattivare Firewall dall'icona della
barra delle applicazioni McAfee.
Queste opzioni potrebbero non essere disponibili, in base alla modalità di configurazione delle
impostazioni.
Guida del prodotto
125
4
Uso di Firewall
Attività
•
Fare clic con il tasto destro sull'icona della barra delle applicazioni McAfee e selezionare Disattiva
Firewall Endpoint Security, un'opzione del menu Impostazioni rapide.
Se Firewall è attivato, l'opzione è Disattiva Firewall Endpoint Security.
In base alle impostazioni, potrebbe essere richiesto di fornire all'amministratore una motivazione
per la disattivazione di Firewall.
Attivare o visualizzare i gruppi a tempo Firewall dall'icona della
barra delle applicazioni McAfee.
Attivare, disattivare o visualizzare i gruppi a tempo Firewall dall'icona della barra delle applicazioni
McAfee.
Queste opzioni potrebbero non essere disponibili, in base alla modalità di configurazione delle
impostazioni.
Attività
•
Fare clic con il pulsante destro del mouse sull'icona della barra delle applicazioni di sistema McAfee
e selezionare un'opzione dal menu Impostazioni rapide.
•
Attiva gruppi a tempo Firewall: attiva i gruppi a tempo per un periodo definito per consentire l'accesso
a Internet prima dell'applicazione di regole che limitano l'accesso. Se i gruppi a tempo sono
attivati, l'opzione è Disattiva gruppi a tempo Firewall.
Ogni volta che si seleziona questa opzione, il tempo dei gruppi viene reimpostato.
In base alle impostazioni, potrebbe essere richiesto di fornire all'amministratore una
motivazione per l'attivazione dei gruppi a tempo.
•
Visualizza gruppi a tempo Firewall: visualizza i nomi dei gruppi a tempo e il periodo rimanente di
attività di ciascun gruppo.
Informazioni sui gruppi a tempo
I gruppi a tempo sono gruppi di regole Firewall attivi per un determinato periodo di tempo.
Ad esempio, un gruppo a tempo può essere attivato per consentire a un sistema client di collegarsi a
una rete pubblica e stabilire una connessione VPN.
A seconda delle impostazioni della , i gruppi a tempo possono essere attivati:
•
In base a una pianificazione.
•
Manualmente, selezionando le opzioni dall'icona della barra delle applicazioni McAfee.
In qualità di amministratore, è possibile configurare opzioni Firewall e creare regole e gruppi in Client
Endpoint Security.
126
Guida del prodotto
Uso di Firewall
4
Modifica delle opzioni Firewall
In qualità di amministratore, è possibile modificare le opzioni Firewall da Client Endpoint Security.
Attività
•
Configurare le impostazioni in Opzioni di disattivare e attivare la protezione firewall,
attivare la modalità adattiva e configurare altre opzioni Firewall.
•
Blocco del traffico DNS a pagina 128
Per affinare la protezione firewall, creare un elenco di FQDN da bloccare. Firewall blocca le
connessioni agli indirizzi IP spostandole ai nomi di dominio.
•
Definizione di reti da utilizzare in regole e gruppi a pagina 129
Definire indirizzi di rete, sottoreti o intervalli da utilizzare in regole e gruppi. È anche
possibile indicare se le reti sono affidabili.
•
Configurazione di eseguibili affidabili a pagina 130
Definire o modificare l'elenco di eseguibili affidabili considerati sicuri per l'ambiente.
Vedere anche
FAQ – McAfee GTI e Firewall a pagina 128
Configurazione Firewall
Configurare le impostazioni in Opzioni di disattivare e attivare la protezione firewall, attivare la
modalità adattiva e configurare altre opzioni Firewall.
Prima di iniziare
Attività
1
2
Fare clic su Firewall nella pagina Stato principale.
Impostazioni.
3
, selezionare Impostazioni, quindi fare clic su Firewall nella pagina
Selezionare Attiva Firewall per attivare il Firewall e modificarne le opzioni.
Host Intrusion Prevention 8.0 può essere installato nello stesso sistema di Endpoint Security 10.2.
Se McAfee Host IPS Firewall è installato e attivato, Firewall Endpoint Security viene disattivato anche
se è attivato nelle impostazioni della policy.
4
5
Annulla.
Vedere anche
Guida del prodotto
127
4
Uso di Firewall
Blocco del traffico DNS
Per affinare la protezione firewall, creare un elenco di FQDN da bloccare. Firewall blocca le connessioni
agli indirizzi IP spostandole ai nomi di dominio.
Prima di iniziare
Attività
1
2
Impostazioni.
3
In Blocco DNS, fare clic su Aggiungi.
4
Immettere l'FQDN dei domini da bloccare, quindi fare clic su Salva.
È possibile utilizzare i caratteri jolly * e ?. Ad esempio, *domain.com.
Le voci duplicate saranno rimosse automaticamente.
5
Fare clic su Salva.
6
FAQ – McAfee GTI e Firewall
Di seguito sono riportate le risposte alle domande più frequenti.
Le impostazioni delle Opzioni Firewall consentono di bloccare il traffico in ingresso e in uscita da una
connessione di rete valutata come a rischio elevato da McAfee GTI. Queste domande frequenti
spiegano la funzione di McAfee GTI e come influisce sul firewall.
Che cos'è McAfee GTI?
McAfee GTI è un sistema informativo globale della reputazione su Internet che determina quali
sono i comportamenti corretti e dannosi sul Web. McAfee GTI si serve dell'analisi in tempo reale
dei criteri globali di comportamento e invio relativi a email, attività Web, malware e
comportamento tra i sistemi. Tramite i dati ottenuti dall'analisi, McAfee GTI calcola
dinamicamente il punteggio reputazione che rappresenta il livello di rischio per la rete posto da
una determinata pagina Web. Il risultato è un database di punteggi reputazione per indirizzi IP,
domini, messaggi specifici, URL e immagini.
Come funziona?
Quando le opzioni McAfee GTI sono selezionate, vengono create due regole firewall: McAfee GTI –
Consenti il servizio Endpoint Security Firewall e McAfee GTI – Ottieni classificazione. La prima regola consente un
collegamento a McAfee GTI e la seconda blocca o consente il traffico basato sulla reputazione
della connessione e la soglia di blocco impostata.
Cosa significa "reputazione"?
Per ogni indirizzo IP su Internet, McAfee GTI calcola un valore di reputazione. McAfee GTI basa il
valore sui comportamenti di invio o hosting e su vari dati di ambiente raccolti da clienti e partner
sullo stato delle minacce su Internet. La reputazione viene espressa in quattro classi, basate
sulla nostra analisi:
128
Guida del prodotto
4
Uso di Firewall
•
Non bloccare (rischio minimo) – Questo sito è una fonte o destinazione legittima di contenuti/
traffico.
•
Non verificato – Questo sito è una fonte o destinazione legittima di contenuti/traffico. Tuttavia,
presenta anche proprietà che necessitano di un'ulteriore verifica.
•
Rischio medio – Questa origine/destinazione mostra comportamenti ritenuti sospetti e
contenuti/traffico che richiedono un'osservazione speciale.
•
Rischio elevato – Questa origine/destinazione invia o potrebbe effettuare l'invio o l'hosting di
contenuti/traffico potenzialmente dannosi. Presenta un rischio elevato.
McAfee GTI provoca tempi di latenza? Quanto durano?
Quando McAfee GTI viene contattato per una ricerca della reputazione è inevitabile che si
verifichi una latenza. McAfee ha adottato tutte le misure necessarie per minimizzarla. McAfee
GTI:
•
Verifica le reputazioni solo se le opzioni sono state selezionate.
•
Utilizza un'architettura intelligente di memorizzazione nella cache. Nei normali criteri di
utilizzo della rete, la cache risolve le connessioni più richieste senza una query di reputazione
in tempo reale.
Se il firewall non può contattare i server McAfee GTI, il traffico si interrompe?
Se il firewall non riesce a contattare i server, McAfee GTI assegna automaticamente a tutte le
connessioni applicabili una reputazione consentita predefinita. Il firewall quindi continua ad
analizzare le regole che seguono.
Definizione di reti da utilizzare in regole e gruppi
Definire indirizzi di rete, sottoreti o intervalli da utilizzare in regole e gruppi. È anche possibile indicare
se le reti sono affidabili.
Prima di iniziare
Attività
1
2
Impostazioni.
3
Guida del prodotto
129
4
Uso di Firewall
4
Da Reti definite, procedere in uno dei seguenti modi:
Per...
Definizione di una nuova
rete.
Passaggi
Fare clic su Aggiungi e inserire le informazioni della rete affidabile.
Definire la rete come affidabile selezionando Sì dal menu a discesa
Affidabile.
Se si seleziona No, la rete viene definita per l'uso in regole e gruppi, ma
il traffico in ingresso e in uscita dalla rete non viene considerato
automaticamente affidabile.
Modifica della definizione In ciascuna colonna, fare doppio clic sull'elemento e inserire le nuove
di una rete.
informazioni.
Eliminazione di una rete.
5
Selezionare una riga e fare clic su Elimina.
Informazioni sulle reti affidabili
Vengono definite reti affidabili indirizzi IP, intervalli di indirizzi IP e sottoreti considerate sicure
dall'azienda.
Se una rete viene definita affidabile, viene creata una regola bidirezionale Consenti per la rete remota
in cima all'elenco delle regole di Firewall.
Una volta definite, è possibile creare regole firewall applicabili a queste reti affidabili. Le reti affidabili
fungono anche da eccezioni a McAfee GTI nel firewall.
Procedura consigliata: quando si aggiungono reti alle regole e ai gruppi firewall, selezionare Reti definite
per il Tipo di rete per usufruire di questa funzionalità.
Configurazione di eseguibili affidabili
Definire o modificare l'elenco di eseguibili affidabili considerati sicuri per l'ambiente.
Prima di iniziare
Attività
1
2
Impostazioni.
3
130
Guida del prodotto
4
Uso di Firewall
4
5
Da Eseguibili affidabili, effettuare una delle seguenti procedure:
Per...
Passaggi
Definire un nuovo eseguibile
affidabile.
Fare clic su Aggiungi e inserire le informazioni dell'eseguibile
affidabile.
Modificare la definizione di un
eseguibile.
In ciascuna colonna, fare doppio clic sull'elemento e inserire
le nuove informazioni.
Eliminare un eseguibile.
Selezionare una riga e fare clic su Elimina.
Informazioni su eseguibili e applicazioni affidabili
Gli eseguibili affidabili sono eseguibili che non presentano vulnerabilità note e vengono considerati
sicuri.
Se si configura un eseguibile affidabile, viene creata una regola bidirezionale Consenti per l'eseguibile
in cima all'elenco delle regole di Firewall.
Il mantenimento di un elenco di eseguibili sicuri per un sistema riduce o elimina la maggior parte dei
falsi positivi. Ad esempio, quando viene eseguita un'applicazione di backup, è possibile che vengano
attivati diversi eventi di falsi positivi. Per evitare l'attivazione di falsi positivi, assicurarsi che
l'applicazione di backup sia inclusa nell'elenco degli eseguibili affidabili.
Un'applicazione affidabile è suscettibile a vulnerabilità comuni, come overflow del buffer e uso illegale.
Di conseguenza, Firewall monitora gli eseguibili affidabili e attiva eventi per prevenire gli exploit.
Il Catalogo Firewall contiene eseguibili e applicazioni. Gli eseguibili nel catalogo possono essere
associati a un'applicazione contenitore. È possibile aggiungere gli eseguibili e le applicazioni dal
catalogo all'elenco di eseguibili affidabili. Una volta definiti, è possibile visualizzare gli eseguibili nelle
regole e nei gruppi.
Configurazione di gruppi e regole Firewall
In qualità di amministratore, è possibile configurare gruppi e regole Firewall da Client Endpoint
Security.
Attività
•
Creazione e gestione di regole e gruppi Firewall a pagina 137
Per i sistemi gestiti, le regole e i gruppi configurati da Client Endpoint Security potrebbero
essere sovrascritti quando l'amministratore distribuisce una policy aggiornata.
•
Creazione di gruppi di isolamento connessione a pagina 139
Creare un gruppo di regole firewall di isolamento connessione per stabilire un set di regole
che si applicano solo in caso di connessione a una rete con particolari parametri.
•
Creazione di gruppi a tempo a pagina 139
Creare gruppi a tempo Firewall per limitare l'accesso a Internet fino alla connessione del
sistema client tramite VPN.
Funzionamento delle regole firewall
Le regole Firewall consentono di stabilire come gestire il traffico di rete. Ogni regola fornisce una serie
di condizioni alle quali il traffico deve risultare conforme e un'azione per consentire o bloccare il
traffico.
Quando Firewall rileva del traffico corrispondente alle condizioni di una regola, esegue l'azione
associata.
Guida del prodotto
131
4
Uso di Firewall
È possibile definire le regole in modo ampio (ad esempio, tutto il traffico IP) o singolarmente (ad
esempio, identificando una specifica applicazione o servizio) e specificare le opzioni. È possibile
raggruppare le regole in base a una funzione operativa, a un servizio o a un'applicazione per una
gestione più semplice. Come le regole, è possibile definire gruppi di regole per rete, trasporto,
applicazione, pianificazione e opzioni di posizione.
Firewall applica le regole in base alla priorità:
1
Firewall applica la prima regola dell'elenco regole firewall.
Se il traffico è conforme alle condizioni di questa regola, Firewall consente o blocca il traffico. Non
cerca di applicare nessun'altra regola all'elenco.
2
Se il traffico non è conforme alle condizioni della prima regola, Firewall cerca la regola successiva
nell'elenco e così via fino a trovare una regola che corrisponda al traffico.
3
Se nessuna regola corrisponde, il firewall blocca automaticamente il traffico.
Se la modalità adattiva è attivata, viene creata una regola di consenso per il traffico. A volte il traffico
intercettato corrisponde a più di una regola nell'elenco. In questo caso, priorità significa che Firewall
applica solo la prima regola che corrisponde nell'elenco.
Procedure consigliate
Posizionare le regole più specifiche all'inizio dell'elenco e le più generali alla fine. Questo ordine
garantisce che Firewall filtri correttamente il traffico.
132
Guida del prodotto
4
Uso di Firewall
Ad esempio, per consentire tutte le richieste HTTP eccetto quelle provenienti da un indirizzo specifico
(ad esempio, indirizzo IP 10.10.10.1), creare due regole:
•
Regola di blocco – Blocca il traffico HTTP dall'indirizzo IP 10.10.10.1. Questa regola è specifica.
•
Regola di consenso – Consente tutto il traffico tramite il servizio HTTP. Questa regola è generale.
Posizionare la regola di blocco più in alto nell'elenco delle regole firewall rispetto alla regola di
consenso. Quando il firewall intercetta la richiesta HTTP dall'indirizzo 10.10.10.1, la prima regola
corrispondente trovata è quella che blocca questo traffico attraverso il firewall.
Se la regola di consenso si trova in una posizione più elevata rispetto alla specifica regola di blocco,
Firewall esegue la corrispondenza delle richieste nei confronti della regola di consenso prima di trovare
la regola di blocco. Consente il traffico, anche se si voleva bloccare la richiesta HTTP da un indirizzo
specifico.
Funzionamento dei gruppi di regole firewall
I gruppi di regole Firewall organizzano le regole firewall per una gestione semplificata. I gruppi di
regole Firewall non influenzano il modo in cui Firewall gestisce le regole al loro interno; Firewall
elabora comunque le regole dalla prima all'ultima.
Firewall elabora le impostazioni per il gruppo prima di elaborare quelle per le regole che contiene. Se è
presente un conflitto tra queste impostazioni, le impostazioni del gruppo hanno la priorità.
Impostazione dei gruppi come in grado di riconoscere la posizione
Firewall consente di creare un gruppo e le relative regole in grado di riconoscere la posizione e di
creare un isolamento della connessione. La Posizione e le Opzioni di rete del gruppo consentono di
creare i gruppi in modo che siano in grado di riconoscere l'adattatore di rete. Utilizzare i gruppi
dell'adattatore di rete per applicare le regole specifiche della scheda per i computer con interfacce di
rete multiple. Dopo aver attivato lo stato e aver assegnato un nome alla posizione, i parametri per le
connessioni consentite possono includere quanto segue, per ciascun adattatore di rete:
Posizione:
•
Richiede la raggiungibilità di McAfee ePO
•
Indirizzo IP Server WINS principale
•
Suffisso DNS specifico per la connessione
•
Indirizzo IP Server WINS secondario
•
Indirizzo IP Gateway predefinito
•
Raggiungibilità dominio
•
Indirizzo IP Server DHCP
•
Chiave di registro
•
Server DNS interrogato per risolvere URL
Reti:
•
Indirizzo IP Rete locale
•
Tipi di connessione
Se due gruppi in grado di riconoscere la posizione sono applicabili a una connessione, Firewall utilizza
la priorità normale, elaborando il primo gruppo applicabile nel suo elenco delle regole. Se nessuna
delle regole nel primo gruppo corrisponde, l'elaborazione delle regole prosegue.
Quando Firewall esegue una corrispondenza tra i parametri di un gruppo in grado di riconoscere la
posizione e una connessione attiva, applica le regole all'interno di un gruppo. Gestisce le regole come
piccoli set di regole e applica una priorità normale. Se alcune regole non corrispondono al traffico
intercettato, il firewall le ignora.
Guida del prodotto
133
4
Uso di Firewall
Se questa opzione è
selezionata...
Quindi...
Attiva riconoscimento della
posizione
Un nome posizione è obbligatorio.
Richiede la raggiungibilità di
McAfee ePO
McAfee ePO è raggiungibile e l'FQDN del server è stato risolto.
Rete locale
L'indirizzo IP dell'adattatore deve corrispondere a una delle voci
dell'elenco.
Suffisso DNS specifico per la
connessione
Il suffisso DNS dell'adattatore deve corrispondere a una delle
voci dell'elenco.
Gateway predefinito
L'indirizzo IP dell'adattatore predefinito deve corrispondere a una
delle voci dell'elenco.
Server DHCP
L'indirizzo IP del server dell'adattatore DHCP deve corrispondere
a una delle voci dell'elenco.
Server DNS
L'indirizzo IP della scheda del server DNS deve corrispondere a
una delle voci dell'elenco.
Server WINS principale
L'indirizzo IP del server WINS principale deve corrispondere a una
delle voci dell'elenco.
Server WINS secondario
L'indirizzo IP del server WINS secondario deve corrispondere a
una delle voci dell'elenco.
Raggiungibilità dominio
Il dominio specificato deve essere raggiungibile.
Gruppi di regole Firewall e isolamento della connessione
Utilizzare l'isolamento della connessione per i gruppi per impedire l'accesso di traffico indesiderato alla
rete designata.
Quando l'isolamento della connessione è attivato per un gruppo e una scheda d'interfaccia di rete (NIC
o Network Interface Card) attiva corrisponde ai criteri del gruppo, Firewall elabora solo il traffico che
corrisponde:
•
Alle regole di assenso sopra il gruppo nell'elenco delle regole firewall
•
Ai criteri gruppo
Tutto il resto del traffico viene bloccato.
Qualsiasi gruppo con un isolamento connessione attivato non può avere eseguibili o opzioni di trasporto
associate.
134
Guida del prodotto
4
Uso di Firewall
Come esempi dell'uso dell'isolamento della connessione, considerare due impostazioni: un ambiente
aziendale e un hotel. L'elenco delle regole firewall attive contiene regole e gruppi in questo ordine:
1
Regole per la connessione di base
2
Regole di connessione VPN
3
Gruppo con regole di connessione LAN aziendali
4
Gruppo con regole di connessione VPN
Esempio: isolamento connessione nella rete aziendale
Le regole di connessione vengono elaborate fino a quando viene incontrato il gruppo con regole di
connessione LAN aziendali. Questo gruppo contiene le impostazioni seguenti:
•
Tipo di connessione = Cablata
•
Suffisso DNS specifico per la connessione = mycompany.com
•
Gateway predefinito
•
Isolamento connessione = Attivato
Il computer dispone di adattatori di rete wireless e LAN. Il collegamento alla rete aziendale viene
effettuato tramite connessione cablata. Tuttavia, l'interfaccia wireless è ancora attiva, quindi si collega
a un hotspot fuori dall'ufficio. Il computer esegue la connessione a entrambe le reti in quanto le regole
per l'accesso di base sono in alto nell'elenco delle regole firewall. La connessione LAN cablata è attiva
e soddisfa i criteri del gruppo LAN aziendale. Il firewall elabora il traffico attraverso la LAN ma poiché
l'isolamento della connessione è attivato, tutto il resto del traffico che non passa per la LAN viene
bloccato.
Guida del prodotto
135
4
Uso di Firewall
Esempio: isolamento connessione in un hotel
Le regole di connessione vengono elaborate fino a quando viene incontrato il gruppo con regole di
connessione VPN. Questo gruppo contiene le impostazioni seguenti:
•
Tipo di connessione = Virtuale
•
Suffisso DNS specifico per la connessione = vpn.mycompany.com
•
Indirizzo IP = Un indirizzo in un intervallo specifico per il concentratore VPN
•
Isolamento connessione = Attivato
Le regole di connessione generali consentono di impostare un account a tempo nell'hotel per poter
accedere a Internet. Le regole di connessione VPN consentono la connessione e l'uso di un tunnel VPN.
Dopo aver stabilito il tunnel, il client VPN crea un adattatore virtuale che corrisponde ai criteri del
gruppo VPN. Il solo traffico consentito dal firewall si trova dentro il tunnel VPN e il traffico di base
sull'adattatore reale. I tentativi di accesso al computer tramite la rete da parte di altri ospiti dell'hotel,
sia di tipo cablato che wireless, vengono bloccati.
Gruppi di regole firewall predefiniti
Firewall include vari gruppi firewall predefiniti.
Gruppo Firewall
Descrizione
Funzionalità di base rete
McAfee
Contiene le regole di funzionalità di base rete fornite da McAfee e include
regole per consentire app e DNS McAfee.
Non è possibile modificare o eliminare queste regole. È possibile disattivare il
gruppo in Firewall Opzioni, ma tale opzione potrebbe interrompere le
comunicazioni di rete sul client.
Aggiunto
dall'amministratore
Contiene regole definite dall'amministratore dal server di gestione.
Non è possibile modificare o eliminare queste regole in Client Endpoint
Security.
Aggiunto dall'utente
Contiene regole definite in Client Endpoint Security.
A seconda delle impostazioni della policy, queste regole potrebbero essere
sovrascritte quando si impone la policy.
Dinamico
Contiene regole create dinamicamente da altri moduli Endpoint Security
installati nel sistema.
Ad esempio, Prevenzione delle minacce potrebbe inviare un evento al modulo
Client Endpoint Security per creare una regola che blocca l'accesso a un
sistema nella rete.
Adattivo
Contiene regole di eccezione client create automaticamente quando il sistema
è in modalità adattiva.
A seconda delle impostazioni della policy, queste regole potrebbero essere
sovrascritte quando si impone la policy.
Predefinito
Contiene regole predefinite fornite da McAfee.
Non è possibile modificare o eliminare queste regole.
136
Guida del prodotto
4
Uso di Firewall
Creazione e gestione di regole e gruppi Firewall
Per i sistemi gestiti, le regole e i gruppi configurati da Client Endpoint Security potrebbero essere
sovrascritti quando l'amministratore distribuisce una policy aggiornata.
Prima di iniziare
I gruppi e le regole vengono visualizzati in ordine di priorità nella tabella Regole Firewall. Non è possibile
ordinare le regole per colonna.
Attività
1
2
Impostazioni.
3
Utilizzare queste attività per gestire le regole e i gruppi firewall.
Per eseguire queste
operazioni...
Visualizzare le regole in un gruppo Fare clic su
firewall.
.
Comprimere un gruppo firewall.
Fare clic su
.
Modificare una regola esistente.
1 Espandere il gruppo Aggiunto dall'utente.
È possibile modificare regole
solo nel gruppo Aggiunto
dall'utente.
2 Fare doppio clic sulla regola.
3 Modificare le impostazioni della regola.
4 Per salvare le modifiche, fare clic su OK.
Visualizzare una regola esistente
in ogni nuovo gruppo.
1 Espandere il gruppo.
Creare una regola.
1 Fare clic su Aggiungi regola.
2 Selezionare la regola per visualizzarne i dettagli nel riquadro
inferiore.
2 Specificare le impostazioni della regola.
La regola viene visualizzata alla fine del gruppo Aggiunto
dall'utente.
Creare copie di regole.
1 Selezionare la regola o le regole e fare clic su Duplica.
Le regole copiate vengono visualizzate alla fine del gruppo
Aggiunto dall'utente con lo stesso nome.
2 Modificare le regole per cambiare il nome e le impostazioni.
Guida del prodotto
137
4
Uso di Firewall
Per eseguire queste
operazioni...
Eliminare regole.
1 Espandere il gruppo.
È possibile eliminare regole
solo dal gruppo Aggiunto
dall'utente e dal gruppo Adattivo.
Creare un gruppo.
2 Selezionare la regola o le regole e fare clic su Elimina.
1 Fare clic su Aggiungi gruppo.
2 Specificare le impostazioni del gruppo.
Il gruppo viene visualizzato nel gruppo Aggiunto dall'utente.
Sposta regole e gruppi all'interno
e tra gruppi.
È possibile spostare regole e
gruppi solo nel gruppo
Aggiunto dall'utente.
Per spostare gli elementi:
1 Selezionare gli elementi da spostare.
Il simbolo di spostamento
viene visualizzato a sinistra
degli elementi che possono essere spostati.
2 Trascinare e rilasciare gli elementi nella nuova posizione.
Viene visualizzata una riga blu tra gli elementi dove è
possibile rilasciare gli elementi trascinati.
4
Vedere anche
Caratteri jolly nelle regole firewall a pagina 138
Caratteri jolly nelle regole firewall
È possibile utilizzare caratteri jolly al fine di rappresentare caratteri per alcuni valori nelle regole
firewall.
Caratteri jolly in percorsi e valori indirizzo
Per percorsi di file, chiavi di registro, eseguibili e URL, utilizzare i seguenti caratteri jolly.
I percorsi chiave di registro per le posizioni gruppo firewall non riconoscono i caratteri jolly.
?
Punto interrogativo Singolo carattere.
*
Asterisco
Caratteri multipli, esclusi barra (/) e barra rovesciata (\). Utilizzare questo
carattere per creare una corrispondenza tra i contenuti a livello di radice di
una cartella senza sottocartelle.
** Doppio asterisco
Caratteri multipli, inclusi barra (/) e barra rovesciata (\).
|
Carattere jolly di escape.
Barra verticale
Per il doppio asterisco (**) il carattere di escape è |*|*.
Caratteri jolly in tutti gli altri valori
Per i valori che normalmente non contengono informazioni di percorso con barre, utilizzare questi
caratteri jolly.
138
Guida del prodotto
Uso di Firewall
?
Punto interrogativo
Singolo carattere.
*
Asterisco
Caratteri multipli, inclusi barra (/) e barra rovesciata (\).
|
Barra verticale
Carattere jolly di escape.
4
Creazione di gruppi di isolamento connessione
Creare un gruppo di regole firewall di isolamento connessione per stabilire un set di regole che si
applicano solo in caso di connessione a una rete con particolari parametri.
Prima di iniziare
Attività
1
2
Impostazioni.
3
In REGOLE, fare clic su Aggiungi gruppo.
4
In Descrizione, specificare le opzioni per il gruppo.
5
In Posizione, selezionare Attiva riconoscimento della posizione e Attiva isolamento connessione. Quindi, selezionare
i criteri di posizione per la corrispondenza.
6
In Reti, per Tipi di connessione, selezionare il tipo di connessione (Cablata, Wireless o Virtuale) per applicare
le regole nel gruppo.
Le impostazioni per Trasporto ed Eseguibili non sono disponibili per i gruppi di isolamento della
connessione.
7
Fare clic su OK.
8
Creare nuove regole nel gruppo o spostarvi le regole esistenti dall'elenco di regole firewall.
9
Vedere anche
Gruppi di regole Firewall e isolamento della connessione a pagina 134
Funzionamento dei gruppi di regole firewall a pagina 133
Creazione di gruppi a tempo
Creare gruppi a tempo Firewall per limitare l'accesso a Internet fino alla connessione del sistema client
tramite VPN.
Guida del prodotto
139
4
Uso di Firewall
Attività
1
2
Impostazioni.
3
Creare un gruppo Firewall con impostazioni predefinite che consentono la connettività Internet.
Ad esempio, consentire il traffico HTTP sulla porta 80.
4
Nella sezione Pianificazione, selezionare la modalità di attivazione del gruppo.
•
Attiva pianificazione: consente di indicare una data di inizio e una data di fine per l'attivazione del
gruppo.
•
Disattiva pianificazione e attiva il gruppo dall'icona della barra delle applicazioni McAfee: consente agli utenti di
attivare il gruppo dall'icona della barra delle applicazioni McAfee e mantiene il gruppo attivo per
il numero di minuti indicato.
Se si consente agli utenti di gestire il gruppo a tempo, è possibile chiedere che forniscano una
giustificazione prima di attivare il gruppo.
5
Per salvare le modifiche, fare clic su OK.
6
Creare un gruppo di isolamento connessione corrispondente alla rete VPN per consentire il traffico
necessario.
Procedura consigliata: per consentire il traffico in uscita solo dal gruppo di isolamento
connessione del sistema client, non inserire alcuna regola Firewall in questo gruppo.
7
Vedere anche
Sommario
Firewall - Opzioni
Firewall – Regole
Firewall - Opzioni
Attiva e disattiva il modulo Firewall, imposta le opzioni di protezione e definisce reti ed eseguibili
affidabili.
Per ripristinare le impostazioni predefinite McAfee e annullare le modifiche, fare clic su Ripristina
predefinite.
140
Guida del prodotto
4
Uso di Firewall
McAfee Host IPS Firewall è installato e attivato, Firewall Endpoint Security viene disattivato anche se è
attivato nelle impostazioni della policy.
Tabella 4-1
Sezione
Opzioni di
protezione
Opzioni
Opzione
Definizione
Attiva Firewall
Attiva e disattiva il modulo Firewall.
Consenti il traffico per Consente tutto il traffico che utilizza protocolli non supportati. Quando
protocolli non
è disattivato, tutto il traffico che utilizza protocolli non supportati
supportati
viene bloccato.
Consenti solo traffico Consente il traffico in uscita ma non quello in ingresso fino a che il
in uscita fino all'avvio servizio Firewall non viene avviato.
dei servizi firewall
Se questa opzione è disattivata, Firewall consente tutto il traffico
prima dell'avvio dei servizi, rendendo il sistema potenzialmente
vulnerabile.
Consenti traffico con
bridge
Consenti:
• Pacchetti in entrata se l'indirizzo MAC di destinazione si trova
nell'intervallo di indirizzi MAC VM supportati e non è un indirizzo
MAC locale del sistema.
• Pacchetti in uscita se l'indirizzo MAC di origine si trova
nell'intervallo di indirizzi MAC supportati e non è un indirizzo MAC
locale del sistema.
Attiva protezione
spoofing IP
Blocca il traffico di rete dagli indirizzi IP host non locali o dai processi
locali che cercano di eseguire lo spoofing degli indirizzi IP.
Attiva regole di
blocco dinamico
Consente ad altri moduli Endpoint Security di creare e aggiungere
regole di blocco in modo dinamico al gruppo regole dinamiche nel client
Blocco DNS
Attiva avvisi
intrusione firewall
Mostra gli avvisi automaticamente quando Firewall rileva un
potenziale attacco.
Nome di dominio
Specifica i nomi di dominio da bloccare.
Quando applicata, questa impostazione aggiunge una regola nella
parte iniziale delle regole firewall che blocca le connessioni agli
indirizzi IP risolvendo i nomi di dominio.
• Aggiungi - Aggiunge un nome di dominio all'elenco degli elementi
bloccati. Separare più domini con una virgola (,) o un a capo.
È possibile utilizzare i caratteri jolly * e ?. Ad esempio,
*domain.com.
Le voci duplicate saranno rimosse automaticamente.
• Elimina - Rimuove il nome di dominio selezionato dall'elenco degli
elementi bloccati.
Guida del prodotto
141
4
Uso di Firewall
Sezione
Opzione
Definizione
Opzioni di
ottimizzazione
Attiva modalità
adattiva
Crea automaticamente regole per consentire il traffico.
Procedura consigliata: attivare temporaneamente la modalità
adattiva in alcuni sistemi solamente durante la configurazione del
Firewall. L'attivazione di questa modalità può generare un elevato
numero di regole client che il server McAfee ePO deve elaborare e
pertanto potrebbe influire negativamente sulle prestazioni.
Disattiva regole di
funzionalità di base
rete McAfee
Disattiva le regole di funzionalità di rete McAfee integrate (nel
gruppo Regole di funzionalità di base rete McAfee).
L'attivazione di questa opzione potrebbe interrompere le
comunicazioni di rete sul client.
Registra tutto il
traffico bloccato
Registra tutto il traffico bloccato nel registro eventi Firewall
(FirewallEventMonitor.log) nel client Client Endpoint Security.
Registra tutto il
traffico consentito
Registra tutto il traffico consentito nel registro eventi Firewall
(FirewallEventMonitor.log) nel client Client Endpoint Security.
L'attivazione di questa opzione potrebbe incidere negativamente
sulle prestazioni.
Reputazione di
rete di McAfee
GTI
Gestisci
corrispondenza
McAfee GTI come
intrusione
Gestisce come un'intrusione il traffico che corrisponde
all'impostazione della soglia di blocco McAfee GTI. L'attivazione di
questa opzione visualizza un avviso, invia un evento al server di
gestione e lo aggiunge al file di registro del client Client Endpoint
Security.
Qualsiasi indirizzo IP per una rete affidabile viene escluso dalla
ricerca McAfee GTI.
Registra traffico
corrispondente
Gestisce come un rilevamento il traffico che corrisponde
all'impostazione di soglia di blocco McAfee GTI. L'attivazione di
questa opzione invia un evento al server di gestione e lo aggiunge
al file di registro del client Client Endpoint Security.
Qualsiasi indirizzo IP per una rete affidabile viene escluso dalla
ricerca McAfee GTI.
Blocca tutti gli
eseguibili non
affidabili
142
Blocca tutti gli eseguibili non firmati o con reputazione McAfee GTI
sconosciuta.
Guida del prodotto
4
Uso di Firewall
Sezione
Opzione
Definizione
Soglia reputazione
rete in ingresso
Specifica la soglia di classificazione McAfee GTI per il blocco del
traffico in ingresso o in uscita da una connessione di rete.
Soglia reputazione
rete in uscita
• Non bloccare – Questo sito è una fonte o destinazione legittima di
contenuti/traffico.
• Rischio elevato – Questa origine/destinazione invia o ospita
contenuti/traffico potenzialmente nocivi che McAfee considera
rischiosi.
• Rischio medio – Questa origine/destinazione mostra il
comportamento che McAfee considera sospetto. Qualsiasi
contenuto/traffico da questo sito richiede attenzione speciale.
• Non verificato – Questo sito sembra essere una fonte o destinazione
legittima di contenuti/traffico, ma presenta anche proprietà che
suggeriscono la necessità di un'ulteriore verifica.
Firewall
completo
Utilizza ispezione
protocollo FTP
Consente il rilevamento delle connessioni FTP in modo che
necessitino di una sola regola firewall per il traffico client FTP in
uscita e per il traffico server FTP in ingresso.
Se non è selezionata, le connessioni FTP richiedono una regola
separata per il traffico client FTP in ingresso e per il traffico server
FTP in uscita.
Numero di secondi
(1-240) prima della
scadenza delle
connessioni TCP
Specifica il tempo, in secondi, per cui una connessione TCP non
stabilita rimane attiva se non vengono più inviati o ricevuti
pacchetti che corrispondono alla connessione. L'intervallo valido è
1–240.
Numero di secondi
(1-300) prima della
scadenza delle
connessioni virtuali
UDP ed echo ICMP
Specifica il tempo, in secondi, in cui una connessione virtuale UDP
ed echo ICMP rimane attiva se non vengono più inviati o ricevuti
pacchetti che corrispondono alla connessione. Questa opzione viene
reimpostata al proprio valore predefinito ogni volta che viene
inviato o ricevuto un pacchetto che corrisponde alla connessione
virtuale. L'intervallo valido è 1-300.
Definisce indirizzi di rete, sottoreti o intervalli da utilizzare in regole
e gruppi.
Reti definite
• Aggiungi: aggiunge un indirizzo di rete, sottorete o un intervallo
all'elenco di reti definite.
Fare clic su Aggiungi e compilare i campi nella riga per definire la
rete.
• Elimina: elimina l'indirizzo selezionato dall'elenco di reti definite.
Tipo di indirizzo
Indica il tipo di indirizzo della rete da definire.
Affidabile
• Sì: consente tutto il traffico dalla rete.
Se una rete viene definita affidabile, viene creata una regola
bidirezionale Consenti per la rete remota in cima all'elenco delle
regole di Firewall.
• No: aggiunge la rete all'elenco di reti definite per la creazione di
regole.
Guida del prodotto
143
4
Uso di Firewall
Sezione
Opzione
Definizione
Proprietario
Specifica gli eseguibili sicuri in ogni ambiente e privi di vulnerabilità
note. Questi eseguibili possono eseguire tutte le operazioni tranne
quelle che suggeriscono una compromissione degli eseguibili.
Eseguibili
affidabili
Se si configura un eseguibile affidabile, viene creata una regola
bidirezionale Consenti per l'eseguibile in cima all'elenco delle regole
di Firewall.
• Aggiungi – Aggiunge un eseguibile affidabile.
• Elimina: rimuove l'eseguibile dall'elenco degli eseguibili affidabili.
Vedere anche
Definizione di reti da utilizzare in regole e gruppi a pagina 129
Configurazione di eseguibili affidabili a pagina 130
Firewall – Regole
Gestione di regole e gruppi firewall.
È possibile aggiungere ed eliminare regole e gruppi solo nel gruppo Aggiunto dall'utente. Firewall
sposta automaticamente in questo gruppo le nuove regole aggiunte.
Per ripristinare le impostazioni predefinite e annullare le modifiche, fare clic su Ripristina predefinite.
Tabella 4-3 Opzioni
Sezione Opzione
Definizione
REGOLE
Aggiungi regola
Crea una regola firewall.
Aggiungi gruppo
Crea un gruppo firewall.
Doppio clic su un
elemento
Duplica
Crea una copia dell'elemento selezionato.
Elimina
Rimuove un elemento firewall selezionato.
Regola Gruppo
Indica gli elementi che possono essere spostati
nell'elenco.
Selezionare degli elementi, quindi trascinarli e
rilasciarli nella nuova posizione. Viene visualizzata
una riga blu tra gli elementi dove è possibile
rilasciare gli elementi trascinati.
Vedere anche
Aggiungi regola o Modifica regola, Aggiungi gruppo o Modifica gruppo a pagina 145
144
Guida del prodotto
Uso di Firewall
4
Aggiungi regola o Modifica regola, Aggiungi gruppo o Modifica gruppo
Aggiunge o modifica le regole e i gruppi firewall.
Tabella 4-4
Opzioni
Sezione
Opzione
Definizione
Descrizione
Nome
Specifica il nome descrittivo dell'elemento
(obbligatorio).
Stato
Attiva o disattiva l'elemento.
Specifica azioni
Consenti – Consente il traffico tramite il firewall se
l'elemento corrisponde.
Regola Gruppo
Blocca – Blocca il traffico tramite il firewall se
l'elemento corrisponde.
Gestisci corrispondenza come intrusione: gestisce il traffico
che corrisponde alla regola come un'intrusione.
L'attivazione di questa opzione visualizza un avviso,
invia un evento al server di gestione e lo aggiunge al
file di registro di Client Endpoint Security.
Procedura consigliata: non attivare questa
opzione per una regola Consenti poiché è presente in
molti eventi.
Registra traffico corrispondente – Gestisce il traffico che
corrisponde alla regola come un rilevamento.
L'attivazione di questa opzione invia un evento al
server di gestione e lo aggiunge al file di registro di
Direzione
Specifica la direzione:
• Entrambe – Monitora il traffico in ingresso e quello in
uscita.
• Ingresso – Monitora il traffico in ingresso.
• Uscita – Monitora il traffico in uscita.
Posizione
Note
Attiva
riconoscimento
della posizione
Attiva o disattiva le informazioni di posizione per il
gruppo.
Nome
Specifica il nome della posizione (obbligatorio).
Guida del prodotto
145
4
Uso di Firewall
Tabella 4-4
Sezione
Opzioni (segue)
Opzione
Definizione
Attiva isolamento
connessione
Blocca il traffico su schede di rete che non
corrispondono al gruppo quando è presente una
scheda che corrisponde al gruppo.
Regola Gruppo
Le impostazioni per Trasporto ed Eseguibili non sono
disponibili per i gruppi di isolamento della
connessione.
Questa opzione blocca l'ingresso nella rete aziendale
del traffico generato da origini potenzialmente
indesiderate esterne alla rete. Questo tipo di blocco
del traffico è possibile solo se il traffico non è già stato
consentito da una regola che precede il gruppo nel
firewall.
Quando l'isolamento connessione è attivato e una
scheda NIC corrisponde al gruppo, il traffico viene
consentito solo se si applica una delle seguenti
condizioni:
• Il traffico corrisponde a una Regola di consenso prima
del gruppo.
• Il traffico che passa per la scheda NIC corrisponde al
gruppo ed è presente una regola nel gruppo o dopo
di esso che lo consente.
Se nessuna scheda NIC corrisponde al gruppo, questo
viene ignorato e prosegue il tentativo di far
corrispondere le regole.
Richiede la
raggiungibilità di
McAfee ePO
146
Attiva la corrispondenza del gruppo solo se presente la
comunicazione con il server McAfee ePO e se l'FQDN
del server è stato risolto.
Guida del prodotto
Uso di Firewall
Tabella 4-4
Sezione
4
Opzioni (segue)
Opzione
Definizione
Criteri posizione
• Suffisso DNS specifico per la connessione – Indica un
suffisso DNS specifico per la connessione con
formato: esempio.com.
Regola Gruppo
• Gateway predefinito – Specifica un unico indirizzo IP per
un gateway predefinito con formato IPv4 o IPv6.
• Server DHCP – Specifica un unico indirizzo IP per un
server DHCP con formato IPv4 o IPv6.
• Server DNS – Specifica un unico indirizzo IP per un
server DNS con formato IPv4 o IPv6.
• Server WINS principale – Specifica un unico indirizzo IP
per un server WINS principale con formato IPv4 o
IPv6.
• Server WINS secondario – Specifica un unico indirizzo IP
per un server WINS secondario con formato IPv4 o
IPv6.
• Raggiungibilità dominio: richiede che il dominio
specificato sia raggiungibile.
• Chiave di registro: specifica la chiave di registro e il
relativo valore.
2 Nella colonna Valore, specificare la chiave di
registro con il formato:
<ROOT>\<KEY>\[VALUE_NAME]
• <ROOT> – Deve indicare il nome completo
della directory principale, come
HKEY_LOCAL_MACHINE e non l'HKLM
abbreviato.
• <KEY> – È il nome chiave sotto la directory
principale.
• [VALUE_NAME] – È il nome del valore chiave.
Se non viene incluso il nome del valore, si
presume sia il valore predefinito.
Formati di esempio:
• IPv4 – 123.123.123.123
• IPv6 – 2001:db8:c0fa:f340:9219:
bd20:9832:0ac7
Specifica le opzioni host di rete applicabili
all'elemento.
Reti
Protocollo di rete
Specifica il protocollo di rete applicabile all'elemento.
Qualsiasi
protocollo
Consente sia i protocolli IP sia quelli non IP.
Se viene specificato un protocollo di trasporto o
un'applicazione, sono consentiti solo i protocolli IP.
Guida del prodotto
147
4
Uso di Firewall
Tabella 4-4
Sezione
Opzioni (segue)
Opzione
Definizione
Protocollo IP
Esclude i protocolli non IP.
Regola Gruppo
• Protocollo IPv4
• Protocollo IPv6
Se nessuna casella di controllo è selezionata, è
applicabile qualsiasi protocollo IP. Possono essere
selezionati entrambi i protocolli: IPv4 e IPv6.
Protocollo non IP
Include solo i protocolli non IP.
• Selezionare EtherType dall'elenco – Specifica un EtherType.
• Specificare EtherType personalizzato – Specifica i quattro
caratteri del valore esadecimale EtherType del
protocollo non IP. Vedere Numeri Ethernet per i
valori EtherType. Ad esempio, immettere 809B per
AppleTalk, 8191 per NetBEUI o 8037 per IPX.
Tipi di
connessione
Indica se uno o tutti i tipi di connessione sono
applicabili:
• Cablata
• Wireless
• Virtuale
Un tipo di connessione Virtuale consiste in un
adattatore presentato da una VPN o un'applicazione
macchina virtuale, come VMware, piuttosto che un
adattatore fisico.
Specifica reti
Specifica le reti applicabili all'elemento.
• Aggiungi – Crea e aggiunge una rete.
• Doppio clic su un elemento – Modifica l'elemento
selezionato.
• Elimina – Rimuove la rete dall'elenco.
Trasporto
148
Specifica le opzioni di trasporto applicabili
all'elemento.
Guida del prodotto
Uso di Firewall
Tabella 4-4
Sezione
4
Opzioni (segue)
Opzione
Definizione
Protocollo di
trasporto
Specifica il protocollo di trasporto associato
all'elemento.
Regola Gruppo
Selezionare il protocollo, quindi fare clic su Aggiungi per
aggiungere porte.
• Tutti i protocolli: sono consentiti i protocolli IP, non IP e
non supportati.
• TCP e UDP: selezionare dall'elenco a discesa:
• Porta locale: specifica il servizio o la porta del traffico
locale ai quali è applicabile l'elemento.
• Porta remota – Specifica il servizio o la porta su un
altro computer ai quali è applicabile l'elemento.
Porta locale e Porta remota possono essere:
• Un singolo servizio. Ad esempio, 23.
• Un intervallo. Ad esempio, 1–1024.
• Un elenco separato da virgole di singole porte e
intervalli. Ad esempio, 80, 8080, 1–10, 8443 (fino
a 4 elementi).
Per impostazione predefinita, le regole sono
applicabili a tutti i servizi e porte.
• ICMP – Nel menu a discesa Tipo di messaggio, specificare
un tipo di messaggio ICMP. Vedere ICMP.
• ICMPv6 – Nel menu a discesa Tipo di messaggio,
specificare un tipo di messaggio ICMP. Vedere
ICMPv6.
• Altro – Esegue la selezione da un elenco di protocolli
meno comuni.
Eseguibili
Specifica gli eseguibili applicabili alla regola.
• Aggiungi – Crea e aggiunge un eseguibile.
• Doppio clic su un elemento – Modifica l'elemento
selezionato.
• Elimina – Rimuove un eseguibile dall'elenco.
Pianificazione
Specifica le impostazioni di pianificazione per la regola
o il gruppo.
Guida del prodotto
149
4
Uso di Firewall
Tabella 4-4
Sezione
Opzioni (segue)
Opzione
Definizione
Attiva
pianificazione
Attiva la pianificazione per la regola o il gruppo a
tempo.
Regola Gruppo
Con la pianificazione disattivata, la regola o le regole
nel gruppo non vengono applicate.
• Ora di inizio – Specifica l'ora di inizio per l'attivazione
della pianificazione.
• Ora di fine – Specifica l'ora per la disattivazione della
pianificazione.
• Giorni della settimana – Specifica i giorni della
settimana per l'attivazione della pianificazione.
Per l'ora di inizio e di fine, utilizzare un formato orario
di 24 ore. Ad esempio, 13:00 = 1:00 PM.
È possibile pianificare i gruppi a tempo di Firewall o
consentire all'utente di attivarli dall'icona della barra
delle applicazioni McAfee.
Disattiva
pianificazione e
attiva il gruppo
dall'icona della
barra delle
applicazioni di
sistema McAfee
Specifica che l'utente può attivare il gruppo a tempo
per un numero definito di minuti dall'icona della barra
delle applicazioni di sistema di McAfee anziché
utilizzando la pianificazione.
Procedura consigliata: utilizzare questa opzione
per consentire un ampio accesso di rete, ad
esempio in un hotel, prima di poter stabilire una
connessione VPN.
Selezionando questa opzione vengono visualizzate più
opzioni di menu in Impostazioni rapide, nell'icona della
barra delle applicazioni di sistema di McAfee:
• Attiva gruppi a tempo Firewall: attiva i gruppi a tempo per
un periodo definito per consentire l'accesso a
Internet prima dell'applicazione di regole che
limitano l'accesso. Se i gruppi a tempo sono attivati,
l'opzione è Disattiva gruppi a tempo Firewall.
Ogni volta che si seleziona questa opzione, il tempo
dei gruppi viene reimpostato.
In base alle impostazioni, potrebbe essere richiesto
di fornire all'amministratore una motivazione per
l'attivazione dei gruppi a tempo.
• Visualizza gruppi a tempo Firewall: visualizza i nomi dei
gruppi a tempo e il periodo rimanente di attività di
ciascun gruppo.
Numero di minuti
(1-60) per attivare
il gruppo
150
Specifica il numero di minuti (1-60) di attivazione del
gruppo a tempo dopo la selezione di Attiva gruppi a tempo
Firewall dall'icona della barra delle applicazioni di
McAfee.
Guida del prodotto
Uso di Firewall
4
Vedere anche
Creazione di gruppi a tempo a pagina 139
a pagina 126
Aggiungi rete o Modifica rete a pagina 152
Aggiunge o modifica un eseguibile associato a una regola o gruppo.
Tabella 4-5
Opzioni
Opzione
Definizione
Nome
file, Descrizione del file, Hash MD5 o firmatario.
Nome o percorso
file
Descrizione del file
Indica la descrizione del file.
Hash MD5
Guida del prodotto
151
4
Uso di Firewall
Tabella 4-5
Opzioni (segue)
Opzione
Definizione
Firmatario
4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il nome
distinto del firmatario. Ad esempio, Firefox dispone di questo SDN:
• S = California
• C = Stati Uniti
Note
Aggiungi rete o Modifica rete
Aggiunge o modifica una rete associata a una regola o gruppo.
Tabella 4-6
Opzioni
Opzione
Definizione
Nome
Specifica il nome dell'indirizzo di rete (obbligatorio).
Tipo
Consente di selezionare:
Regola Gruppo
• Rete locale – Crea e aggiunge una rete locale.
• Rete remota – Crea e aggiunge una rete remota.
152
Aggiungi
Aggiunge un tipo di rete all'elenco di reti.
Doppio clic su un
elemento
Elimina
elimina l'elemento selezionato.
Guida del prodotto
Uso di Firewall
Tabella 4-6
4
Opzioni (segue)
Opzione
Definizione
Regola Gruppo
Tipo di indirizzo
Specifica l'origine o la destinazione del traffico. Selezionare
dall'elenco a discesa Tipo di indirizzo.
Indirizzo
Specifica l'indirizzo IP da aggiungere alla rete.
I caratteri jolly sono validi.
Vedere anche
Tipo di indirizzo a pagina 153
Tipo di indirizzo
Specificare il tipo di indirizzo per una specifica rete.
Tabella 4-7
Opzioni
Opzione
Definizione
IP singolo
Specifica un particolare indirizzo IP. Ad esempio:
• IPv4 – 123.123.123.123
• IPv6 – 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Sottorete
Specifica l'indirizzo della sottorete di qualsiasi adattatore nella rete. Ad esempio:
• IPv4 – 123.123.123.0/24
• IPv6 – 2001:db8::0/32
Sottorete locale
Specifica l'indirizzo della sottorete dell'adattatore locale.
Intervallo
Specifica un intervallo di indirizzi IP. Inserire il punto di inizio e il punto di fine
dell'intervallo. Ad esempio:
• IPv4 – 123.123.1.0 – 123.123.255.255
• IPv6 – 2001:db8::0000:0000:0000:0000 –
2001:db8::ffff:ffff:ffff:ffff
Nome di dominio
completo
Specifica l'FQDN. Ad esempio, www.esempio.com.
Qualsiasi indirizzo IP
locale
Specifica qualsiasi indirizzo IP locale.
Qualsiasi indirizzo IPv4
Specifica qualsiasi indirizzo IPv4.
Qualsiasi indirizzo IPv6
Specifica qualsiasi indirizzo IPv6.
Guida del prodotto
153
4
Uso di Firewall
154
Guida del prodotto
5
Accedere alle funzionalità di protezione di Controllo Web dal browser durante la navigazione o la
ricerca.
Sommario
Informazioni sulle funzioni di Controllo Web
Accedere alle funzionalità di Controllo Web
Gestione di Controllo Web
Riferimento interfaccia client — Controllo Web
Poiché viene eseguito su ogni sistema gestito, Controllo Web segnala le minacce all'utente mentre si
effettuano ricerche o si naviga sui siti Web.
Un team di McAfee analizza ciascun sito Web e assegna classificazioni di sicurezza con codifica a colori
in base ai risultati del test. Il colore indica il livello di sicurezza del sito.
Il software utilizza i risultati del test per segnalare all'utente le minacce basate sul Web che si
potrebbero incontrare.
Sulle pagine dei risultati di ricerca – Viene visualizzata un'icona accanto a ciascun sito in elenco. Il
colore dell'icona indica la classificazione di sicurezza del sito. L'utente può accedere a ulteriori
informazioni con le icone.
Nella finestra del browser – Viene visualizzato un pulsante. Il colore del pulsante indica la
classificazione della sicurezza del sito. È possibile accedere a ulteriori informazioni facendo clic sul
pulsante.
Il pulsante segnala anche quando si verificano problemi di comunicazione e offre un accesso rapido a
test che consentono di identificare problemi comuni.
Nei rapporti sulla sicurezza – I dettagli mostrano in che modo è stata calcolata la classificazione di
sicurezza in base ai tipi di minacce rilevate, ai risultati dei test e ad altri dati.
Per i sistemi gestiti, gli amministratori creano policy per:
•
Attivare e disattivare Controllo Web sul sistema e impedire o consentire la disattivazione del plug-in
del browser.
•
Controllare l'accesso a siti, pagine e download in base alla classificazione della sicurezza o al tipo di
contenuto.
Ad esempio, blocco dei siti rossi e avvisi per gli utenti che provano ad accedere ai siti gialli.
•
Identificare i siti come bloccati o consentiti, in base agli URL e ai domini.
Guida del prodotto
155
5
•
Impedire di disinstallare o modificare file, chiavi di registro, valori di registro, servizi e processi di
Controllo Web.
•
Personalizzare la notifica visualizzata quando si tenta di accedere a un sito Web bloccato.
•
Monitorare e regolare l'attività del browser sui computer della rete e creare report dettagliati sui siti
Web.
Per i sistemi autogestiti, è possibile configurare le impostazioni per:
•
Attivare e disattivare Controllo Web sul sistema.
•
Controllare l'accesso a siti, pagine e download in base alla classificazione della sicurezza o al tipo di
contenuto.
Ad esempio, blocco dei siti rossi e avvisi per gli utenti che provano ad accedere ai siti gialli.
Il software supporta i browser Microsoft Internet Explorer, Mozilla Firefox e Google Chrome.
Nei sistemi autogestiti, per impostazione predefinita sono consentiti tutti i browser (supportati e non
supportati).
Chrome non supporta l'opzione Mostra area commenti.
Vedere anche
Il pulsante Controllo Web identifica le minacce durante la navigazione a pagina 157
Identificazione delle minacce durante la ricerca mediante le icone di sicurezza a pagina 158
Fornitura di dettagli da parte dei rapporti sul sito a pagina 158
Compilazione delle classificazioni di sicurezza a pagina 159
Modalità di blocco o segnalazione di un sito o download da
parte di Controllo Web
Quando un utente visita un sito che è stato bloccato o segnalato, Controllo Web mostra una pagina o
un messaggio popup che ne indica il motivo.
Se le azioni di classificazione dei siti sono impostate su:
•
Avviso - Controllo Web mostra un avviso per informare gli utenti delle potenziali minacce associate
al sito.
•
Facendo clic su Annulla, l'utente ritorna al sito precedente.
Se in precedenza non sono stati visitati altri siti, Annulla non è disponibile.
•
•
Facendo clic su Continua, l'utente accede al sito.
Blocca - Controllo Web mostra un messaggio che indica il blocco del sito.
Facendo clic su OK, l'utente ritorna al sito precedente.
Se in precedenza non sono stati visitati altri siti, OK non è disponibile.
Se le azioni di classificazione dei download sono impostate su:
•
•
Avviso - Controllo Web mostra un avviso per informare gli utenti delle potenziali minacce associate
al download del file.
•
Blocca previene il download e ritorna al sito.
•
Continua procede con il download.
Blocca - Controllo Web mostra un messaggio che indica il blocco del sito e previene il download.
Facendo clic su OK, l'utente ritorna al sito.
156
Guida del prodotto
5
Il pulsante Controllo Web identifica le minacce durante la
navigazione
Quando si accede a un sito Web, nel browser viene visualizzato un pulsante con codifica a colori
. Il colore del pulsante corrisponde alla classificazione della sicurezza del sito.
La classificazione della sicurezza si applica solo agli URL con protocollo HTTP e HTTPS.
Internet Explorer
e Safari
(Macintosh)
Firefox e
Chrome
Descrizione
Questo sito viene controllato quotidianamente e certificato
come sicuro da McAfee SECURE . (solo Windows)
™
Questo sito è sicuro.
Questo sito potrebbe presentare dei problemi.
Questo sito presenta dei problemi gravi.
Non è disponibile una classificazione per questo sito.
Questo pulsante viene visualizzato per gli URL con protocollo
FILE (file://).
Si è verificato un errore di comunicazione con il server McAfee
GTI che contiene le informazioni di classificazione.
Controllo Web non ha posto una query a McAfee GTI per
questo sito e ciò indica che il sito è interno o si trova in un
intervallo di indirizzi IP privati.
Questo è un sito di phishing.
Il phishing è un tentativo di acquisizione di informazioni
riservate, come nomi utente, password e dettagli di carte di
credito. I siti di phishing si nascondono sotto le false spoglie
di enti affidabili in una comunicazione elettronica.
Un'impostazione consente questo sito.
Un'impostazione ha disattivato Controllo Web.
La posizione del pulsante dipende dal browser:
•
Internet Explorer - Barra degli strumenti Controllo Web
•
Firefox – Angolo destro della barra degli strumenti Firefox
•
Chrome - Barra degli indirizzi
Vedere anche
Visualizzazione di informazioni su un sito durante la navigazione a pagina 161
Guida del prodotto
157
5
Identificazione delle minacce durante la ricerca mediante le
icone di sicurezza
Quando l'utente digita parole chiave in un motore di ricerca come Google, Yahoo, Bing o Ask, vengono
visualizzate icone di sicurezza accanto ai siti nella pagina dei risultati della ricerca. Il colore del
pulsante corrisponde alla classificazione di sicurezza del sito.
I test non hanno rivelato problemi significativi.
I test hanno rilevato problemi dei quali informare l'utente. Ad esempio, il sito ha cercato di
modificare le impostazioni predefinite del browser di chi ha eseguito il test, ha visualizzato
popup o inviato a chi ha eseguito il test una quantità significativa di email non classificate come
spam.
I test hanno rilevato problemi gravi che l'utente deve tenere in considerazione prima di accedere
a questo sito. Ad esempio, il sito ha inviato a chi ha eseguito il test email di spam o adware in
bundle con un download.
Un'impostazione ha bloccato questo sito.
Questo sito non è classificato.
Vedere anche
Visualizzazione del rapporto sul sito durante le ricerche a pagina 161
Fornitura di dettagli da parte dei rapporti sul sito
L'utente può visualizzare il rapporto sul sito per un sito Web per dettagli sulle minacce specifiche.
I rapporti sul sito sono forniti dal server delle classificazioni McAfee GTI e offrono le seguenti
informazioni.
Questo
elemento...
Indica...
Panoramica
La classificazione complessiva del sito Web, determinata da questi test:
• Vengono valutate le pratiche di email e download di un sito Web utilizzando
tecniche proprietarie di raccolta e analisi dei dati.
• Viene esaminato il sito Web stesso per verificare se attiva pratiche fastidiose quali
popup eccessivi o richieste di modifica della home page.
• Viene eseguita un'analisi delle affiliazioni online per valutare se il sito è associato
ad altri siti sospetti.
• La valutazione dei siti sospetti di McAfee viene integrata con i commenti dei servizi
Threat Intelligence.
Affiliazioni
online
Indicazione del livello di aggressività con cui il sito tenta di indirizzare ad altri siti
contrassegnati da McAfee come rossi.
I siti sospetti spesso si associano con altri siti sospetti. Lo scopo principale dei siti
feeder è quello di far visitare il sito sospetto. Un sito può essere classificato in rosso
se, ad esempio, collega in modo troppo aggressivo ad altri siti rossi. In questo caso,
Controllo Web considera il sito come rosso per associazione.
158
Guida del prodotto
5
Questo
elemento...
Indica...
Test di spam
Web
La classificazione complessiva delle procedure di invio di email di un sito Web, in
base ai risultati dei test.
McAfee classifica i siti in base alla quantità di messaggi email ricevuti dopo aver
inserito un indirizzo nel sito e al fatto che tali messaggi siano di spam. Se uno di
questi valori è superiore a quanto considerato accettabile, McAfee classifica il sito
come giallo. Se entrambi i valori sono elevati o se uno dei due è particolarmente
elevato, McAfee classifica il sito come rosso.
Test di
download
La classificazione complessiva dell'impatto che un software scaricabile dal sito ha
avuto sul computer che ha eseguito il test, in base ai risultati del test.
McAfee contrassegna come rossi i siti con download con virus o che aggiungono
software non correlato che molti utenti considererebbero adware o spyware. La
classificazione tiene anche conto dei server di rete contattati dal programma
scaricato durante la sua esecuzione, nonché di eventuali modifiche alle impostazioni
del browser o ai file di registro del computer.
Vedere anche
Compilazione delle classificazioni di sicurezza
Un team McAfee sviluppa le classificazioni di sicurezza tramite la verifica di numerosi criteri per ogni
sito e la valutazione dei risultati in modo da rilevare le minacce comuni.
La compilazione delle classificazioni di sicurezza per un sito web a seguito delle verifiche automatiche
viene eseguita mediante:
•
Download di file per verificare la presenza di virus e programmi potenzialmente indesiderati uniti al
download.
•
Immissione delle informazioni di contatto nei moduli di registrazione e verifica dello spam risultante
o di un volume elevato di email non indesiderate provenienti dal sito o dalle sue affiliate.
•
Verifica di una presenza eccessiva di finestre popup.
•
Verifica dei tentativi da parte del sito di sfruttare le vulnerabilità del browser.
•
Verifica di eventuali pratiche ingannevoli o fraudolente utilizzate da un sito.
Il team inserisce i risultati delle verifiche in un rapporto sulla sicurezza, che può anche contenere:
•
Commenti inviati dal proprietario del sito, che possono includere descrizioni delle precauzioni di
sicurezza utilizzate dal sito o risposte ai commenti degli utenti sul sito.
•
Commenti inviati dagli utenti del sito, che possono comprendere rapporti sui messaggi di phishing o
sulle esperienze negative durante gli acquisti.
•
Ulteriori analisi effettuate da esperti McAfee.
Il server McAfee GTI archivia le classificazioni sito e i report.
Guida del prodotto
159
5
È possibile accedere alle funzionalità di Controllo Web dal browser.
Attività
•
Attivazione del plug-in Controllo Web dal browser a pagina 160
In alcuni browser, è necessario attivare manualmente il plug-in Controllo Web per ricevere
una notifica delle minacce basate su Web quando si naviga e si effettuano ricerche.
•
Utilizzare il pulsante Controllo Web nel browser per visualizzare informazioni su un sito. Il
funzionamento del pulsante varia a seconda del browser.
•
Utilizzare l'icona di sicurezza nella pagina dei risultati della ricerca per visualizzare ulteriori
informazioni riguardo al sito.
Attivazione del plug-in Controllo Web dal browser
In alcuni browser, è necessario attivare manualmente il plug-in Controllo Web per ricevere una notifica
delle minacce basate su Web quando si naviga e si effettuano ricerche.
Prima di iniziare
È necessario attivare il modulo Controllo Web.
Al primo avvio di Internet Explorer o Chrome, viene chiesto di attivare i plug-in. Il plug-in Controllo
Web è attivato per impostazione predefinita in Firefox.
Attività
•
Quando viene visualizzata la richiesta, fare clic sul pulsante per attivare il plug-in.
Internet
Explorer
• Fare clic su Attiva.
• Se è disponibile più di un plug-in, fare clic su Scegli componenti aggiuntivi, quindi
fare clic su Attiva in corrispondenza della barra degli strumenti Controllo Web.
Chrome
Fare clic su Attiva estensione.
Firefox
• Fare clic su Componenti aggiuntivi | Estensioni.
• Fare clic su Attiva per attivare l'estensione Controllo Web Endpoint Security.
• Riavviare Firefox.
In Internet Explorer, se si disattiva la barra degli strumenti Controllo Web, viene chiesto di
disattivare anche il plug-in Controllo Web. Per i sistemi gestiti, se le impostazioni della policy
impediscono la disinstallazione o la disattivazione del plug-in, il plug-in Controllo Web resta attivato
anche se la barra degli strumenti non è visibile.
160
Guida del prodotto
5
Visualizzazione di informazioni su un sito durante la
navigazione
Utilizzare il pulsante Controllo Web nel browser per visualizzare informazioni su un sito. Il
funzionamento del pulsante varia a seconda del browser.
Prima di iniziare
•
È necessario attivare il modulo Controllo Web.
•
Il plug-in Controllo Web deve essere attivato nel browser.
•
L'opzione Nascondi barra degli strumenti nel browser client nelle impostazioni Opzioni deve essere
disattivata.
Quando Internet Explorer è in modalità a schermo intero, la barra degli strumenti di Controllo Web non
viene visualizzata.
Per visualizzare il menu Controllo Web:
Internet Explorer e Firefox
Chrome
Fare clic sul pulsante
Fare clic sul pulsante
nella barra degli strumenti.
nella barra degli indirizzi.
Attività
1
Visualizzare un'area commenti con un riepilogo della classificazione della sicurezza del sito:
posizionare il cursore sopra il pulsante nella barra degli strumenti Controllo Web.
(Solo Internet Explorer e Firefox)
2
Visualizzare il rapporto sul sito dettagliato, che include ulteriori informazioni sulla classificazione
della sicurezza del sito:
•
Fare clic sul pulsante Controllo Web.
•
Selezionare Visualizza rapporto sul sito dal menu Controllo Web.
•
Fare clic sul link Leggere il rapporto sul sito nell'area commenti del sito. (Solo Internet Explorer e
Firefox)
Vedere anche
Il pulsante Controllo Web identifica le minacce durante la navigazione a pagina 157
Visualizzazione del rapporto sul sito durante le ricerche
Utilizzare l'icona di sicurezza nella pagina dei risultati della ricerca per visualizzare ulteriori
informazioni riguardo al sito.
Attività
1
Posizionare il cursore sull'icona di sicurezza. Nel testo dell'area commenti viene visualizzato un
riepilogo del rapporto sulla sicurezza.
2
Fare clic su Leggi rapporto sul sito nell'area commenti per aprire un rapporto sulla sicurezza del sito
dettagliato in un'altra finestra del browser.
Vedere anche
Identificazione delle minacce durante la ricerca mediante le icone di sicurezza a pagina 158
Guida del prodotto
161
5
In qualità di amministratore, è possibile specificare le impostazioni Controllo Web per consentire e
personalizzare la protezione, impostare blocchi in base alle categorie Web e registrare la
configurazione.
Configurazione delle opzioni Controllo Web
È possibile attivare Controllo Web e configurare le opzioni dal client Client Endpoint Security.
Prima di iniziare
Attività
1
2
Fare clic su Controllo Web nella pagina Stato principale.
Impostazioni.
162
3
4
, selezionare Impostazioni, quindi fare clic su Controllo Web nella pagina
Guida del prodotto
5
5
Selezionare Attiva Controllo Web per attivare Controllo Web e modificarne le opzioni.
Per...
Eseguire questa
operazione...
Note
Nascondere la barra
degli strumenti di
Controllo Web nel
browser senza
disattivare la
protezione.
Selezionare Nascondi barra degli
strumenti nel browser client.
Rilevare eventi browser
da utilizzare per i
report.
Configurare le impostazioni nella Configurare gli eventi Controllo Web
sezione Registrazione eventi.
inviati dai sistemi client al server di
gestione, da utilizzare per query e
report.
Attivare blocco o avviso
per URL sconosciuti.
In Imposizione azione, selezionare
l'azione (Blocca, Consenti o Avvisa)
per i siti non ancora verificati da
McAfee GTI.
Eseguire la scansione
dei file prima del
download.
In Imposizione azione, selezionare
Attiva scansione file per il download di
file, quindi selezionare il livello di
rischio McAfee GTI da bloccare.
Aggiungere siti esterni
alla rete privata locale.
In Imposizione azione, accanto a
Specifica altri indirizzi IP o intervalli da
consentire, fare clic su Aggiungi,
quindi immettere un indirizzo IP
o un intervallo.
Bloccare la
visualizzazione di siti
rischiosi nei risultati di
ricerca.
In Ricerca sicura, selezionare Attiva
ricerca sicura, selezionare il
motore di ricerca e specificare
se bloccare i collegamenti ai siti
rischiosi.
Ricerca sicura filtra automaticamente i
siti dannosi nei risultati di ricerca in
base alla classificazione di sicurezza.
Controllo Web utilizza Yahoo come
motore di ricerca predefinito e
supporta la Ricerca sicura solo su
Internet Explorer.
Se viene modificato il motore di
ricerca predefinito, riavviare il
browser affinché la modifica venga
applicata.
Al successivo accesso dell'utente a
Internet Explorer, Controllo Web
mostra un popup che richiede
all'utente di passare alla ricerca sicura
McAfee con il motore di ricerca
specificato. Nelle versioni di Internet
Explorer in cui il motore di ricerca è
bloccato, il popup di Ricerca sicura
non viene visualizzato.
6
Configurare le altre opzioni in base alle esigenze.
7
Vedere anche
Come viene eseguita la scansione dei download di file a pagina 164
Guida del prodotto
163
5
Come viene eseguita la scansione dei download di file
Controllo Web invia richieste relative al download dei file a Prevenzione delle minacce, affinché venga
eseguita la scansione prima del download.
164
Guida del prodotto
5
di file sospetti.
•
•
Specificare azioni di classificazione e bloccare l'accesso ai siti
in base alla categoria Web
Configurare le impostazioni della policy Azioni contenuto per specificare le azioni applicabili ai siti e ai
download di file, sulla base di classificazioni di sicurezza. Facoltativamente, specificare di bloccare o
consentire siti in ogni categoria Web.
Prima di iniziare
Utilizzare le impostazioni in Messaggi di imposizione per personalizzare il messaggio da visualizzare per
siti e download di file bloccati o con avviso e le pagine di phishing bloccate.
Attività
1
2
Fare clic su Controllo Web nella pagina Stato principale.
Impostazioni.
, selezionare Impostazioni, quindi fare clic su Controllo Web nella pagina
3
4
Fare clic su Azioni contenuto.
5
Nella sezione Blocco categoria Web, per ogni Categoria Web, attivare o disattivare l'opzione Blocca.
Per i siti nelle categorie non bloccate, Controllo Web applica anche le azioni di classificazione.
Guida del prodotto
165
5
6
Nella sezione Azioni classificazione, specificare le azioni da applicare a tutti i siti e download di file,
sulle base delle classificazioni di sicurezza definite da McAfee.
Queste azioni sono applicabili anche ai siti non bloccati da un blocco categoria Web.
7
Vedere anche
Uso delle categorie Web per controllare l'accesso a pagina 166
Utilizzo di classificazioni di sicurezza per controllare gli accessi a pagina 166
Uso delle categorie Web per controllare l'accesso
Le categorie Web consentono di controllare l'accesso ai siti, in base alle categorie definite da McAfee. È
possibile specificare opzioni per consentire o bloccare l'accesso ai siti in base alla categoria di
contenuto.
Quando viene attivato il blocco delle categorie Web nelle impostazioni della policy Azioni contenuto, il
software blocca o consente categorie di siti Web. Le categorie includono: Gioco d'azzardo, Giochi e
Messaggistica immediata. McAfee definisce e mantiene un elenco di circa 105 categorie Web.
Quando un utente client accede a un sito, il software ne verifica la categoria Web. Se il sito rientra in
una categoria definita, l'accesso viene bloccato o consentito in base alle impostazioni della policy
Azioni contenuto. Per i siti e i download di file nelle categorie non bloccate, il software applica le Azioni
classificazione specificate.
Utilizzo di classificazioni di sicurezza per controllare gli accessi
Per specificare se gli utenti possono accedere a un sito o alle risorse di un sito, configurare le azioni in
base alle classificazioni di sicurezza.
È possibile specificare opzioni di accesso consentito, blocco o avviso per ogni sito o download di file, in
base alla classificazione. Questa impostazione consente un maggior livello di granularità nella
protezione degli utenti da file che potrebbero rappresentare una minaccia in siti con una classificazione
complessiva verde.
Sommario
Controllo Web - Opzioni
Controllo Web - Azioni contenuto
Controllo Web - Opzioni
Configura le impostazioni generali di Controllo Web, che includono l'attivazione, la specifica
dell'imposizione di azioni, la ricerca sicura e le annotazioni email.
166
Guida del prodotto
5
Tabella 5-1
Opzioni
Sezione
Opzione
Definizione
OPZIONI
Attiva Controllo Web
Disattiva o attiva Controllo Web. (Attivato per impostazione
predefinita)
Nascondi barra degli
strumenti nel browser
client
Nasconde la barra degli strumenti di Controllo Web nel browser
senza disattivarne le funzionalità. (Disattivato per impostazione
predefinita)
Registra categorie Web
per siti classificati come
verdi
Registra le categorie di contenuti per tutti i siti classificati come
verdi.
Registra eventi iFrame
Controllo Web
Registra il blocco dei siti pericolosi (rossi) e con avviso (gialli)
visualizzati in un iframe HTML.
Applica questa azione ai
siti non ancora verificati
da McAfee GTI
Specifica l'azione predefinita da applicare ai siti non ancora
classificati da McAfee GTI.
Registrazione
eventi
Imposizione
azione
La disattivazione di questa funzione può incidere negativamente
sulle performance del server McAfee ePO.
• Consenti (opzione predefinita) – Consente agli utenti di accedere
al sito.
• Avvisa – Mostra un avviso per informare gli utenti delle potenziali
minacce associate al sito. Gli utenti dovranno chiudere l'avviso
per poter procedere.
• Blocca – Impedisce agli utenti di accedere al sito e mostra un
messaggio che indica il blocco del download del sito.
Attiva supporto di iFrame Blocca l'accesso ai siti pericolosi (Rosso) e con avviso (Giallo )
HTML
visualizzati in un iframe HTML. (Attivato per impostazione
predefinita)
Blocca siti per
Blocca l'accesso ai siti Web per impostazione predefinita se
impostazione predefinita Controllo Web non può raggiungere il server McAfee GTI.
se il server delle
classificazioni McAfee
GTI non è raggiungibile
Blocca pagine di
phishing per tutti i siti
Blocca tutte le pagine di phishing, sovrascrivendo le azioni di
classificazione dei contenuti. (Attivato per impostazione
predefinita)
Attiva scansione file per
il download di file
Esegue la scansione di tutti i file
(.zip, .exe, .ecx, .cab, .msi, .rar, .scr, and .com) prima del
download. (Attivato per impostazione predefinita)
Questa opzione impedisce agli utenti di accedere a un file
scaricato fino a quando Controllo Web e Prevenzione delle
minacce lo contrassegnano come non infetto.
Controllo Web esegue una ricerca McAfee GTI nel file. Se McAfee
GTI consente l'accesso al file, Controllo Web invia il file a
Prevenzione delle minacce per la scansione. Se un file scaricato
viene rilevato come minaccia, Endpoint Security esegue un'azione
sul file e avvisa l'utente.
Livello di sensibilità di
McAfee GTI
Specifica il livello di sensibilità di McAfee GTI che Controllo Web
utilizza per i download.
Guida del prodotto
167
5
Tabella 5-1
Opzioni (segue)
Sezione
Opzione
Definizione
Esclusioni
Specifica gli indirizzi o
gli intervalli IP da
escludere dalle
classificazioni e/o dal
blocco di Controllo Web
Aggiunge gli indirizzi IP e gli intervalli specificati alla rete privata
locale, escludendoli da classificazione o blocco.
Gli indirizzi IP privati sono esclusi per impostazione predefinita.
Procedura consigliata: usare questa opzione per trattare i siti
esterni come se facessero parte della rete locale.
• Aggiungi: aggiunge un indirizzo IP all'elenco degli indirizzi privati
nella rete locale.
• Elimina: elimina un indirizzo IP dall'elenco degli indirizzi privati
nella rete locale.
Ricerca sicura
Attiva ricerca sicura
Ricerca sicura blocca automaticamente i siti dannosi nei risultati di
ricerca in base alla classificazione della sicurezza.
Imposta il motore di
ricerca predefinito nei
browser supportati
Specifica il motore di ricerca predefinito da utilizzare nei browser
supportati:
• Yahoo
• Google
• Bing
• Ask
Blocca i link a siti
rischiosi nei risultati di
ricerca
Impedisce agli utenti di fare clic su link a siti rischiosi nei risultati
di ricerca.
Sezione
Opzione
Definizione
Annotazioni email Attiva annotazioni nelle email basate su Prende nota degli URL nei client email basati su
browser
browser, come Yahoo Mail e Gmail.
Attiva annotazioni nelle email non
basate su browser
Prende nota degli URL negli strumenti di gestione
delle email a 32 bit, come Microsoft Outlook o
Outlook Express.
Vedere anche
Configurazione delle opzioni Controllo Web a pagina 162
Come viene eseguita la scansione dei download di file a pagina 164
Controllo Web - Azioni contenuto
Definisce le azioni da intraprendere per siti e categorie di contenuti Web classificati.
Per i siti e i download di file nelle categorie non bloccate, Controllo Web applica le azioni di
classificazione.
168
Guida del prodotto
5
Tabella 5-4
Opzioni
Sezione
Opzione
Definizione
Azioni
classificazione
Azioni
Specifica le azioni per i siti classificati come rossi, gialli oppure non
classificazione per classificati.
siti
Siti e download classificati come verdi vengono consentiti
automaticamente.
• Consenti – Consente agli utenti di accedere al sito.
(Opzione predefinita per i siti classificati come Non classificato)
• Avvisa – Mostra un avviso per informare gli utenti delle potenziali
minacce associate al sito.
Fare clic su Annulla per ritornare alla pagina precedente o su Continua
per procedere al sito.
Se in precedenza non sono stati visitati altri siti, Annulla non è
disponibile.
(Opzione predefinita per i siti classificati come Giallo)
• Blocca – Impedisce agli utenti di accedere al sito e mostra un
messaggio che indica il blocco del sito.
Fare clic su OK per ritornare alla pagina precedente.
Se in precedenza non sono stati visitati altri siti, OK non è
disponibile.
(Opzione predefinita per i siti classificati come Rosso)
Azioni di
Specifica le azioni per i download di file classificati come rossi, gialli o
classificazione per non classificati.
i download di file
Queste Azioni di classificazione sono applicabili solo quando Attiva
scansione file per il download di file è attivato nelle impostazioni di Opzioni.
• Consenti: consente agli utenti di procedere con il download.
(Opzione predefinita per i siti classificati come Non classificato)
• Avvisa – Visualizza un avviso per segnalare agli utenti i potenziali
pericoli associati al file di download. L'avviso va chiuso prima di
terminare o di procedere con il download.
(Opzione predefinita per i siti classificati come Giallo)
• Blocca - Un messaggio segnala il blocco del download e impedisce
agli utenti di scaricare il file.
(Opzione predefinita per i siti classificati come Rosso)
Per personalizzare il messaggio, è possibile utilizzare le opzioni in
Messaggi di imposizione.
Sezione
Opzione
Definizione
Blocco categoria Web Attiva blocco categoria Web Attiva il blocco dei siti in base alla categoria di contenuto.
Blocca
Impedisce agli utenti di accedere a qualsiasi sito che rientra
in questa categoria e mostra un messaggio che indica il
blocco del sito.
Categoria Web
Elenca le categorie Web.
Guida del prodotto
169
5
Vedere anche
Specificare azioni di classificazione e bloccare l'accesso ai siti in base alla categoria Web a
pagina 165
Utilizzo di classificazioni di sicurezza per controllare gli accessi a pagina 166
Uso delle categorie Web per controllare l'accesso a pagina 166
170
Guida del prodotto
6
Intelligence sulle minacce offre una sicurezza adattiva in base al contesto per ambienti di rete.
Intelligence sulle minacce Endpoint Security è un modulo facoltativo di Endpoint Security. Per ulteriori
risorse e funzionalità di Intelligence sulle minacce, distribuire il server Threat Intelligence Exchange.
Per informazioni, contattare il rivenditore o il rappresentante commerciale.
Sommario
Funzionamento di Intelligence sulle minacce
Gestione di Intelligence sulle minacce
Riferimento interfaccia client — Intelligence sulle minacce
Funzionamento di Intelligence sulle minacce
Intelligence sulle minacce usa l'infrastruttura Data Exchange Layer per condividere immediatamente le
informazioni di file e minacce nell'intera rete.
In precedenza, veniva inviato un certificato o un file sconosciuto a McAfee per l'analisi, quindi le
informazioni sul file venivano aggiornate in rete nei giorni successivi. Intelligence sulle minacce
consente di controllare la reputazione di file a livello locale, nell'ambiente di lavoro. L'utente decide
quali file è possibile eseguire e quali bloccare, quindi Data Exchange Layer condivide immediatamente
le informazioni nell'ambiente di lavoro.
Scenari di utilizzo di Intelligence sulle minacce
•
Bloccare immediatamente un file: Intelligence sulle minacce notifica all'amministratore di rete
la presenza di un file sconosciuto nell'ambiente di lavoro. Anziché inviare le informazioni del file a
McAfee per l'analisi, l'amministratore blocca immediatamente il file. L'amministratore può quindi
utilizzare Intelligence sulle minacce per rilevare se il file è una minaccia e quanti sistemi lo hanno
eseguito.
•
Consentire l'esecuzione di un file personalizzato: consente a una società di utilizzare
regolarmente un file la cui reputazione predefinita risulta sospetta o dannosa. Ad esempio, un file
personalizzato creato per la società. Poiché tale file è consentito, anziché inviare le relative
informazioni a McAfee e ricevere un file DAT aggiornato, l'amministratore può impostarne la
reputazione su Affidabile e consentirne l'esecuzione senza avvisi o prompt.
•
Consentire l'esecuzione di un file in un contenitore: quando una società utilizza per la prima
volta un file la cui reputazione è sconosciuta, l'amministratore può approvarne l'esecuzione in un
contenitore. In tal caso, l'amministratore configura le regole di contenimento nella categoria
Contenimento dinamico delle applicazioni. Le regole di contenimento consentono di definire le
azioni che l'applicazione contenuta può eseguire.
Guida del prodotto
171
6
Come amministratore, è possibile specificare le impostazioni di Intelligence sulle minacce, ad esempio
scegliendo i gruppi regole ed impostando le soglie di reputazione.
Le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle della pagina
Impostazioni.
Informazioni su Intelligence sulle minacce
Intelligence sulle minacce offre un ecosistema di sicurezza che consente la comunicazione istantanea
tra sistemi e dispositivi nell'ambiente di lavoro. Questa comunicazione viene resa possibile con
l'infrastruttura Data Exchange Layer.
È possibile visualizzare il sistema specifico in cui una minaccia è stata rilevata per la prima volta e la
direzione verso cui si muove, quindi arrestarla immediatamente.
Intelligence sulle minacce offre i seguenti vantaggi:
•
Rilevamento rapido e protezione da minacce per la sicurezza e malware.
•
Possibilità di individuare i sistemi o i dispositivi compromessi e conoscere la diffusione della
minaccia nell'ambiente di lavoro.
•
Possibilità di bloccare, consentire o isolare immediatamente file e certificati specifici in base alle
relative reputazioni di minaccia e ai propri criteri di rischio.
•
Integrazione in tempo reale con McAfee Advanced Threat Defense e McAfee GTI per fornire dati e
valutazione dettagliati sulla classificazione del malware. Questa integrazione consente di rispondere
alle minacce e condividere le informazioni nell'ambiente di lavoro.
®
Componenti di Intelligence sulle minacce
Intelligence sulle minacce include i componenti indicati di seguito.
•
Un modo per Endpoint Security che consente di creare le policy necessarie per bloccare, consentire
o isolare un file o un certificato in base alla relativa reputazione.
•
Un server che archivia le informazioni sulle reputazioni di file e certificati per poi inoltrarle ad altri
sistemi.
•
I broker Data Exchange Layer che consentono la comunicazione bidirezionale tra sistemi gestiti in
una rete.
®
®
™
Questi componenti vengono installati come estensioni di McAfee ePolicy Orchestrator (McAfee ePO ) e
aggiungono diverse nuove funzionalità e rapporti.
172
Guida del prodotto
6
Il modulo e il server comunicano le informazioni sulle reputazioni dei file. L'infrastruttura Data
Exchange Layer inoltra immediatamente tali informazioni a endpoint gestiti. Inoltre, consente di
condividere informazioni con altri prodotti McAfee che accedono a Data Exchange Layer, ad esempio
McAfee Enterprise Security Manager (McAfee ESM) e McAfee Network Security Platform.
®
®
client Intelligence sulle minacce
Il modulo Intelligence sulle minacce consente di stabilire ciò che si verifica quando viene rilevato un
file dannoso o con una reputazione sconosciuta nel proprio ambiente. È inoltre possibile visualizzare le
informazioni sulla cronologia delle minacce e le azioni eseguite.
È possibile effettuare le attività riportate di seguito utilizzando il modulo Intelligence sulle minacce.
Per stabilire le azioni, il client utilizza regole basate su più punti dati, ad esempio reputazioni,
intelligence locale e informazioni contestuali. Le regole possono essere aggiornate in modo
indipendente.
•
Creare policy per:
•
Consentire, bloccare, ripulire o contenere file in base alla relativa reputazione.
•
Ricevere un prompt ogni volta che viene tentata l'esecuzione di un file o un certificato con una
determinata reputazione.
•
Inviare file automaticamente ad Advanced Threat Defense per un'ulteriore valutazione.
Guida del prodotto
173
6
•
Visualizzare eventi sulle dashboard Intelligence sulle minacce. È possibile visualizzare eventi
consentiti, bloccati, ripuliti e contenuti per gli ultimi 30 giorni o in base al tipo di evento.
Server Server Exchange Intelligence sulle minacce
Il server archivia le informazioni sulle reputazioni di file e certificati per poi inoltrarle ad altri sistemi
dell'ambiente di lavoro.
Per informazioni sul server, consultare la Guida del prodotto Intelligence sulle minacce.
Combinazione di database e server TIE
Se si dispone di database e server TIE gestiti da diversi sistemi McAfee ePO, è possibile combinarli per
condividere le informazioni sulla reputazione. Per informazioni dettagliate sulla combinazione di server
e database TIE, consultare la Guida del prodotto di McAfee Data Exchange Layer e l'articolo KB83896
della KnowledgeBase.
Data Exchange Layer
L'infrastruttura di Data Exchange Layer include software client e broker che consentono la
comunicazione bidirezionale tra gli endpoint di una rete.
Data Exchange Layer funziona in background comunicando con i servizi, i database, gli endpoint e le
applicazioni. Il client Data Exchange Layer viene installato in ciascun endpoint gestito per consentire la
condivisione immediata delle informazioni sulle minacce provenienti dai prodotti di sicurezza che
utilizzano DXL con tutti gli altri servizi e dispositivi. La condivisione di informazioni di reputazione
appena queste sono disponibili riduce i presupposti di sicurezza reciproci su cui si basano applicazioni
e servizi quando scambiano informazioni. Queste informazioni condivise riducono la diffusione delle
minacce.
Per informazioni sull'installazione e l'utilizzo di McAfee Data Exchange Layer, consultare la guida del
prodotto di Data Exchange Layer.
Come si determina una reputazione
La reputazione di file e certificati viene determinata quando si tenta di eseguire un file su un sistema
gestito.
La determinazione della reputazione di un file o un certificato prevede i passaggi indicati di seguito.
174
1
Un utente o un sistema tenta di eseguire un file.
2
Endpoint Security controlla il file e non è in grado di determinarne la validità e la reputazione.
3
Il modulo Intelligence sulle minacce controlla il file e raccoglie informazioni su proprietà rilevanti
del file e del sistema locale.
4
Il modulo verifica se nella cache della reputazione locale è presente l'hash del file. Se l'hash del file
è presente, il modulo rileva dalla cache i dati relativi alla prevalenza e alla reputazione di Enterprise
per il file.
5
In caso contrario, il modulo esegue una query sul server TIE. Se l'hash è presente, il modulo rileva
i dati sulla prevalenza di Enterprise (ed eventuali reputazioni disponibili) per l'hash del file specifico.
6
Se l'hash del file non è presente nel server o nel database TIE, il server esegue una query su
McAfee GTI per ottenere la reputazione dell'hash del file. McAfee GTI invia le informazioni
disponibili, ad esempio "sconosciuto" o "dannoso", e tali informazioni vengono memorizzate dal
server.
Guida del prodotto
6
Il server invia il file per la scansione se si verifica una delle seguenti condizioni:
•
Advanced Threat Defense è disponibile o attivato come provider di reputazioni: il server esegue
una ricerca localmente per verificare se sia presente la reputazione Advanced Threat Defense;
diversamente, contrassegna il file come candidato per l'invio.
•
La policy sull'endpoint è configurata per inviare il file a Advanced Threat Defense.
Vedere i passaggi aggiuntivi in Se Advanced Threat Defense è presente.
7
Il server restituisce al modulo l'età, i dati di prevalenza e la reputazione enterprise dell'hash del file
in base ai dati rilevati. Se il file non era presente nell'ambiente, il server invia anche un primo
contrassegno di istanza al modulo Intelligence sulle minacce. Se McAfee Web Gateway è presente
ed eventualmente invia un punteggio reputazione, il server Intelligence sulle minacce restituisce la
reputazione del file.
8
Il modulo valuta i seguenti metadati per determinare la reputazione del file:
9
•
Proprietà di file e sistema
•
Dati di prevalenza ed età di Enterprise
•
Reputazione
Il modulo agisce in base alla policy assegnata al sistema su cui il file è in esecuzione.
10 Il modulo aggiorna il server con le informazioni di reputazione e indica se il file è bloccato,
consentito o isolato. Invia inoltre eventi di minaccia a McAfee ePO tramite McAfee Agent.
11 Il server pubblica l'evento di modifica della reputazione per l'hash del file.
Se Advanced Threat Defense è presente
Se Advanced Threat Defense è presente, si verifica quanto segue.
1
Se il sistema è configurato per inviare file ad Advanced Threat Defense e il file è nuovo
nell'ambiente, il server invia il file al server TIE. Il server TIE quindi lo invia ad Advanced Threat
Defense per eseguire la scansione.
2
Advanced Threat Defense esegue la scansione del file e invia i risultati della reputazione del file al
server TIE utilizzando Data Exchange Layer. Inoltre, il server aggiorna il database e invia le
informazioni di reputazione aggiornate a tutti i sistemi abilitati per Intelligence sulle minacce per
proteggere immediatamente l'ambiente di lavoro. Questo processo può essere avviato da
Intelligence sulle minacce o da qualsiasi altro prodotto McAfee. In entrambi i casi, Intelligence sulle
minacce elabora la reputazione e la salva nel database.
Per informazioni sulla modalità di integrazione di Advanced Threat Defense con Intelligence sulle
minacce, consultare la Guida del prodotto di McAfee Advanced Threat Defense.
Se McAfee Web Gateway è presente
Se McAfee Web Gateway è presente, si verifica quanto segue.
•
Durante il download di file, McAfee Web Gateway invia un rapporto al server TIE, che salva il
punteggio reputazione nel database. Quando il server riceve una richiesta di reputazione di file dal
modulo, restituisce la reputazione ricevuta da McAfee Web Gateway e anche da altri fornitori di
reputazioni.
Per informazioni su come McAfee Web Gateway scambia informazioni utilizzando un server TIE,
consultare il capitolo sui proxy nella Guida del prodotto di McAfee Web Gateway.
Guida del prodotto
175
6
Quando viene eseguita l'eliminazione del contenuto della cache?
•
•
L'intero contenuto della cache di Intelligence sulle minacce viene eliminato quando si modifica la
configurazione delle regole:
•
Lo stato di una o più regole è cambiato, ad esempio da attivato a disattivato.
•
Il set di regole è cambiato, ad esempio da Bilanciato a Sicurezza.
Il contenuto della cache di un singolo file o certificato viene eliminato quando:
•
La cache è più vecchia di 30 giorni.
•
Il file è cambiato sul disco.
•
Il server TIE pubblica un evento di modifica della reputazione.
La volta successiva in cui Intelligence sulle minacce riceve una notifica per il file, la reputazione
viene ricalcolata.
Guida introduttiva
Operazioni da eseguire dopo avere installato Intelligence sulle minacce.
Per iniziare a utilizzare Intelligence sulle minacce, procedere come segue:
1
Creare policy di Intelligence sulle minacce per stabilire quali elementi sono bloccati, consentiti o
contenuti. Quindi eseguire Intelligence sulle minacce in modalità di osservazione per creare la
prevalenza dei file e osservare quali elementi vengono rilevati da Intelligence sulle minacce
nell'ambiente di lavoro. La prevalenza dei file indica la frequenza con cui un file viene visualizzato
nell'ambiente di lavoro.
2
Monitorare e regolare le policy o le singole reputazioni di file o certificati per controllare quali
elementi sono consentiti nell'ambiente di lavoro.
Creazione della prevalenza file e osservazione
Dopo l'installazione e la distribuzione, è possibile iniziare a creare la prevalenza dei file e le
informazioni sulle minacce correnti.
È possibile vedere i programmi in esecuzione nell'ambiente di lavoro e aggiungere informazioni sulla
reputazione di file e certificati al database TIE. Queste informazioni inoltre popolano i grafici e le
dashboard disponibili nel modulo in cui sono visualizzate informazioni dettagliate sulla reputazione di
file e certificati.
Per iniziare, creare una o più policy Intelligence sulle minacce da eseguire su alcuni sistemi
dell'ambiente di lavoro. Le policy determinano:
•
Quando viene consentita l'esecuzione su un sistema di un file o un certificato con una reputazione
specifica
•
Quando un file o un certificato viene bloccato
•
Quando un'applicazione è isolata
•
Quando viene richiesto all'utente come intende procedere
•
Quando un file viene inviato a Advanced Threat Defense per un'ulteriore analisi
Durante la creazione della prevalenza dei file, è possibile eseguire le policy in modalità di
Osservazione. Le reputazioni di file e certificati vengono aggiunte al database ma non viene intrapresa
alcuna azione. È possibile vedere cosa viene bloccato, consentito o isolato da Intelligence sulle
minacce se viene applicata la policy.
176
Guida del prodotto
6
Monitoraggio e modifiche
Quando le policy vengono eseguite nell'ambiente, i dati della reputazione vengono aggiunti al
database.
Utilizzare le dashboard e le visualizzazioni eventi di McAfee ePO per visualizzare i file e i certificati
bloccati, consentiti o isolati in base alle policy.
È possibile visualizzare informazioni dettagliate in base all'endpoint, al file, alla regola o al certificato e
visualizzare rapidamente il numero di voci identificate e le azioni intraprese. È possibile eseguire il
drill-down facendo clic su un elemento e modificare le impostazioni della reputazione per file o
certificati specifici in modo che venga eseguita l'azione appropriata.
Ad esempio, se la reputazione predefinita di un file è sospetta o sconosciuta, ma si è certi che il file sia
affidabile, è possibile impostare la reputazione su Affidabile. L'applicazione potrà quindi essere
eseguita nell'ambiente dell'utente senza essere bloccata o senza che all'utente venga richiesto di
eseguire azioni. La reputazione dei file interni o personalizzati utilizzati nel proprio ambiente può
essere modificata.
•
Utilizzare la funzionalità Reputazioni TIE per cercare un nome di certificato o file specifico. È
possibile visualizzare dettagli sul file o sul certificato, inclusi il nome dell'azienda, i valori hash
SHA-1 e SHA-256, MD5, la descrizione e le informazioni su McAfee GTI. Per i file è anche possibile
accedere ai dati di VirusTotal direttamente dalla pagina dei dettagli Reputazioni TIE e visualizzare
ulteriori informazioni.
•
Utilizzare la pagina Dashboard di reportistica per visualizzare contemporaneamente diversi tipi di
informazioni sulla reputazione. È possibile visualizzare il numero di nuovi file rilevati nell'ambiente
nell'ultima settimana, i file in base alla reputazione, i file con reputazioni cambiate di recente, i
sistemi che hanno eseguito recentemente i nuovi file e altro. Facendo clic su un elemento della
dashboard vengono visualizzate informazioni dettagliate.
•
Se viene identificato un file dannoso o sospetto, è possibile visualizzare rapidamente i sistemi che
lo hanno eseguito e che potrebbero essere danneggiati.
•
Modificare la reputazione di un file o certificato in base alle esigenze dell'ambiente. Le informazioni
vengono aggiornate immediatamente nel database e inviate a tutti i dispositivi dell'ambiente. I file
e i certificati vengono bloccati, consentiti o contenuti in base alla relativa reputazione.
Se si hanno dubbi su quali operazioni eseguire su un file o certificato specifico, è possibile
•
Bloccarne l'esecuzione mentre si acquisiscono altre informazioni.
A differenza di un'azione di pulizia di Prevenzione delle minacce, che potrebbe causare
l'eliminazione del file, l'azione di blocco permette di mantenerlo ma non di eseguirlo. Il file
rimane inalterato mentre viene cercato e si decide quale operazione eseguire.
•
Consentirne l'esecuzione come file contenuto.
Isolamento dinamico applicazioni esegue le applicazioni con reputazioni specifiche all'interno di
un contenitore, bloccando le azioni in base alle regole di isolamento. L'applicazione può essere
eseguita, ma potrebbe non essere possibile eseguire alcune azioni, in base alle regole di
isolamento.
•
Importare le reputazioni di file o certificati nel database per consentirne l'esecuzione o il blocco in
base ad altre origini di reputazione. Ciò consente di utilizzare le impostazioni importate per file e
certificati specifici senza doverle impostare singolarmente sul server.
Invio di file per un'ulteriore analisi
Se la reputazione di un file è sconosciuta, è possibile inviare il file ad Advanced Threat Defense per
sottoporlo a un'ulteriore analisi. Specificare nella policy TIE i file da inviare.
Guida del prodotto
177
6
Advanced Threat Defense rileva il malware zero-day e combina le firme antivirus, la reputazione e le
difese di emulazione in tempo reale. È possibile inviare i file automaticamente da Intelligence sulle
minacce a Advanced Threat Defense in base al relativo livello di reputazione e alle relative dimensioni.
Le informazioni sulla reputazione di file inviate da Advanced Threat Defense vengono aggiunte al
database del server TIE.
Informazioni sulla telemetria di McAfee GTI
Le informazioni relative a file e certificati inviate a McAfee GTI vengono utilizzate per comprendere e
migliorare le informazioni sulla reputazione. Vedere la tabella per i dettagli sulle informazioni fornite da
McAfee GTI per i file e i certificati, per i soli file o per i soli certificati.
Categoria
Descrizione
File e
certificati
• Versioni del modulo e del server TIE
• Impostazioni relative alla priorità delle reputazioni definite con il server TIE
• Informazioni esterne sulle reputazioni, ad esempio provenienti da Advanced
Threat Defense
Solo file
• Nome file, percorso, dimensione, prodotto, autore e prevalenza
• Informazioni SHA-1, SHA-256 e MD5
• Versione del sistema operativo del computer di reportistica
• Reputazione massima, minima e media impostata per il file
• Eventuale attivazione della modalità di osservazione per il modulo di reportistica
• Eventuale esecuzione consentita, blocco, isolamento o pulizia del file
• Il prodotto che ha rilevato il file, ad esempio Advanced Threat Defense o
Solo
certificati
• Informazioni SHA-1
• Nome dell'autorità emittente del certificato e relativo oggetto
• Data di validità e data di scadenza del certificato
McAfee non raccoglie informazioni personali, né condivide informazioni esterne a McAfee.
Isolamento dinamico applicazioni
Isolamento dinamico applicazioni consente di impostare l'esecuzione di applicazioni con reputazioni
specifiche in un contenitore.
In base al livello di reputazione, Intelligence sulle minacce richiede a Isolamento dinamico applicazioni
di isolare l'applicazione. Le applicazioni isolate possono eseguire alcune azioni in base a quanto
specificato nelle regole di isolamento.
Questa tecnologia consente di valutare applicazioni sconosciute e potenzialmente non sicure
permettendone l'esecuzione nel proprio ambiente, ma limitando le azioni che possono portare a
termine. Gli utenti possono utilizzare le applicazioni, ma queste potrebbero non funzionare
correttamente se Contenimento dinamico delle applicazioni blocca alcune azioni. Se si stabilisce che
un'applicazione è sicura, è possibile configurare Intelligence sulle minacce Endpoint Security o il server
TIE in modo da consentirne la normale esecuzione.
178
Guida del prodotto
6
Per usare Isolamento dinamico applicazioni:
1
Attivare Intelligence sulle minacce e indicare la soglia di reputazione necessaria per attivare
Contenimento dinamico delle applicazioni nelle impostazioni Opzioni.
2
Configurare le regole di contenimento definite da McAfee e le esclusioni nelle impostazioni di
Contenimento dinamico delle applicazioni.
Vedere anche
Consentire la normale esecuzione delle applicazioni isolate a pagina 181
Configurare le regole di isolamento definite da McAfee a pagina 182
Attivare la soglia di attivazione di Isolamento dinamico applicazioni a pagina 181
Funzionamento di Isolamento dinamico applicazioni
Intelligence sulle minacce utilizza la reputazione delle applicazioni per stabilire se richiedere a
Isolamento dinamico applicazioni di eseguirle con restrizioni. Quando un file con la reputazione
specificata viene eseguito nell'ambiente dell'utente, Isolamento dinamico applicazioni blocca o registra
le azioni non sicure, in base alle regole di isolamento.
Se più tecnologie registrate in Isolamento dinamico applicazioni richiedono l'isolamento di
un'applicazione, ciascuna richiesta è cumulativa. L'applicazione rimane isolata finché tutte le
tecnologie non hanno rilasciato l'applicazione. Se una tecnologia che ha richiesto l'isolamento viene
disattivata o rimossa, Isolamento dinamico applicazioni rilascia l'applicazione.
Flusso di lavoro di Isolamento dinamico applicazioni
1
Il processo viene avviato.
2
Intelligence sulle minacce verifica la reputazione del file.
Intelligence sulle minacce utilizza il server TIE, se disponibile, per stabilire la reputazione
dell'applicazione. Se il server TIE non è disponibile, Intelligence sulle minacce utilizza McAfee GTI
per recuperare le informazioni sulla reputazione.
3
Se la reputazione dell'applicazione si trova su un livello inferiore rispetto alla soglia di reputazione
per l'isolamento di Intelligence sulle minacce, Intelligence sulle minacce invia una notifica a
Isolamento dinamico applicazioni informando che il processo è stato avviato e richiedendo
l'isolamento.
4
Isolamento dinamico applicazioni isola il processo.
Gli eventi di Isolamento dinamico applicazioni possono essere consultati nel Registro eventi di
minaccia di McAfee ePO.
5
Se l'applicazione isolata è considerata sicura, è possibile consentirne la normale esecuzione (senza
isolamento).
Guida del prodotto
179
6
Vedere anche
Consentire la normale esecuzione delle applicazioni isolate a pagina 181
180
Guida del prodotto
6
Consentire la normale esecuzione delle applicazioni isolate
Una volta stabilito che un'applicazione isolata è sicura, è possibile eseguirla normalmente nel proprio
ambiente.
•
Aggiungere l'applicazione all'elenco globale Esclusioni nelle impostazioni di Contenimento dinamico
delle applicazioni.
L'isolamento dell'applicazione viene rimosso e l'applicazione può essere eseguita normalmente, a
prescindere dal numero di tecnologie che ne hanno richiesto l'isolamento.
•
Configurare Intelligence sulle minacce per alzare la soglia di reputazione e rimuovere il
contenimento.
meno che un'altra tecnologia non abbia richiesto l'isolamento dell'applicazione.
•
Se il server TIE è disponibile, modificare la reputazione del file su un livello che ne consenta
l'esecuzione, ad esempio Possibilmente affidabile.
meno che un'altra tecnologia non abbia richiesto l'isolamento dell'applicazione.
Consultare la Guida del prodotto di McAfee Threat Intelligence Exchange.
Vedere anche
Esclusione dei processi da Isolamento dinamico applicazioni a pagina 185
Attivare la soglia di attivazione di Isolamento dinamico applicazioni
Grazie alla tecnologia Contenimento dinamico delle applicazioni è possibile impostare l'esecuzione in
un contenitore di applicazioni con reputazioni specifiche, per limitare le azioni che tali applicazioni
possono eseguire. Attivare l'imposizione dell'azione di Contenimento dinamico delle applicazioni e
indicare la soglia di reputazione raggiunta la quale le applicazioni devono essere contenute.
Prima di iniziare
Attività
1
2
Fare clic su Intelligence sulle minacce nella pagina Stato principale.
, selezionare Impostazioni, quindi fare clic su Intelligence sulle minacce
3
4
5
Verificare che Intelligence sulle minacce sia attivato.
6
Selezionare Attiva Isolamento dinamico applicazioni quando la soglia di reputazione raggiunge.
7
Indicare la soglia di reputazione raggiunta la quale le applicazioni devono essere isolate.
•
Possibilmente affidabile (predefinito per il gruppo di regole Sicurezza)
•
Sconosciuto (predefinito per il gruppo di regole Bilanciato)
Guida del prodotto
181
6
•
Possibilmente dannoso (predefinito per il gruppo di regole Produttività)
•
Probabilmente dannoso
•
Elemento dannoso noto
La soglia di reputazione per l'isolamento dinamico delle applicazioni deve essere superiore a quella
configurata per il blocco e la pulizia. Ad esempio, se la soglia di blocco è impostata su Elemento
dannoso noto, la soglia di Isolamento dinamico applicazioni deve essere impostata almeno su
Probabilmente dannoso.
8
Configurare le regole di isolamento definite da McAfee
regole di isolamento definite da McAfee blocca o registra azioni che le applicazioni isolate possono
eseguire. È possibile modificare le impostazioni di blocco e segnalazione, ma non è possibile
modificare in altro modo o eliminare queste regole.
Prima di iniziare
Attività
1
Selezionare Menu | Policy | Catalogo delle policy, quindi selezionare Intelligence sulle minacce Endpoint Security
dell'elenco Prodotto.
2
3
4
5
Fare clic su Isolamento dinamico applicazioni.
6
Nella sezione Regole di contenimento, selezionare Blocca, Segnala o entrambe le opzioni per la regola.
7
•
•
Nella sezione Esclusioni, configurare gli eseguibili da escludere da Isolamento dinamico applicazioni.
I processi inclusi nell'elencoEsclusioni vengono eseguiti normalmente (non vengono isolati).
8
Vedere anche
Regole di isolamento definite da McAfee a pagina 183
182
Guida del prodotto
6
Regole di isolamento definite da McAfee
Regole di isolamento definite da McAfee per controllare le modifiche che le applicazioni isolate possono
apportare al sistema dell'utente.
È possibile modificare le impostazioni di blocco e segnalazione, ma non è possibile modificare in altro
modo o eliminare queste regole.
•
Accesso ad hash LM di password non sicure
•
Accesso a percorsi di cookie dell'utente
•
Allocazione memoria in un altro processo
•
Creazione di thread in un altro processo
•
Creazione di file in qualsiasi percorso di rete
•
Creazione di file su unità CD, floppy e rimovibili
•
Creazione di file con estensione .bat
•
Creazione di file con estensione .exe
•
Creazione di file con estensione .html, .jpg o .bmp
•
Creazione di file con estensione .job
•
Creazione di file con estensione .vbs
•
Creazione di nuovi CLSID, APPID e TYPELIB
•
Eliminazione di file comunemente presi di mira da malware di classe ransomware
•
Disattivazione di eseguibili critici del sistema operativo
•
Esecuzione di qualsiasi processo figlio
•
Modifica di voci di registro AppInit DLL
•
Modifica di shim di compatibilità delle applicazioni
•
Modifica di posizioni del registro e file Windows critici
•
Modifica di impostazioni di sfondo del desktop
•
Modifica di associazioni di estensioni di file
•
Modifica di file con estensione .bat
•
Modifica di file con estensione .vbs
•
Modifica di voci di registro di opzioni di esecuzione file immagine
•
Modifica di file eseguibili portabili
•
Modifica di impostazioni di screen saver
•
Modifica di posizioni del registro di avvio
•
Modifica del debugger automatico
•
Modifica del bit di attributo nascosto
•
Modifica del bit di attributo di sola lettura
•
Modifica della posizione del registro Servizi
Guida del prodotto
183
6
•
Modifica della policy di Windows Firewall
•
Modifica della cartella Attività di Windows
•
Modifica di policy utente
•
Modifica di cartelle di dati di utenti
•
Lettura di file comunemente presi di mira da malware di classe ransomware
•
Lettura da un'altra memoria di processo
•
Lettura o modifica di file in qualsiasi percorso di rete
•
Lettura o modifica di file su unità CD, floppy e rimovibili
•
Sospensione di un processo
•
Interruzione di un altro processo
•
Scrittura da un'altra memoria processo
•
Scrittura di file comunemente presi di mira da malware di classe ransomware
Gestione delle applicazioni isolate
Se Isolamento dinamico applicazioni isola un'applicazione affidabile, è possibile escluderla
dall'isolamento dal client Client Endpoint Security. Quando si esclude un'applicazione, l'isolamento
viene eliminato, l'applicazione viene rimossa dalle Applicazioni isolate e viene aggiunta alle Esclusioni,
per impedire che in futuro venga isolata.
Prima di iniziare
Attività
1
2
3
4
5
Nella sezione Applicazioni contenute, selezionare l'applicazione e fare clic su Escludi.
L'applicazione viene visualizzata nell'elenco Esclusioni. L'applicazione rimane nell'elenco Applicazioni
isolate finché l'utente non fa clic su Applica. Quando l'utente torna alla pagina Impostazioni,
l'applicazione viene visualizzata solo nell'elenco Esclusioni.
6
184
Guida del prodotto
6
Esclusione dei processi da Isolamento dinamico applicazioni
Se un programma affidabile viene isolato, è possibile escluderlo creando un'esclusione in Isolamento
dinamico applicazioni.
Le esclusioni create usando il client Client Endpoint Security vengono applicate solo sul sistema client.
Queste esclusioni non vengono inviate a McAfee ePO e non vengono visualizzate nella sezione
Esclusioni nelle impostazioni della policy di Contenimento dinamico delle applicazioni.
Per i sistemi gestiti, creare esclusioni globali nelle impostazioni della policy di Contenimento dinamico
delle applicazioni di McAfee ePO.
Attività
1
2
3
4
5
Nella sezione Esclusioni, fare clic su Aggiungi per aggiungere processi da escludere da tutte le regole.
6
Nella pagina Aggiungi eseguibile, configurare le proprietà dell'eseguibile.
7
Fare clic su Salva, quindi su Applica per salvare le impostazioni.
Configurazione opzioni Intelligence sulle minacce
Utilizzare le impostazioni della per stabilire quando un file o certificato deve essere eseguito, isolato,
ripulito, bloccato o se deve essere richiesto agli utenti come procedere.
Prima di iniziare
Le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle della pagina
Impostazioni.
Attività
1
2
3
4
5
Annulla.
Guida del prodotto
185
6
Bloccare o consentire file e certificati
Le reputazioni di minaccia di file e certificati si basano sul contenuto e sulle proprietà. Le policy di
Intelligence sulle minacce determinano se l'esecuzione di file e certificati deve essere bloccata o
consentita nei sistemi dell'ambiente in base ai livelli di reputazione.
Esistono tre livelli di sicurezza che dipendono da come si desidera bilanciare le regole per tipi di
sistemi specifici. Ciascun livello è associato a regole specifiche che identificano file e certificati dannosi
e sospetti.
•
Produttività: sistemi che vengono modificati frequentemente, in cui vengono spesso installati e
disinstallati programmi affidabili e che ricevono aggiornamenti frequenti. Esempi di questi sistemi
sono i computer utilizzati in ambienti di sviluppo. Per questa impostazione, viene utilizzato un
numero inferiore di regole con le policy e gli utenti visualizzano un numero minimo di blocchi e
richieste quando vengono rilevati nuovi file.
•
Bilanciato - Sistemi aziendali tipici in cui raramente vengono installati nuovi programmi o vengono
apportate modifiche. Per questa impostazione, viene utilizzato un numero maggiore di regole con le
policy e gli utenti visualizzano un numero maggiore di blocchi e richieste.
•
Sicurezza - Sistemi gestiti da IT con controllo rigido e modifiche ridotte. Un esempio sono i sistemi
che accedono a informazioni critiche o sensibili in ambienti di finanza o pubblica amministrazione.
Questa impostazione viene utilizzata anche per server. Per questa impostazione, viene utilizzato il
numero massimo di regole con le policy e gli utenti visualizzano un numero ancora più elevato di
blocchi e richieste.
Per visualizzare le regole specifiche associate a ciascun livello di sicurezza, selezionare Menu |
Impostazioni del server. Nell'elenco Categorie di impostazioni, selezionare Threat Intelligence.
Quando si determina il livello di sicurezza da assegnare a una policy, tenere presente il tipo di sistema
in cui viene utilizzata la policy e il numero di blocchi e richieste che si desidera che l'utente visualizzi.
Dopo aver creato una policy, assegnarla a computer o dispositivi per determinare quanti blocchi e
quante richieste devono verificarsi.
Sommario
Intelligence sulle minacce: Contenimento dinamico delle applicazioni
Intelligence sulle minacce - Opzioni
Intelligence sulle minacce: Contenimento dinamico delle
applicazioni
Protegge il sistema limitando le azioni possono essere eseguite dalle applicazioni isolate in base a
regole configurate.
186
Guida del prodotto
6
Tabella 6-1
Opzioni
Sezione
Opzione Descrizione
Regole di
isolamento
Configura le regole di Isolamento dinamico applicazioni.
È possibile scegliere se bloccare o segnalare le regole di isolamento definite
da McAfee, ma non è possibile modificare o eliminare le regole.
• Blocca (solo): blocca, senza registrarle, le azioni delle applicazioni isolate
specificate dalla regola.
• Segnala (solo): registra il tentativo delle applicazioni di eseguire azioni nella
regola, ma non impedisce alle applicazioni di eseguire le azioni.
• Blocca e Segnala: blocca e registra i tentativi di accesso.
Procedura consigliata: se non si conosce l'impatto completo di una
regola, selezionare Segnala, non Blocca, per ricevere un avviso senza bloccare
i tentativi di accesso. In questo modo è possibile decidere se bloccare
l'accesso, monitorare i registri e i report.
Applicazioni
isolate
Fornisce un elenco delle applicazioni che al momento sono isolate.
Esclusioni
Esclude i processi dall'isolamento.
• Escludi: sposta un'applicazione isolata nell'elenco Esclusioni, rimuovendo
l'isolamento e consentendone la normale esecuzione.
• Aggiungi: aggiunge un processo all'elenco di esclusioni.
Vedere anche
Funzionamento di Isolamento dinamico applicazioni a pagina 179
Regole di isolamento definite da McAfee a pagina 183
Consente di aggiungere o modificare un eseguibile da escludere o includere.
Per la protezione dell'accesso di Prevenzione delle minacce è possibile escludere gli eseguibili a livello
di policy oppure includerli o escluderli a livello di regola. Per Contenimento dinamico delle applicazioni
di Intelligence sulle minacce è possibile escludere gli eseguibili a livello di policy.
Per specificare esclusioni e inclusioni, tenere presente quanto segue:
•
•
Se si specifica più di un identificatore, vengono applicati tutti gli identificatori.
•
non si riferiscono allo stesso file), l'esclusione o l'inclusione viene considerata non valida.
•
Le esclusioni e le inclusioni non fanno distinzione tra maiuscole e minuscole.
•
Guida del prodotto
187
6
Tabella 6-2
Opzioni
Opzione
Definizione
Nome
file, Hash MD5 o Firmatario.
Stato inclusione
Determina lo stato di inclusione per l'eseguibile.
• Includi: attiva la regola se l'eseguibile viola una sottoregola.
• Escludi: non attiva la regola se l'eseguibile viola una sottoregola.
Lo stato di inclusione viene visualizzato solo per la protezione dell'accesso di Prevenzione
delle minacce, quando si aggiunge un eseguibile a una regola o la destinazione della
sottoregola Processi.
Nome o percorso
file
Hash MD5
Firmatario
4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il nome distinto
del firmatario. Ad esempio, Firefox dispone di questo SDN:
• S = California
• C = Stati Uniti
Note
188
Guida del prodotto
6
Intelligence sulle minacce - Opzioni
Configurare le impostazioni di Intelligence sulle minacce.
Tabella 6-3
Opzioni
Sezione
Opzione
Definizione
Opzioni
Attiva Intelligence sulle
minacce
Attiva il modulo Intelligence sulle minacce.
Consenti al server Threat
Intelligence Exchange di
raccogliere dati
diagnostici e di utilizzo
anonimi
Specificare se consentire al server TIE di inviare a McAfee
informazioni sul file anonime.
Usa reputazione file
McAfee GTI se il server
Threat Intelligence
Exchange non è
raggiungibile
Recupera le informazioni sulla reputazione dei file dal proxy
Global Threat Intelligence se il server TIE non è disponibile.
Impedisci agli utenti di
modificare le
impostazioni (solo client
Threat Intelligence
Exchange 1.0)
Impedisce agli utenti dei sistemi gestiti di modificare le
impostazioni di Intelligence sulle minacce.
Produttività
Assegna il gruppo di regole Produttività.
Assegnazione
della regola
Utilizzare questo gruppo per sistemi a modifica elevata con
installazioni e aggiornamenti frequenti di software affidabili.
Questo gruppo utilizza il minor numero di regole. Gli utenti
ricevono richieste e blocchi minimi quando vengono rilevati
nuovi file.
Bilanciato
Assegna il gruppo di regole Bilanciato.
Utilizzare questo gruppo di regole per sistemi business tipici con
nuovo software e modifiche infrequenti.
Questo gruppo utilizza più regole e gli utenti ricevono più
richieste e blocchi rispetto al gruppo Produttività.
Sicurezza
Assegna il gruppo di regole Sicurezza.
Utilizzare il gruppo di regole Sicurezza per sistemi a modifica
ridotta, quali sistemi e server gestiti dal reparto IT con stretto
controllo.
Gli utenti ricevono più richieste e blocchi rispetto al gruppo
Bilanciato.
Imposizione
azione
Attiva modalità di
osservazione
Genera eventi e li invia al server, ma non impone azioni.
Consente di attivare temporaneamente la modalità di
osservazione in alcuni sistemi solo durante l'ottimizzazione del
modulo Intelligence sulle minacce.
Poiché attivando questa modalità il modulo Intelligence sulle
minacce genera eventi, ma non impone azioni, i sistemi
potrebbero essere vulnerabili alle minacce.
Guida del prodotto
189
6
Tabella 6-3
Sezione
Opzioni (segue)
Opzione
Definizione
Attiva isolamento
dinamico
dell'applicazione quando
la soglia di reputazione
raggiunge
Isola le applicazioni se la reputazione raggiunge la soglia
specificata:
• Possibilmente affidabile (predefinito per il gruppo di regole Sicurezza)
• Sconosciuto (predefinito per il gruppo di regole Bilanciato)
• Possibilmente dannoso (predefinito per il gruppo di regole
Produttività)
• Probabilmente dannoso
• Elemento dannoso noto
La soglia di reputazione per l'isolamento dinamico delle
applicazioni deve essere superiore a quella configurata per il
blocco e la pulizia. Ad esempio, se la soglia di blocco è impostata
su Elemento dannoso noto, la soglia di Isolamento dinamico
applicazioni deve essere impostata almeno su Probabilmente
dannoso.
Quando un'applicazione con la soglia di reputazione specificata
tenta l'esecuzione nell'ambiente dell'utente, Isolamento
dinamico applicazioni ne consente l'esecuzione in un contenitore
e blocca o registra le azioni non sicure, in base alle regole di
isolamento.
Blocca quando la soglia
di reputazione raggiunge
Blocca i file quando la reputazione raggiunge una soglia specifica
e specifica la soglia:
• Possibilmente affidabile
• Sconosciuto (predefinito per il gruppo di regole Sicurezza)
• Possibilmente dannoso (predefinito per il gruppo di regole Bilanciato)
• Probabilmente dannoso (predefinito per il gruppo di regole
Produttività)
Se nell'ambiente viene tentata l'esecuzione di un file con questa
soglia di reputazione, il file non viene eseguito, ma non viene
rimosso. Se un file è sicuro e si desidera eseguirlo, modificarne
la reputazione impostandola su un livello che ne consenta
l'esecuzione, ad esempio Possibilmente affidabile.
Ripulisci quando la soglia Ripulisce i file quando la reputazione raggiunge una soglia
di reputazione raggiunge specifica e specifica la soglia:
• Sconosciuto
• Possibilmente dannoso
• Elemento dannoso noto (predefinito per i gruppi di regole Bilanciato e
Sicurezza)
Il valore predefinito del gruppo di regole Produttività non è
selezionato.
Procedura consigliata: utilizzare questa opzione con
reputazioni file di tipo Elemento dannoso noto perché è
possibile che un file venga rimosso con la pulizia.
190
Guida del prodotto
6
Sezione
Opzione
Messaggistica utente Visualizza notifiche di
rilevamento minacce minaccia per l'utente
Notifica l'utente quando
la soglia di reputazione
raggiunge
Descrizione
Visualizza notifiche di minaccia per l'utente.
Notifica l'utente quando la reputazione raggiunge una soglia
specifica e specifica la soglia:
• Probabilmente affidabile
• Possibilmente affidabile (predefinito per il gruppo di regole
Sicurezza)
• Sconosciuto (predefinito per il gruppo di regole Bilanciato)
• Possibilmente dannoso (predefinito per il gruppo di regole
Produttività)
Il livello di richiesta non può essere in conflitto con le
impostazioni di Esegui pulizia o Blocca. Se ad esempio si
bloccano i file sconosciuti, non sarà possibile impostare
questo campo su Possibilmente affidabile, poiché il livello è
maggiore rispetto a Sconosciuto.
Azione predefinita
Specifica l'azione da eseguire se l'utente non risponde alla
richiesta:
• Consenti
• Blocca
Specifica durata (minuti)
del timeout
Specifica il numero di minuti da attendere prima che venga
eseguita l'azione predefinita.
L'impostazione predefinita è 5 minuti.
Advanced Threat
Defense
Messaggio
Specifica il testo visualizzato dall'utente quando viene rilevato
il tentativo di esecuzione di un file che soddisfa i criteri di
visualizzazione delle richieste.
Disattiva le notifiche di
minaccia se il server
Threat Intelligence
Exchange non è
raggiungibile
Disattiva le richieste se il server TIE non è disponibile, in
modo che gli utenti non visualizzino le richieste relative a file
con reputazioni non disponibili.
Inviare i file non ancora
verificati a McAfee
Advanced Threat
Defense per l'analisi
Consente di inviare i file eseguibili da analizzare a McAfee
Advanced Threat Defense.
Se questa opzione è attiva, Intelligence sulle minacce invia i
file in modo sicuro tramite HTTPS usando la porta 443 a
Advanced Threat Defense nei seguenti casi:
• Il server TIE non dispone di informazioni Advanced Threat
Defense sul file.
• Il livello di reputazione del file corrisponde o è inferiore a
quello specificato.
• Le dimensioni del file corrispondono o sono inferiori al limite
specificato.
Specifica informazioni per il server Advanced Threat Defense
nella policy di gestione del server TIE.
Guida del prodotto
191
6
Sezione
Opzione
Descrizione
Invia file quando la soglia Invia i file a Advanced Threat Defense quando la reputazione
di reputazione raggiunge raggiunge una soglia specifica:
• Probabilmente affidabile
• Sconosciuto
Il valore predefinito di tutti i gruppi di regole è Sconosciuto.
Limita dimensione (MB) a Specifica le dimensioni dei file inviati a Advanced Threat
Defense tra 1 e 10 MB.
L'impostazione predefinita è 5 MB.
Vedere anche
Configurazione opzioni Intelligence sulle minacce a pagina 185
Attivare la soglia di attivazione di Isolamento dinamico applicazioni a pagina 181
Bloccare o consentire file e certificati a pagina 186
192
Guida del prodotto
Indice
A
account utente, controllo dell'accesso al client 33
adattatore di rete, consenso alla connessione 133
Advanced Threat Defense 177
inviare file a 186
utilizzato per la determinazione delle reputazioni 174
adware, informazioni 64
aggiornamenti
annullamento 23
opzione Aggiorna sicurezza 12
pulsante Aggiorna ora, Client Endpoint Security 23
aggiornamenti contenuto 11
aggiornamenti manuali, esecuzione 23
aggiornamenti prodotto
pianificazione dal client 39
ricerca manuale 12, 23
aggiornamenti software
pianificazione dal client 39
aggiornamenti su richiesta, vedere aggiornamenti manuali,
esecuzione
aggiornamenti, componenti software client 10
aggiornamenti, Endpoint Security
aggiornamento client predefinito, configurazione 37
Attività di aggiornamento client predefinita, informazioni 38
configurazione del comportamento 35
configurazione e pianificazione dal client 39
configurazione siti di origine per aggiornamenti 35
aggiornamenti, Firewall
ricerca manuale 23
aggiornamenti, Prevenzione delle minacce
panoramica 11
aggiornamenti, Threat Prevention
file di contenuto 10
file Extra.DAT 30
amministratori
accesso a Client Endpoint Security 27
definiti 10
password 28
annullamento scansione 82
App di Windows Store, rilevamento minacce 87
app Windows Store, rilevazione minacce 82
app, Windows Store 82, 87
applicazioni isolate, Isolamento dinamico applicazioni
gestione nel client Endpoint Security 184
applicazioni, informazioni 131
applicazioni, isolate
consentire la normale esecuzione 181
gestione nel client Endpoint Security 184
archivi, specifica delle opzioni di scansione 81, 86
aree commenti, Web Control 161
attacchi basati su heap, exploit di overflow del buffer 76
attacchi basati su stack, exploit di overflow del buffer 76
attacchi, exploit di overflow del buffer 76
attività aggiornamento predefinito client
configurazione siti di origine per aggiornamenti 35
attività client di aggiornamento del prodotto
elenco degli archivi 37
informazioni 37
Attività di aggiornamento client predefinita
informazioni 38
attività di aggiornamento client predefinito
configurazione 37
pianificazione con Client Endpoint Security 39
attività di aggiornamento predefinito, vedere attività, Client
Endpoint Security
attività di mirroring
configurazione e pianificazione 40
informazioni 41
attività, Client Endpoint Security
aggiornamento client predefinito, configurazione 37
aggiornamento client predefinito, pianificazione 39
aggiornamento predefinito, configurazione e pianificazione
39
attività di mirroring, informazioni 41
configurazione e pianificazione delle attività di mirroring 40
attività, Endpoint Security
Aggiornamento client predefinito, informazioni 38
attività, Prevenzione delle minacce
Scansione completa e scansione rapida, pianificazione 91
scansioni personalizzate, pianificazione 91
attività, Threat Prevention
Scansioni completa e rapida, informazioni 57
autogestito, informazioni 22
autonomo, vedere autogestito, informazioni
Autoprotezione, configurazione 31
avvisi, Firewall 14
Guida del prodotto
193
Indice
avvisi, Prevenzione delle minacce
panoramica scansione all'accesso 82
avvisi, Threat Prevention
panoramica della scansione su richiesta 87
azioni, Prevenzione delle minacce
esecuzione degli elementi in quarantena 62
azioni, Threat Prevention
consentire agli utenti di ripulire ed eliminare i file infetti 81,
86
programmi indesiderati 79
specifica delle operazioni necessarie al rilevamento di una
minaccia 81, 86
B
backup, specifica delle opzioni di scansione 81, 86
Blocco modalità di interfaccia client
e impostazioni delle policy 16
browser
attivazione del plug-in 160
disattivazione del plug-in di Controllo Web 162
supportati 155, 161
visualizzazione informazioni su un sito 161
classificazioni di sicurezza
configurazione delle azioni per siti e download 165
controllo dell'accesso ai siti 166
Controllo Web e 155
icone di sicurezza 158
ottenimento delle classificazioni dei siti web 159
classificazioni, sicurezza, vedere classificazioni di sicurezza
classificazioni, Web Control, vedere classificazioni di sicurezza
client, vedere Client Endpoint Security
Client di protezione McAfee, vedere Endpoint Security Client
client Endpoint Security
apertura 12
configurazione delle impostazioni di sicurezza 33
esecuzione di scansioni 58
informazioni 14
sbloccare l'interfaccia 28
visualizzazione della guida 20
Client Endpoint Security
accesso come amministratore 27
aggiornamento della protezione 23
Attività di aggiornamento client predefinita, informazioni 38
attività di aggiornamento client predefinito, configurazione
37
attività di aggiornamento client predefinito, pianificazione
C
39
cache di scansione
scansioni all'accesso 82
scansioni su richiesta 87
cache di scansione globale
cache, scansione globale
caratteri jolly
nelle esclusioni 67
nelle esclusioni a livello di root 67
uso nelle esclusioni 67
uso nelle regole firewall 138
cartelle
caratteri jolly nelle esclusioni 67
configurazione per la quarantena 80
gestione della quarantena 62
ripetizione della scansione in quarantena 65
categorie di contenuto, vedere categorie Web
categorie Web, blocco o avviso in base a 165, 166
certificati
come vengono determinate le reputazioni 174
Chrome
browser supportati 155, 161
pulsanti Controllo Web 157
visualizzazione di informazioni su un sito 161
194
attività di aggiornamento personalizzate, creazione 39
attività di mirroring, configurazione e pianificazione 40
attività di mirroring, informazioni 41
configurazione siti di origine per aggiornamenti client 35
impostazioni policy 16
interazione con 12
moduli 17
registri, informazioni 25
Scansione completa e scansione rapida, pianificazione 91
tipi di gestione 10
visualizzazione Registro eventi 24
client McAfee, vedere Client Endpoint Security
colori, pulsanti Controllo Web 157
Configurazione
Intelligence sulle minacce 185
configurazione, bridging server TIE 174
contenuto, aggiornamento dal client 23
Controllo Web
attivazione 162
Client Endpoint Security 17
come viene eseguita la scansione dei download di file 164
configurazione 162
e siti bloccati 156
e siti segnalati 156
file di registro 25
funzionalità 155
informazioni su 9
menu 157
pulsanti, descrizione 157
registro attività 25
Guida del prodotto
Indice
Controllo Web (segue)
registro di debug 25
visualizzazione rapporti sul sito 161
credenziali, elenco degli archivi 37
D
Data Exchange Layer
informazioni 174
definizione delle reti 129
Desktop remoto, e funzione di scansione quando il sistema è
inattivo 88
destinazioni, Protezione dell'accesso
esempi 74
valutazione con sottoregole 74
dialer, informazioni 64
domande frequenti, McAfee GTI 128
domini, blocco 128
download
comportamento blocchi e avvisi 156
download di file
blocco da siti sconosciuti 162
blocco o avviso in base alle classificazioni 165
scansione con Prevenzione delle minacce 164
E
eccezioni
McAfee GTI 130
elenco degli archivi
panoramica 37
posizione sul client 37
preferenza dell'ordine, elenco degli archivi 37
Elenco delle applicazioni isolate, gestione 184
Endpoint Security Client
apertura 19
gestione dei rilevamenti di minacce 61
protezione con una password 33
ricerca di malware 57
Riepilogo minacce 16
scansioni di sistema 57
tipi di gestione 22
visualizzazione di informazioni sulla protezione 22
Endpoint Security, come protegge il computer 10
Endpoint Security, gestione 27
errori, aggiornamento 23
esclusioni
a livello di root 67
configurazione 66
Isolamento dinamico applicazioni 184, 185
nome rilevamento 80
protezione dell'accesso, basata su policy e basata su regole
75
scansione all'accesso, specifica di file, cartelle e unità 81
scansione su richiesta, specifica 86
specifica di URL per ScriptScan 81
esclusioni (segue)
uso caratteri jolly 67
esclusioni a livello di root, vedere esclusioni
eseguibili
affidabili, vedere eseguibili affidabili
configurazione di affidabili 130
eseguibili affidabili
configurazione 130
definizione 131
esempi del flusso di lavoro
creare la prevalenza file e osservare 176
esempi di flusso di lavoro 176
invio di file per un'ulteriore analisi 177
esempi flusso di lavoro
monitoraggio e configurazione 177
eventi, localizzazione eventi browser Controllo Web 162
exploit
blocco dell'overflow del buffer 76, 77
modalità di esecuzione dell'exploit di overflow del buffer 76
exploit di overflow del buffer, informazioni 76
F
falsi positivi
Firewall, riduzione 131
file
come vengono determinate le reputazioni 174
configurazione file di registro 32
configurazione per la quarantena 80
esclusione di tipi specifici dalle scansioni 66
file di registro 25
gestione della quarantena 62
prevenzione delle modifiche 31
registri Client Endpoint Security 24
ripetizione della scansione in quarantena 65
file AMCore content
file Extra.DAT 29, 30
informazioni 10
modifica della versione 29
panoramica della scansione all'accesso 82
file di contenuto
e rilevamenti 20
informazioni 10
modifica della versione AMCore 29
pianificazione aggiornamenti dal client 39
ricerca aggiornamenti manuale 23
ricerca manuale di aggiornamenti 12, 23
file di contenuto AMCore
informazioni su firme e aggiornamenti 11
file di definizione dei rilevamenti, vedere file di contenuto
Guida del prodotto
195
Indice
file di registro
Firewall (segue)
configurazione 32
informazioni su 9
errori di aggiornamento 23
opzioni di modifica 127
posizioni 25
visualizzazione 24
file e certificati, blocco 186
regole, vedere regole firewall
file e certificati, invio 186
firme
file Extra.DAT
informazioni sulle minacce note 11
caricamento 30
Firme di Monitoraggio API assegnate 11
download 30
Firme di Protezione da aumento generico dei privilegi 11
Vedere anche Firme di Protezione da aumento generico dei privilegi
file di contenuto AMCore 11
informazioni 29
firme di Protezione generica da overflow del buffer, vedere
panoramica della scansione all'accesso 82
Firme di Protezione generica da overflow del buffer
Firme di Protezione generica da overflow del buffer 11
utilizzo 29
funzionalità
file, contenuto
attivazione e disattivazione 28
caricamento file Extra.DAT 30
funzione di scansione quando il sistema è inattivo 21, 88
Extra.DAT e AMCore 11
funzioni
Accesso Endpoint Security basato su policy 16
firme e aggiornamenti 11
G
modifica della versione AMCore content 29
Gestione
Prevenzione exploit 11
uso dei file Extra.DAT 29
Google
file, di contenuto
Chrome 155
Firefox
motori di ricerca supportati 158
gruppi a tempo
gestione dall'icona della barra delle applicazioni McAfee 12
gruppi a tempo, Firewall
creazione 139
firewall
gestione dall'icona della barra delle applicazioni 126
attivazione dall'icona della barra delle applicazioni McAfee
informazioni 126
12
informazioni sui gruppi a tempo 12
Firewall
attivazione e disattivazione dall'icona della barra delle
applicazioni 125
attivazione e disattivazione protezione 127
attivazione e visualizzazione dei gruppi a tempo 126
avvisi di intrusione 14
blocco del traffico DNS 128
contenuti di aggiornamento dal client 23
creazione di gruppi a tempo 139
eseguibili affidabili 131
file di registro 25
funzionamento 125
funzionamento delle regole firewall 131
gestione 126
gestione di regole e gruppi 137
gruppi a tempo, informazioni 126
gruppi in grado di riconoscere la posizione, creazione 139
gruppi in grado di riconoscere la posizione, informazioni
133
196
gruppi di regole firewall
configurazione 131
creazione di gruppi a tempo 139
e isolamento connessione 134
gestione dei gruppi a tempo dall'icona della barra delle
applicazioni 12, 126
gruppi a tempo, informazioni 126
predefiniti 136
riconoscimento della posizione, creazione 139
gruppi di regole firewall predefiniti 136
gruppi firewall, vedere gruppi regole firewall
gruppi in grado di riconoscere la posizione
creazione 139
informazioni 133
isolamento connessione 134
gruppi regole firewall
funzionamento di Firewall 125
precedenza 133
riconoscimento della posizione, informazioni 133
gruppi regole, Firewall, vedere gruppi regole firewall
gruppi, firewall, vedere gruppi regole firewall
Guida del prodotto
Indice
gruppo
gruppo
gruppo
gruppo
di
di
di
di
regole
regole
regole
regole
adattive, Firewall 136
aggiunte dall'amministratore, Firewall 136
aggiunte dall'utente, Firewall 136, 137
di funzionalità di base rete McAfee, Firewall
136
gruppo di regole dinamiche, Firewall 136
gruppo di regole predefinito, Firewall 136
Gruppo regole adattive, Firewall 137
Guida introduttiva di Threat Intelligence 176
Guida, visualizzazione 14, 20
H
hash, informazioni 34, 81, 164
Host Intrusion Prevention, e Prevenzione exploit 76
Host IPS, e Prevenzione exploit 76
I
icona della barra delle applicazioni, definite da
McAfee 12
icona della barra delle applicazioni, McAfee 12, 33
aggiornamento della sicurezza 12
apertura di Endpoint Security Client 19
attivazione e disattivazione di Firewall 125
attivazione e visualizzazione dei gruppi a tempo 126
configurazione dell'accesso a Endpoint Security 33
gruppi a tempo Firewall 12
icona McAfee, vedere icona della barra delle applicazioni,
McAfee
icone, McAfee, vedere icona della barra delle applicazioni,
McAfee
icone, Web Control 158
Impostazione della priorità di Windows 90
impostazioni
aggiornamenti, configurazione 35
aggiornamenti, configurazione per 37
siti di origine per aggiornamenti client, configurazione 35
siti di origine, configurazione per 35
impostazioni, Threat Prevention
configurazione dei programmi potenzialmente indesiderati
78
indirizzi IP 129
affidabili 130
gruppi in grado di riconoscere la posizione 133
gruppi regole 133
Informazioni su
informazioni, visualizzazione della protezione 22
Intelligence sulle minacce
aggiornamenti dei file di contenuto 11
bridging server TIE gestito da McAfee ePO 174
componenti 172
configurazione della soglia di attivazione di Isolamento
dinamico applicazioni 181
file di registro 25
scenari 171
Tecnologia di contenimento dinamico delle applicazioni 182
Internet Explorer
e comportamento di ScriptScan 84
visualizzazione della guida di Endpoint Security 20
intrusioni, attivazione avvisi Firewall 127
invio di file per un'ulteriore analisi
Advanced Threat Defense 177
Product Improvement Program 177
Isolamento dinamico applicazioni
attivazione della soglia di attivazione 181
consentire la normale esecuzione delle applicazioni isolate
181
Impostazioni azioni contenuto, Controllo Web 165
impostazioni azioni del contenuto
Controllo Web 166
Impostazioni azioni del contenuto
Controllo Web 166
impostazioni Firewall
Opzioni 130
impostazioni processo, scansioni su richiesta 90
impostazioni, Controllo Web
controllo dell'accesso ai siti Web 165
controllo dell'accesso con categorie Web 166
controllo dell'accesso con classificazioni di sicurezza 166
impostazioni, Firewall
Opzioni 130
impostazioni, Intelligence sulle minacce
Tecnologia di contenimento dinamico delle applicazioni 182
impostazioni, Prevenzione delle minacce
Funzione Protezione dell'accesso 69
file di registro 25
gestione applicazioni isolate 184
informazioni 178, 179
processi, inclusione ed esclusione 185
regole definite da McAfee, configurazione 182
regole definite da McAfee, informazioni 183
J
joke, informazioni 64
K
keylogger, informazioni 64
L
La protezione dell'accesso
esempi 68
Guida del prodotto
197
Indice
limitazione delle richieste, configurazione 90
livelli di sicurezza
esempi 186
livello di sensibilità, McAfee GTI 34, 81, 164
logica di affidabilità, ottimizzazione delle scansioni all'accesso
82
M
malware
ricerca di 57
rilevamento durante la scansione 60
risposta ai rilevamenti 20
McAfee Agent
attività di aggiornamento del prodotto ed elenco degli
archivi 37
McAfee Endpoint Security Client, vedere Endpoint Security
Client
McAfee ePO
aggiornamento della protezione 10
e tipi di gestione 22
recupero dei file di contenuto AMCore 11
McAfee GTI
classificazioni sicurezza Web Control 159
configurazione livello di sensibilità 80
domande frequenti 128
e categorie Web 166
eccezioni 130
errore di comunicazione Controllo Web 157
feedback telemetria 80
invio eventi di blocco al server 127
opzioni firewall, configurazione 127
panoramica 34, 81, 164
rapporto sul sito Web Control 158
reputazione di rete del firewall, configurazione 127
scansione dei file prima del download 162, 164
scansioni all'accesso, configurazione 81
scansioni all'accesso, funzionamento 82
scansioni su richiesta, configurazione 86
scansioni su richiesta, funzionamento 87
specifica delle impostazioni del server proxy 34
McAfee Labs
aggiornamenti file di contenuto AMCore 11
download di Extra.DAT 29
e McAfee GTI 34, 81, 164
Extra.DAT 30
ulteriori informazioni sulle minacce 62
McAfee SECURE, pulsante Controllo Web 157
McTray, avvio 88
menu
Azione 14, 28
Controllo Web 161
Guida 14, 20
Impostazioni 14, 16, 17, 127, 137
Informazioni 22
menu Azione, informazioni 14
198
Menu Start, apertura di Endpoint Security Client 19
messaggi di errore, stati dell'icona della barra delle applicazioni
12
messaggi di notifica
informazioni su 14
interazione con Client Endpoint Security 12
Windows 8 e 10 14
messaggi, Endpoint Security
informazioni su 14
visualizzazione al rilevamento di una minaccia 81, 86
messaggi, Web Control 158
Microsoft Internet Explorer, vedere Internet Explorer
minacce
App di Windows Store 87
app Windows Store 82
cartella quarantena 62
e classificazioni di sicurezza 159
file di contenuto AMCore 11
gestione rilevamenti 61
ottenere altre informazioni da McAfee Labs 62
Processo di protezione dell'accesso 68
ripetizione della scansione di elementi in quarantena 65
tipi 64
violazioni dei punti di accesso 68
modalità accesso completo
opzioni modifica firewall 127
Modalità accesso completo
impostazioni policy 16
modalità Accesso standard
configurazione delle impostazioni di sicurezza client 33
Modalità accesso standard
accesso come amministratore 27
modalità accesso, Client Endpoint Security 16
modalità adattiva
configurazione in Firewall 127
Modalità adattiva
priorità regola 131
Modalità Blocca interfaccia client
sbloccare l'interfaccia 28
modalità Desktop, Windows 8 e 10
risposta a messaggi di rilevamento minaccia 20
Modalità Desktop, Windows 8 e 10
messaggi di notifica 14
Modalità di accesso standard
e impostazioni delle policy 16
effetti dell'impostazione di una password 33
gestione di regole e gruppi firewall 137
Modalità di blocco interfaccia client
all'apertura di Endpoint Security Client 19
modalità di interfaccia
configurazione delle impostazioni di sicurezza del client 33
modalità interfaccia
accesso standard 27
Guida del prodotto
Indice
modalità interfaccia (segue)
Accesso standard 33
Modalità Interfaccia Client, opzioni 16
moduli
Accesso Client Endpoint Security basato su policy 16
informazioni su Endpoint Security 9
installati in Client Endpoint Security 17
visualizzazione di informazioni su 22
moduli, Common
Impostazioni del server proxy McAfee GTI, configurazione
34
registrazione, configurazione 32
moduli, In comune
funzionamento di McAfee GTI 34, 81, 164
impostazioni aggiornamento, configurazione 37
impostazioni di aggiornamento, configurazione 35
sicurezza dell'interfaccia client, configurazione 33
siti di origine per aggiornamenti client 35
Modulo Common, configurazione
impostazioni 30
Impostazioni del server proxy McAfee GTI 34
registrazione 32
modulo In comune, Client Endpoint Security 17
modulo In comune, configurazione
Autoprotezione 31
impostazioni di aggiornamento 35, 37
sicurezza dell'interfaccia client 33
siti di origine per aggiornamenti client 35
modulo In comune, Endpoint Security Client 9
Motore di ricerca Ask e icone di sicurezza 158
Motore di ricerca Bing e icone di sicurezza 158
motori di scansione, panoramica del file di contenuto AMCore 11
Mozilla Firefox, vedere Firefox
N
non non gestito, vedere autogestito, informazioni
notifiche di tipo avviso popup, Windows 8 e 10 20
notifiche toast, Windows 8 e 10 14
O
opzione di utilizzo del sistema, panoramica 90
opzioni
configurazione delle scansioni all'accesso 81
configurazione delle scansioni su richiesta 86
ricerca di malware 57
opzioni firewall
modifica 127
Opzioni, Common
configurazione 30
impostazioni del server proxy, configurazione 34
impostazioni di registrazione, configurazione 32
pianificazione delle scansioni su richiesta 57
Opzioni, Firewall
eseguibili affidabili 131
reti definite 129
Opzioni, In comune
Opzioni, Prevenzione delle minacce
impostazioni comuni per le scansioni 80
Opzioni, Threat Prevention
programmi indesiderati 78
P
pagina Aggiorna 23
pagina di accesso amministratore
sbloccare l'interfaccia client 28
Pagina di accesso amministratore
all'apertura di Endpoint Security Client 19
Pagina di ripristino AMCore content 29
pagina di scansione, visualizzazione 20, 58
pagina Esegui scansione del sistema 58, 61
pagina impostazioni
pagina Impostazioni
opzioni modifica firewall 127
Pagina Impostazioni
e Modalità interfaccia client 16
gestione di regole e gruppi firewall 137
impostazioni del server proxy, configurazione 34
impostazioni di scansione all'accesso, configurazione 81
impostazioni di scansione su richiesta, configurazione 86
registrazione, configurazione 32
Pagina informazioni 10
Pagina Informazioni 22
pagina Quarantena 62
pagina Scansione all'accesso 61
pagina Stato della sicurezza McAfee, visualizzazione 12
Pagina Stato, visualizzazione di Riepilogo minacce 16
pagine
Aggiorna 23
Esegui scansione del sistema 58, 61
Impostazioni 16, 31–35, 37, 86, 127
Informazioni 10, 22
Quarantena 62
Registro eventi 24
Ricerca minacce 60
Ripristina AMCore content 29
Scansione all'accesso 20, 61
scansione, visualizzazione 58
Guida del prodotto
199
Indice
pagine (segue)
Stato della sicurezza McAfee 12
password
amministratore 27, 28
configurazione della sicurezza del client 33
controllo dell'accesso al client 33
password cracker, informazioni 64
phishing, rapporti inviati da utenti del sito 159
pianificazioni, scansioni su richiesta, rinvio 88
plug-in, attivazione di Controllo Web nel browser 160
policy
accesso Client Endpoint Security 16
definite 10
funzioni client 12
policy, Common
configurazione 30
policy, Prevenzione delle minacce
impostazioni comuni per le scansioni 80
scansioni su richiesta, rinvio 88
policy, Threat Prevention
popup e classificazioni di sicurezza 159
precedenza
gruppi firewall 133
funzione Protezione dell'accesso 69
informazioni su 9
scansione dei file prima del download 162, 164
scansioni all'accesso, informazioni 82
Prevenzione exploit
aggiornamenti file di contenuto 11
configurazione 77
e Host IPS 76
esclusione di processi 66
file di registro 25
informazioni 76
priorità
regole firewall 131
priorità, scansioni all'accesso 90
procedure consigliate
utilizzo di reti affidabili 130
processi a rischio basso, specifica 81
processi a rischio elevato, specifica 81
processi, Intelligence sulle minacce
inclusione ed esclusione in Isolamento dinamico
applicazioni 185
processi, Isolamento dinamico applicazioni
esclusioni 185
processi, Prevenzione delle minacce
esclusione 66
inclusione ed esclusione in Protezione dell'accesso 69
inclusione ed esclusione nella protezione dell'accesso 75
scansione 82
200
processi, protezione dell'accesso
esclusione basata su policy 75
esclusione basata su regole 75
processi, Threat Prevention
scansione 81
specifica di rischio basso ed elevato 81
Product Improvement Program 177
programmi di installazione affidabili, scansione 81
programmi di installazione, scansione affidabili 81
programmi potenzialmente indesiderati
attivazione rilevamento 79, 81, 86
configurazione del rilevamento 78
esclusione di elementi 66
informazioni 64
rilevamenti durante la scansione 58
specifica 78
specificare i programmi da rilevare 80
programmi, abilitare il rilevamento di potenzialmente
indesiderati 81, 86
protezione
configurazione dell'autoprotezione 31
interazione con 12
mantenimento dell'aggiornamento 10
visualizzazione di informazioni su 22
esclusione di processi 66
file di registro 25
informazioni 67
processi, inclusione ed esclusione 69, 75
regole definite da McAfee, informazioni 70
regole definite dall'utente, configurazione 73
regole predefinite da McAfee, configurazione 69
regole, informazioni 69
pulsante Avvia scansione 58
pulsante Visualizza rilevamenti 61
pulsante Visualizza scansione 58
pulsanti
Avvia scansione 58
Visualizza rilevamenti 61
Visualizza scansione 58
pulsanti, Controllo Web 157
Q
Quarantena, Prevenzione delle minacce
configurazione del percorso e delle impostazioni di
conservazione 80
ripetizione della scansione di elementi in quarantena 65
R
ransomware
creazione di regole di protezione dell'accesso contro 73
rapporti sul sito, vedere report, Web Control
rapporti sulla sicurezza, vedere report, Web Control
Guida del prodotto
Indice
registrazione client, configurazione 32
registri attività, Client Endpoint Security 25
registri degli eventi, client Endpoint Security
errori di aggiornamento 23
registri di debug, Client Endpoint Security 25
registri errori, Client Endpoint Security 25
registri eventi, Client Endpoint Security
informazioni 25
visualizzazione pagina registro eventi 24
regole definite da McAfee, Isolamento dinamico applicazioni 183
regole definite da McAfee, Protezione dell'accesso 70
regole definite dall'utente, Protezione dell'accesso
configurazione 73
regole di isolamento
Isolamento dinamico applicazioni 178
regole firewall
configurazione 131
consentire e bloccare 131
funzionamento 131
funzionamento di Firewall 125
ordini e priorità 131
uso dei caratteri jolly 138
regole personalizzate, vedere regole definite dall'utente,
regole, firewall, vedere Firewall : Firewall
regole, Isolamento dinamico applicazioni
configurazione 182
regole, Prevenzione delle minacce
configurazione 69
regole, Protezione dell'accesso
tipi 69
regole, Threat Prevention
modalità di funzionamento della protezione dell'accesso 68
report, Controllo Web
sicurezza 155
visualizzazione 161
report, Web Control 158, 159
sicurezza siti web 158
visualizzazione 161
reputazione file
risposta a richieste 21
reputazioni
attivazione della soglia di attivazione di Isolamento
come vengono determinate 174
Isolamento dinamico applicazioni 178
rete privata, aggiungere siti esterni 162
reti
affidabili 130
definizione 129
reti affidabili, vedere reti
Ricerca pagina minacce 60
ricerca sicura, configurazione di Controllo Web 162
ricerche
blocco dei siti rischiosi dai risultati 162
richieste di download, vedere Download di file
richieste, Endpoint Security
informazioni su 14
risposta a reputazione file 21
risposta a una scansione 21
Windows 8 e 10 20
Riepilogo minacce, informazioni 16
rilevamenti
esclusione per nome 80
gestione 58, 61
nomi 64
risposta a 20
segnalazione al server di gestione 10
tipi 58, 60
visualizzazione dei messaggi agli utenti 81, 86
rilevamenti di malware
durante la scansione 58
rilevamenti di trojan
rilevamenti di virus
rinvio scansione, panoramica 88
risposte, configurazione del rilevamento di programmi
indesiderati 79
S
Safari (Macintosh)
Scansione completa
configurazione 86
esecuzione da client Endpoint Security 58
informazioni 57
pianificazione nel client 91
Scansione di scelta rapida
configurazione 86
esecuzione da Windows Explorer 60
informazioni 57
Scansione rapida
configurazione 86
tipi di scansioni 57
scansione, all'accesso
ottimizzazione mediante logica di affidabilità 82
scansioni
Controllo Web 164
esecuzione scansione di scelta rapida 60
impostazioni comuni per le scansioni all'accesso e su
richiesta 80
personalizzate, creazione e pianificazione nel client 91
pianificazione con Client Endpoint Security 91
rinvio, sospensione, ripresa e annullamento 21
tipi 57
Guida del prodotto
201
Indice
scansioni (segue)
uso dei caratteri jolly nelle esclusioni 67
scansioni a impatto zero 88
scansioni all'accesso
configurazione 80, 81
file di registro 25
informazioni 57
numero di policy di scansione 85
ottimizzazione mediante logica di affidabilità 82
panoramica 82
programmi potenzialmente indesiderati, attivazione
rilevamento 79
rilevamenti delle minacce 20
script di scansione 84
ScriptScan 84
scrittura sul disco confrontata con lettura dal disco 82
scansioni dell'archivio remoto, panoramica 90
scansioni di sistema, tipi 57
scansioni incrementali 88
scansioni manuali
esecuzione da Endpoint Security Client 60
informazioni sui tipi di scansione 57
scansioni personalizzate, vedere scansioni su richiesta
scansioni recuperabili, vedere scansioni incrementali
scansioni su richiesta
configurazione 80
esecuzione di una scansione completa o di una scansione
rapida 58
esecuzione scansione di scelta rapida 60
file di registro 25
informazioni 57
panoramica 87
programmi potenzialmente indesiderati, attivazione
rilevamento 79
scansione di file o cartelle 60
scansioni dell'archivio remoto 90
utilizzo del sistema 90
scansioni, all'accesso
configurazione 81
numero di policy 85
panoramica 82
rilevamenti delle minacce, risposta a 20
rilevamento minacce nelle app di Windows Store 82
ScriptScan 84
scansioni, personalizzate, vedere scansioni, su richiesta
scansioni, su richiesta
configurazione 86
rilevamento minacce nelle app di Windows Store 87
scansioni dell'archivio remoto 90
202
scansioni, su richiesta (segue)
utilizzo del sistema 90
script, scansione 84
ScriptScan
attivazione 81
esclusione di URL 66
informazioni 84
server
bridging server TIE gestito da McAfee ePO 174
informazioni sui server TIE 174
server proxy
configurazione per McAfee GTI 34
funzionamento di McAfee GTI 34, 81, 164
impostazioni nell'elenco degli archivi 37
Server Threat Intelligence Exchange, vedere Server TIE
server TIE
bridging 174
informazioni 174
server, proxy, vedere server proxy
settori di avvio, scansione 81, 86
sicurezza
configurazione della sicurezza dell'interfaccia client 33
sistemi del server, e funzione di scansione quando il sistema è
inattivo 88
siti
classificazioni di sicurezza 159
comportamento blocchi e avvisi 156
protezione della navigazione 157
protezione durante le ricerche 158
visualizzazione rapporti sul sito Controllo Web 161
siti Web
classificazioni di sicurezza 159
protezione della navigazione 157
protezione durante le ricerche 158
visualizzazione rapporti sul sito Controllo Web 161
siti Web, avviso
basato sulle classificazioni 165
basato sulle classificazioni di sicurezza 166
siti Web, blocco
basato sulle categorie Web 165, 166
non classificato o sconosciuto 162
siti rischiosi nei risultati di ricerca 162
siti Web, controllo dell'accesso
con categorie Web 165
con classificazioni di sicurezza 166
con le categorie Web 166
siti, avviso
siti, blocco
basato sulle categorie Web 165, 166
Guida del prodotto
Indice
siti, controllo dell'accesso
con categorie Web 165, 166
con classificazioni di sicurezza 166
software client, definito 10
soglie
attivazione della soglia di attivazione di Isolamento
sottoregole, protezione dell'accesso
inclusione ed esclusione 75
sottoregole, Protezione dell'accesso
valutazione con destinazioni 74
traffico DNS, blocco 128
trojan
informazioni 64
spyware, informazioni 64
stato, Endpoint Security, visualizzazione dell'icona della barra
delle applicazioni McAfee 12
stealth, informazioni 64
strumenti di amministrazione remota, informazioni 64
V
T
tempo CPU, scansioni su richiesta 90
thread, priorità 90
Threat Intelligence
Endpoint Security 173
esempi di flusso di lavoro 176
Threat Prevention
Funzionalità di prevenzione exploit 77
gestione 65
Opzioni, programmi indesiderati 78
programmi potenzialmente indesiderati, rilevamento 78
scansioni all'accesso, configurazione 81
scansioni su richiesta, configurazione 86
scansioni su richiesta, informazioni 87
tipi di gestione
informazioni su 22
visualizzazione 22
tipi di gestione McAfee ePO Cloud 22
traffico
autorizzazione in uscita fino all'avvio dei servizi firewall 127
esaminati da Firewall 125
U
unità di rete, specifica delle opzioni di scansione 81
URL
esclusione dalla scansione script 66, 81
virus
firme 11
informazioni 64
vulnerabilità, vedere minacce
W
Web Control
aree commenti e icone 161
gestione 162
icone, descrizione 158
motori di ricerca e icone di sicurezza 158
rapporti sul sito 158
Windows 8 e 10
apertura di Endpoint Security Client 19
informazioni su messaggi di notifica 14
risposta a messaggi di rilevamento minaccia 20
Y
Yahoo
motore di ricerca predefinito 162
motore di ricerca supportato 158
Guida del prodotto
203
0-04

McAfee Endpoint Security

Transcript

Documenti analoghi

G DATA CLIENT SECURITY BUSINESS

SEZIONE VIIIE S SCANSIONE DEI DOCUMENTI SU SUPPORTO

Scarica la scheda tecnica

Posta Certificata: come configurare un account con il client Windows

Scansione dell` antivirus AVAST

scarica brochure

Cod. Articolo 41.560 9622B010 - 4549292013344

IT Security