McAfee Endpoint Security

Transcript

Guida del prodotto
McAfee Endpoint Security 10
COPYRIGHT
Copyright © 2014 McAfee, Inc. Copia non consentita senza autorizzazione.
ATTRIBUZIONI DEI MARCHI
McAfee, il logo McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone, Policy
Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource,
VirusScan, WaveSecure sono marchi o marchi registrati di McAfee, Inc. o sue filiali negli Stati Uniti e altre nazioni. Altri nomi e marchi possono essere
rivendicati come proprietà di terzi.
I nomi di prodotti e funzionalità sono soggetti a modifiche senza preavviso. Per consultare le versioni più recenti di prodotti e funzionalità consultare la
pagina mcafee.com.
INFORMAZIONI SULLA LICENZA
Contratto di licenza
AVVISO AGLI UTENTI: LEGGERE ATTENTAMENTE IL TESTO DEL CONTRATTO RELATIVO ALLA LICENZA ACQUISTATA, CHE STABILISCE LE CONDIZIONI
GENERALI PER L'USO DEL SOFTWARE CONCESSO IN LICENZA. NEL CASO IN CUI NON SI SAPPIA CON ESATTEZZA QUALE TIPO DI LICENZA È STATO
ACQUISTATO, CONSULTARE I DOCUMENTI DI VENDITA E ALTRI DOCUMENTI RELATIVI ALLA CONCESSIONE DELLA LICENZA O ALL'ORDINE DI
ACQUISTO ACCLUSI ALLA CONFEZIONE DEL SOFTWARE O RICEVUTI SEPARATAMENTE IN RELAZIONE ALL'ACQUISTO MEDESIMO (SOTTO FORMA DI
OPUSCOLO, FILE CONTENUTO NEL CD DEL PRODOTTO O FILE DISPONIBILE SUL SITO WEB DAL QUALE È STATO SCARICATO IL SOFTWARE). SE NON SI
ACCETTANO INTEGRALMENTE I TERMINI DEL CONTRATTO, NON INSTALLARE IL SOFTWARE. SE PREVISTO DAL CONTRATTO, L'UTENTE POTRÀ
RESTITUIRE IL PRODOTTO A MCAFEE O AL PUNTO VENDITA DA CUI È STATO ACQUISTATO ED ESSERE INTERAMENTE RIMBORSATO.
2
Guida del prodotto
Sommario
1
5
Introduzione
7
Moduli Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Modalità di protezione del computer da parte di Endpoint Security . . . . . . . . . . . . . .
8
Mantenimento dell'aggiornamento della protezione . . . . . . . . . . . . . . . . . . 8
Interazione con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
Informazioni sull'icona della barra delle applicazioni McAfee . . . . . . . . . . . . . . 10
Informazioni sui messaggi di notifica . . . . . . . . . . . . . . . . . . . . . . . 10
Informazioni su Endpoint Security Client . . . . . . . . . . . . . . . . . . . . . 11
2
Uso di Endpoint Security Client
17
Apertura di Endpoint Security Client . . . . . . . . . . . . . . . . . . . . . . . . . .
Richiesta di assistenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Risposta a richieste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Risposta a un messaggio di rilevamento minaccia . . . . . . . . . . . . . . . . . .
Risposta a richiesta di scansione . . . . . . . . . . . . . . . . . . . . . . . .
Informazioni sulla protezione . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipi di gestione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aggiornamento manuale di protezione e software . . . . . . . . . . . . . . . . . . . . .
Visualizzazione del Registro eventi . . . . . . . . . . . . . . . . . . . . . . . . . .
Informazioni sui file di registro . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione di Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Accesso come amministratore . . . . . . . . . . . . . . . . . . . . . . . . .
Sblocco dell'interfaccia client . . . . . . . . . . . . . . . . . . . . . . . . . .
Disattivazione e attivazione di funzioni . . . . . . . . . . . . . . . . . . . . . .
Modifica della versione AMCore content . . . . . . . . . . . . . . . . . . . . .
Uso dei file Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione delle impostazioni comuni . . . . . . . . . . . . . . . . . . . . .
3
Uso di Threat Prevention
35
Scansione del computer per individuare malware . . . . . . . . . . . . . . . . . . . . .
Tipi di scansioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Esecuzione di una scansione completa o di una scansione rapida . . . . . . . . . . .
Scansione di un file o una cartella . . . . . . . . . . . . . . . . . . . . . . . .
Gestione dei rilevamenti di minacce . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione degli elementi in quarantena . . . . . . . . . . . . . . . . . . . . . . . . .
Nomi rilevamenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestione di Threat Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Esclusione di elementi dalla scansione . . . . . . . . . . . . . . . . . . . . . .
Rilevamento di programmi potenzialmente indesiderati . . . . . . . . . . . . . . .
Configurare le impostazioni della policy di protezione dell'accesso . . . . . . . . . . .
Configurare le impostazioni della policy di prevenzione exploit . . . . . . . . . . . . .
Configurare le impostazioni della policy di scansione all'accesso . . . . . . . . . . . .
Configurare le impostazioni della policy di scansione su richiesta . . . . . . . . . . .
17
18
18
18
19
19
20
20
21
22
24
24
24
25
25
26
27
35
35
36
38
39
39
41
42
42
44
46
48
49
54
Guida del prodotto
3
Sommario
Pianificazione delle attività di scansione completa e scansione rapida . . . . . . . . .
59
Configurazione delle impostazioni di scansione comuni . . . . . . . . . . . . . . . . 59
4
Utilizzo del Firewall
Funzionamento di Firewall . . . . . . . . . .
Gestione di Firewall . . . . . . . . . . . . .
Modifica delle opzioni Firewall . . . . . .
Configurazione di gruppi e regole Firewall .
5
61
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
Utilizzo di Web Control
75
Informazioni sulle funzioni di Web Control . . . . . . . . . . . . . . . . . . . . . . .
Identificazione delle minacce durante la navigazione tramite il pulsante Web Control . . .
Identificazione delle minacce durante la ricerca mediante le icone di sicurezza . . . . . .
Fornitura di dettagli da parte dei rapporti sul sito . . . . . . . . . . . . . . . . . .
Compilazione delle classificazioni di sicurezza . . . . . . . . . . . . . . . . . . .
Accesso alle funzioni di Web Control . . . . . . . . . . . . . . . . . . . . . . . . . .
Accesso alle funzioni durante la navigazione . . . . . . . . . . . . . . . . . . . .
Visualizzazione del rapporto sul sito durante le ricerche . . . . . . . . . . . . . . .
Visualizzazione di rapporti sul sito . . . . . . . . . . . . . . . . . . . . . . . .
Risoluzione dei problemi di comunicazione . . . . . . . . . . . . . . . . . . . .
Gestione di Web Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurazione delle opzioni Web Control . . . . . . . . . . . . . . . . . . . . .
Specificare azioni di classificazione e bloccare l'accesso ai siti in base a una categoria Web
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Indice
4
61
61
62
64
75
76
77
77
78
79
79
80
80
81
81
82
85
133
Guida del prodotto
®
McAfee Endpoint Security è una soluzione di gestione della sicurezza completa che viene eseguita sui
computer di rete per identificare e arrestare le minacce automaticamente. Questa guida spiega come
utilizzare le funzioni di sicurezza di base e risolvere i principali errori.
Guida introduttiva
•
Moduli Endpoint Security a pagina 7
•
Modalità di protezione del computer da parte di Endpoint Security a pagina 8
•
Interazione con Endpoint Security a pagina 9
Attività eseguite di frequente
•
Apertura di Endpoint Security Client a pagina 17
•
Aggiornamento manuale di protezione e software a pagina 20
•
Scansione del computer per individuare malware a pagina 35
•
Sblocco dell'interfaccia client a pagina 24
Ulteriori informazioni
Per accedere a ulteriori informazioni su questo prodotto, vedere:
•
Guida all'installazione McAfee Endpoint
Security
•
Guida Endpoint Security Firewall
•
Note di rilascio McAfee Endpoint Security
•
Guida Endpoint Security Web Control
•
Guida Endpoint Security Threat Prevention
•
Assistenza McAfee
Guida del prodotto
5
6
Guida del prodotto
1
Introduzione
Endpoint Security è una soluzione di gestione della sicurezza completa che viene eseguita sui
computer di rete per identificare e arrestare le minacce automaticamente. Questa guida spiega come
utilizzare le funzioni di sicurezza di base e risolvere i principali errori.
Se il computer è gestito, un amministratore imposta e configura Endpoint Security utilizzando uno dei
seguenti server di gestione:
•
McAfee ePolicy Orchestrator (McAfee ePO )
•
McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)
•
McAfee SecurityCenter
®
®
®
®
™
™
®
Se il computer è autogestito, l'utente (o l'amministratore) può configurare il software utilizzando
Endpoint Security Client.
Sommario
Moduli Endpoint Security
Modalità di protezione del computer da parte di Endpoint Security
Interazione con Endpoint Security
Moduli Endpoint Security
L'amministratore configura e installa uno o più moduli Endpoint Security sui computer client.
•
Threat Prevention – Verifica la presenza di virus, spyware, programmi indesiderati e altre
minacce in modo automatico (attraverso la scansione degli elementi ogni volta che vi si accede) o
in modo manuale (in qualsiasi momento venga richiesto dall'utente).
•
Firewall – Monitora la comunicazione tra il computer e le risorse sulla rete e in Internet. Intercetta
le comunicazioni sospette.
•
Web Control – Mostra le classificazioni di sicurezza e i report per i siti Web durante la navigazione
e la ricerca online. Web Control consente all'amministratore del sito di bloccare l'accesso ai siti Web
in base alle classificazioni di sicurezza o al contenuto.
Inoltre, il modulo Common fornisce impostazioni per funzioni comuni, come sicurezza e registrazione
dell'interfaccia. Questo modulo viene installato automaticamente se è installato qualsiasi altro modulo.
Guida del prodotto
7
1
Introduzione
Modalità di protezione del computer da parte di Endpoint Security
Modalità di protezione del computer da parte di Endpoint
Security
Generalmente, un amministratore imposta Endpoint Security, installa il software sui computer client,
monitora lo stato della sicurezza e imposta le regole di sicurezza, definite policy.
L'utente di un computer client può interagire con Endpoint Security attraverso il software client
installato nel computer. Le policy impostate dall'amministratore determinano il modo in cui le funzioni
e i moduli operano sul computer e la possibilità di modificarli.
Se Endpoint Security è autogestito, è possibile specificare il funzionamento di moduli e funzioni. Per
stabilire il tipo di gestione, visualizzare la pagina Informazioni.
A intervalli regolari, il software client del computer si connette a un sito Internet per aggiornare i
propri componenti. Contemporaneamente, invia i dati relativi ai rilevamenti sul computer al server di
gestione. Questi dati vengono utilizzati per generare i report per l'amministratore relativi ai rilevamenti
e ai problemi di sicurezza del computer.
In genere, il software client funziona in background senza interazione dell'utente. Talvolta, tuttavia,
può essere necessario interagire con esso. Ad esempio quando si intende controllare la disponibilità di
aggiornamenti software o eseguire la scansione anti-malware manualmente. A seconda delle policy
impostate dall'amministratore, potrebbe essere possibile personalizzare le impostazioni di sicurezza.
L'amministratore può gestire e configurare centralmente il software client utilizzando McAfee ePO,
McAfee ePO Cloud o SecurityCenter.
Vedere anche
Informazioni sulla protezione a pagina 19
Mantenimento dell'aggiornamento della protezione
Aggiornamenti regolari di Endpoint Security garantiscono una protezione costante del computer dalle
più recenti minacce.
Per eseguire gli aggiornamenti, il software client si connette a un server McAfee ePO locale o remoto o
direttamente a un sito in Internet. Endpoint Security cerca:
•
Aggiorna i file di contenuto utilizzati per rilevare le minacce. I file di contenuto contengono le
definizioni per le minacce quali virus e spyware e tali definizioni vengono aggiornate non appena
vengono rilevate nuove minacce.
•
Gli upgrade dei componenti software, quali patch e hotfix.
Sui sistemi autogestiti, l'attività Aggiornamento client predefinito aggiorna tutti i contenuti e il software.
Sui sistemi gestiti, questa attività aggiorna solo i contenuti.
Per semplificare la terminologia, la presente guida fa riferimento sia agli aggiornamenti sia agli
upgrade come aggiornamenti.
Gli aggiornamenti in genere vengono eseguiti automaticamente in background. Potrebbe essere inoltre
necessario controllare manualmente la disponibilità di aggiornamenti. A seconda delle impostazioni, è
possibile aggiornare manualmente la protezione da Endpoint Security Client facendo clic su
.
Vedere anche
8
Guida del prodotto
Introduzione
1
Funzionamento dei file di contenuto
La ricerca delle minacce tra i file effettuata dal motore di scansione avviene sulla base del confronto
del contenuto dei file sottoposti a scansione con le informazioni di minacce note memorizzate nei file
AMCore content. La prevenzione exploit utilizza i propri file di contenuto per proteggersi dagli exploit.
AMCore content
McAfee Labs rileva e aggiunge informazioni sulle minacce note (firme) ai file di contenuto. Insieme alla
firme, i file di contenuto includono informazioni su pulizia e metodo di contrasto del danno che
potrebbe causare il virus.
Se la firma di un virus non si trova in nessuno dei file di contenuto installati, il motore di scansione non
può rilevare e ripulire quel virus.
Nuove minacce appaiono continuamente. McAfee Labs rilascia aggiornamenti del motore e nuovi file di
contenuto che includono i risultati delle ricerche sulle minacce in corso quasi ogni giorno, circa alle
18:00 (GMT).
Endpoint Security archivia il file di contenuto attualmente caricato e le due versioni precedenti nella
cartella Program Files\Common Files\McAfee\Engine\content. Se necessario, è possibile tornare a una
versione precedente.
Quando viene scoperto un nuovo malware ed è necessario effettuare ulteriori rilevamenti, McAfee Labs
rende disponibile un file Extra.DAT fino al rilascio dell'aggiornamento dei contenuti successivo.
Contenuto prevenzione exploit
Il contenuto di prevenzione exploit include:
•
Firme di protezione della memoria – Protezione da overflow del buffer generica (GBOP) e Kevlar.
•
Elenco protezione applicazioni – Processi protetti dalla prevenzione exploit.
McAfee rilascia nuovi file di contenuto di prevenzione exploit una volta al mese.
Endpoint Security fornisce componenti visivi per l'interazione con Endpoint Security Client.
•
Icona McAfee nella barra delle applicazioni di Windows – Consente di avviare Endpoint Security
Client e visualizzare gli stati di sicurezza.
•
Messaggi di notifica – Avvisano l'utente di eseguire la scansione e il rilevamento delle intrusioni
firewall; richiedono un input.
•
Pagina Scansione all'accesso – Mostra l'elenco dei rilevamenti di minacce quando il programma di
scansione all'accesso rileva una minaccia.
•
Endpoint Security Client – Mostra lo stato di protezione attuale e fornisce accesso alle funzioni.
Per i sistemi gestiti, l'amministratore configura e assegna le policy per specificare quali componenti
sono visualizzati.
Vedere anche
Informazioni sull'icona della barra delle applicazioni McAfee a pagina 10
Informazioni sui messaggi di notifica a pagina 10
Gestione dei rilevamenti di minacce a pagina 39
Informazioni su Endpoint Security Client a pagina 11
Guida del prodotto
9
1
Introduzione
Informazioni sull'icona della barra delle applicazioni McAfee
L'icona McAfee nella barra delle applicazioni di Windows consente di accedere a Endpoint Security
Client.
L'icona McAfee potrebbe non essere disponibile, in base alla modalità di configurazione delle
impostazioni.
Utilizzare l'icona della barra delle applicazioni per:
•
Controllare lo stato della sicurezza – Fare clic con il pulsante destro del mouse sull'icona e
selezionare Mostra stato sicurezza per visualizzare la pagina Stato della sicurezza McAfee.
•
Aprire Endpoint Security Client – Fare clic con il pulsante destro del mouse sull'icona e selezionare
McAfee Endpoint Security.
Modalità di indicazione dello stato di Endpoint Security da parte dell'icona
L'aspetto dell'icona cambia per indicare lo stato di Endpoint Security. Mantenere il cursore sull'icona
per visualizzare un messaggio che descrive lo stato.
Icona Indica...
Endpoint Security protegge il sistema e non è presente alcun problema.
Endpoint Security rileva un problema di sicurezza, ad esempio una tecnologia o un modulo
disattivato.
• Firewall è disattivato.
• Threat Prevention – prevenzione exploit, scansione all'accesso o ScriptScan sono disattivati.
Endpoint Security riporta i problemi in modo diverso, in base al tipo di gestione.
Autogestito Una o più tecnologie sono disattivate.
Gestito
Una o più tecnologie sono state disattivate manualmente, non come risultato
di un'imposizione delle policy dal server di gestione.
Quando viene rilevato un problema, la pagina Stato della sicurezza McAfee indica quale modulo o
tecnologia sono disattivati.
Informazioni sui messaggi di notifica
Endpoint Security utilizza due tipi di messaggi per informare l'utente a proposito dei problemi di
protezione o per richiedere un input. Alcuni messaggi potrebbero non essere visualizzati, in base alla
modalità di configurazione delle impostazioni.
Endpoint Security invia due tipi di notifiche:
•
Popup di avviso dall'icona McAfee, visualizzato per cinque secondi.
Gli avvisi informano l'utente a proposito dei rilevamenti di minacce, come gli eventi di intrusione
Firewall, o quando una scansione su richiesta viene sospesa o ripristinata. Non è necessaria alcuna
azione da parte dell'utente.
•
10
Richieste apre una pagina nella parte inferiore dello schermo e resta visibile fino a quando si
seleziona un'opzione.
Guida del prodotto
1
Introduzione
Ad esempio:
•
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe
richiedere all'utente di rinviare la scansione.
•
Quando il programma di scansione all'accesso rileva una minaccia, Endpoint Security potrebbe
richiedere all'utente di rispondere al rilevamento.
In modalità Metro di Windows 8, le notifiche di tipo avviso popup vengono visualizzate nell'angolo in
alto a destra dello schermo per comunicare all'utente avvisi e richieste. Fare clic sulla notifica di tipo
avviso popup per visualizzare la notifica in modalità Desktop.
Il processo McTray.exe deve essere in esecuzione affinché Endpoint Security possa visualizzare avvisi e
richieste.
Vedere anche
Risposta a un messaggio di rilevamento minaccia a pagina 18
Risposta a richiesta di scansione a pagina 19
Informazioni su Endpoint Security Client
Endpoint Security Client consente di verificare le funzioni di accesso e stato di protezione sul
computer.
•
Le opzioni del menu Azione
Impostazioni
consentono di accedere alle funzioni.
Configura le impostazioni delle funzioni.
Questa opzione di menu è disponibile se una delle affermazioni seguenti è
vera:
• La Modalità interfaccia client è impostata su Accesso completo.
• L'utente è collegato come amministratore.
Carica Extra.DAT
Consente di installare un file Extra.DAT scaricato.
Ripristina AMCore
content
Ripristina una versione precedente di AMCore content.
Questa opzione di menu è disponibile se una versione precedente di AMCore
content esiste sul sistema e se una delle seguenti affermazioni è vera:
• La Modalità interfaccia client è impostata su Accesso completo.
• L'utente è collegato come amministratore.
Guida
Mostra la guida.
Link assistenza
Consente di visualizzare una pagina con collegamenti a pagine utili, come
McAfee ServicePortal e il Centro informazioni.
Accesso
amministratore
Consente di accedere come amministratore del sito. (Richiede le credenziali di
amministratore.)
La password predefinita è mcafee.
Questa opzione di menu è disponibile se la Modalità interfaccia client non è
impostata su Accesso completo. Se è stato effettuato l'accesso come
amministratore, questa opzione è Disconnetti amministratore.
Informazioni
Mostra informazioni su Endpoint Security.
Esci
Esce da Endpoint Security Client.
Guida del prodotto
11
1
Introduzione
•
I pulsanti nella parte superiore destra della pagina forniscono un accesso rapido alle attività
frequenti.
Verifica la presenza di malware con una scansione completa o una
scansione rapida del sistema.
Questo pulsante è disponibile solo se il modulo Threat Prevention è
installato.
Aggiorna i file di contenuto e i componenti software sul computer.
Questo pulsante potrebbe non essere visualizzato, in base alla modalità
di configurazione delle impostazioni.
•
I pulsanti sul lato sinistro della pagina forniscono informazioni sulla protezione.
Stato
Torna alla pagina Stato principale.
Registro eventi
Mostra il registro di tutti gli eventi di protezione e minaccia sul computer.
Quarantena
Apre il Gestore quarantena.
Questo pulsante è disponibile solo se il modulo Threat Prevention è installato.
•
Riepilogo minacce fornisce informazioni sulle minacce rilevate da Endpoint Security sul sistema
negli ultimi 30 giorni.
Vedere anche
Caricamento di un file Extra.DAT a pagina 27
Accesso come amministratore a pagina 24
Scansione del computer per individuare malware a pagina 35
Visualizzazione del Registro eventi a pagina 21
Gestione degli elementi in quarantena a pagina 39
Gestione di Endpoint Security a pagina 24
Informazioni su Riepilogo minacce a pagina 12
Informazioni su Riepilogo minacce
La pagina Stato di Endpoint Security Client fornisce un riepilogo in tempo reale delle minacce rilevate
sul sistema negli ultimi 30 giorni.
Quando vengono rilevate nuove minacce, la pagina Stato aggiorna in modo dinamico i dati nell'area
Riepilogo minacce, nel riquadro inferiore.
12
Guida del prodotto
Introduzione
1
Il Riepilogo minacce include:
•
Data dell'ultima minaccia eliminata
•
I due vettori principali di minaccia, per categoria:
•
Web
Minacce da pagine Web o download.
Dispositivi o supporti
esterni
Minacce da dispositivi esterni, come USB, firewire 1394, eSATA, unità
nastro, CD, DVD o dischi.
Rete
Minacce dalla rete (condivisione di file non in rete).
Sistema locale
Minacce dall'unità di sistema file di boot locale (solitamente C:) o da unità
diverse da quelle classificate come Dispositivi o supporti esterni.
Condivisione file
Minacce da una condivisione di file in rete.
Email
Minacce dai messaggi email.
Messaggio immediato
Minacce da messaggistica immediata.
Sconosciuto
Minacce per le quale il vettore di attacco non è stabilito (a causa di una
condizione di errore o di altri errori).
Numero di minacce per vettore di minaccia
Se Endpoint Security Client non riesce a stabilire una connessione con Event ManagerEndpoint Security
Client, viene visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il proprio
sistema per visualizzare il Riepilogo minacce.
Influenza delle impostazioni sull'accesso al client
Le impostazioni Modalità interfaccia client assegnate al computer determinano a quali moduli e
funzioni è possibile accedere.
Modificare la Modalità interfaccia client nelle impostazioni Common.
Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO, McAfee ePO Cloud o da
SecurityCenter potrebbero sovrascrivere le modifiche apportate dalla pagina Impostazioni.
Le opzioni Modalità interfaccia client per il client sono:
Guida del prodotto
13
1
Introduzione
Consente di accedere a tutte le funzionalità, tra cui:
Accesso
completo
• Attivazione e disattivazione di singoli moduli e funzioni.
• Accesso alla pagina Impostazioni per visualizzare o modificare tutte le impostazioni di
Questa modalità è l'impostazione predefinita per i sistemi autogestiti.
Visualizza lo stato di protezione e consente di accedere alla maggior parte delle
funzionalità:
Accesso
standard
• Aggiorna i file di contenuto e i componenti software sul computer (se attivato
dall'amministratore).
• Esecuzione di un controllo approfondito di tutte le zone del sistema (consigliato se si
sospetta che il computer sia infetto).
• Esecuzione di un controllo rapido (2 minuti) delle zone del sistema più soggette alle
infezioni.
• Accesso al registro eventi.
• Gestione di elementi in quarantena.
Questa modalità è l'impostazione predefinita per i sistemi gestiti.
Dalla modalità interfaccia Accesso standard, è possibile eseguire l'accesso come
amministratore e accedere a tutte le funzioni, comprese tutte le impostazioni.
Richiede una password per accedere al client.
Blocca
interfaccia
client
Una volta sbloccata l'interfaccia client, è possibile accedere a tutte le funzioni.
Se non è possibile accedere a Endpoint Security Client o ad attività e funzioni specifiche necessarie per
il proprio lavoro, contattare l'amministratore.
Vedere anche
Configurazione delle impostazioni per la sicurezza dell'interfaccia client a pagina 29
Come influiscono i moduli installati sul client
Alcuni aspetti del client potrebbero non essere disponibili, a seconda dei moduli installati sul computer.
Le seguenti funzionalità sono disponibili solo se Threat Prevention è installato:
•
pulsante
•
Pulsante Quarantena
Le funzioni installate sul sistema determinano le funzionalità visualizzate:
•
Nel menu a discesa del Registro eventi, Filtra per modulo.
•
Nella pagina Impostazioni.
Common
Viene visualizzato se è installato un modulo.
Threat Prevention
Viene visualizzato solo se Threat Prevention è installato.
Firewall
Viene visualizzato solo se Firewall è installato.
Web Control
Viene visualizzato solo se Web Control è installato.
In base alla Modalità interfaccia client e al tipo di configurazione dell'accesso da parte
dell'amministratore, alcune o tutte queste funzioni potrebbero non essere disponibili.
14
Guida del prodotto
Introduzione
1
Vedere anche
Influenza delle impostazioni sull'accesso al client a pagina 13
Guida del prodotto
15
1
Introduzione
16
Guida del prodotto
2
Utilizzare il client in modalità di accesso Standard per eseguire la maggior parte delle funzioni, incluse
le scansioni di sistema e la gestione degli elementi in quarantena.
Sommario
Apertura di Endpoint Security Client
Richiesta di assistenza
Risposta a richieste
Informazioni sulla protezione
Aggiornamento manuale di protezione e software
Visualizzazione del Registro eventi
Gestione di Endpoint Security
Apertura di Endpoint Security Client
Aprire Endpoint Security Client per visualizzare lo stato delle funzioni di protezione installate sul
computer.
Se la modalità interfaccia è impostata su Blocca interfaccia client, inserire la password amministratore per
aprire Endpoint Security Client.
Attività
1
Utilizzare uno di questi metodi per visualizzare Endpoint Security Client:
•
Fare clic con il pulsante destro del mouse sull'icona della barra delle applicazioni, quindi
selezionare McAfee Endpoint Security.
•
Selezionare Start | Tutti i programmi | McAfee | McAfee Endpoint Security.
•
2
In Windows 8, avviare l'app McAfee Endpoint Security.
1
Premere il tasto Windows per visualizzare la schermata Start.
2
Accedere a McAfee Endpoint Security, quindi fare doppio clic o toccare l'app McAfee Endpoint
Security.
Se richiesto, immettere la password amministratore nella pagina Accesso amministratore, quindi fare
clic su Accedi.
Endpoint Security Client si apre nella modalità interfaccia configurata dall'amministratore.
Vedere anche
Guida del prodotto
17
2
I due metodi di richiesta di assistenza durante l'uso del client sono l'opzione di menu Guida e l'icona ?.
Attività
1
Aprire Endpoint Security Client.
2
A seconda della pagina in cui ci si trova:
•
Pagine Stato, Registro eventi e Quarantena: dal menu Azione
•
Pagine Impostazioni, Aggiorna, Esegui scansione del sistema, Ripristina AMCore content e Carica Extra.DAT: fare
clic su ? nell'interfaccia.
, selezionare Guida.
Risposta a richieste
A seconda della configurazione delle impostazioni, Endpoint Security può richiedere all'utente un input
quando sta per iniziare una scansione su richiesta pianificata.
Attività
•
Quando il programma di scansione rileva una minaccia, Endpoint Security potrebbe
richiedere all'utente un input per procedere, in base alla modalità di configurazione delle
impostazioni.
•
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe
richiedere all'utente un input per procedere. La richiesta viene visualizzata solo se la
scansione è configurata per consentire all'utente di rinviare, sospendere, riprendere o
annullare la scansione.
Risposta a un messaggio di rilevamento minaccia
Quando il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere
all'utente un input per procedere, in base alla modalità di configurazione delle impostazioni.
alto a destra dello schermo per comunicare all'utente i rilevamenti di minacce. Fare clic sulla notifica di
tipo avviso popup per visualizzare la richiesta in modalità Desktop.
Attività
Per le definizioni delle opzioni, fare clic su ? nell'interfaccia.
•
Dalla pagina Scansione all'accesso, selezionare le opzioni per gestire i rilevamenti di minacce.
È possibile aprire nuovamente e in qualsiasi momento la pagina di scansione per gestire i
rilevamenti.
L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint
Security o del sistema.
Vedere anche
18
Guida del prodotto
2
Risposta a richiesta di scansione
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe richiedere
all'utente un input per procedere. La richiesta viene visualizzata solo se la scansione è configurata per
consentire all'utente di rinviare, sospendere, riprendere o annullare la scansione.
Se non si seleziona un'opzione, la scansione viene avviata automaticamente.
Esclusivamente per i sistemi gestiti, se la scansione è configurata per essere eseguita solo quando il
computer è inattivo, Endpoint Security mostra una finestra di dialogo quando la scansione viene
sospesa. Se configurato, è inoltre possibile riprendere le scansioni sospese o reimpostarle per
l'esecuzione solo quando il sistema è inattivo.
alto a destra dello schermo per richiedere un input all'utente. Fare clic sulla notifica di tipo avviso popup
per visualizzare la richiesta in modalità Desktop.
Attività
•
Quando viene visualizzata la richiesta, selezionare una delle seguenti opzioni.
Le opzioni visualizzate dipendono dal tipo di configurazione della scansione.
Avvia scansione
Avvia immediatamente la scansione.
Visualizza scansione Visualizza i rilevamenti per una scansione in corso.
Sospendi scansione Sospende la scansione. A seconda della configurazione, se si fa clic su Sospendi
scansione la scansione potrebbe essere reimpostata per l'esecuzione solamente
quando il sistema è inattivo. Fare clic su Riprendi scansione per riprendere la
scansione da dove è stata sospesa.
Riprendi scansione
Riprende una scansione sospesa.
Annulla scansione
Annulla la scansione.
Rinvia scansione
Ritarda la scansione per il numero di ore specificato.
Le opzioni della scansione pianificata determinano quante volte è possibile
rinviare la scansione per un'ora. Potrebbe essere possibile rinviare la scansione
più di una volta.
Chiudi
Chiude la pagina di scansione.
Se il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere all'utente
un input per procedere, in base alla modalità di configurazione delle impostazioni.
Vedere anche
È possibile ottenere informazioni sulla protezione Endpoint Security, inclusi tipo di gestione, moduli,
funzioni, stato, numeri di versione e licenze della protezione.
Attività
1
2
Dal menu Azione
, selezionare Informazioni.
Guida del prodotto
19
2
3
Fare clic sul nome di un modulo o di una funzione a sinistra per passare alle informazioni su
quell'elemento.
4
Fare clic sul pulsante Chiudi del browser per chiudere la pagina Informazioni.
Vedere anche
Tipi di gestione a pagina 20
Tipi di gestione
Il tipo di gestione indica la modalità di gestione di Endpoint Security.
Tipo gestione
Descrizione
McAfee ePolicy Orchestrator
Un amministratore gestisce Endpoint Security utilizzando McAfee
ePO (in sede).
McAfee ePolicy Orchestrator
Cloud
Un amministratore gestisce Endpoint Security utilizzando McAfee
ePO Cloud.
McAfee SecurityCenter
Un amministratore gestisce Endpoint Security utilizzando
SecurityCenter.
Autogestito
Endpoint Security è gestito localmente utilizzando Endpoint Security
Client. Questa modalità è anche definita non gestito o autonomo.
In base al tipo di configurazione delle impostazioni, è possibile eseguire la ricerca e scaricare gli
aggiornamenti manualmente per i file di contenuto e i componenti software sul computer.
non viene visualizzato nel client, è possibile attivarlo nelle impostazioni della .
Se
Per ulteriori informazioni vedere Configurare il comportamento di aggiornamento del a pagina 31.
Gli aggiornamenti manuali vengono anche definiti aggiornamenti su richiesta.
Attività
1
2
Fare clic su
.
Endpoint Security Client verifica la disponibilità di aggiornamenti.
•
Per annullare l'aggiornamento, fare clic su Annulla.
Questa opzione è disponibile solamente sui sistemi autogestiti e gestiti da McAfee ePO.
20
Guida del prodotto
2
•
Se il sistema è aggiornato, la pagina mostra l'opzione Nessun aggiornamento disponibile e la data e
l'ora dell'ultimo aggiornamento.
•
Se l'aggiornamento viene eseguito correttamente, la pagina mostra data e ora attuali dell'ultimo
aggiornamento.
Tutti i messaggi o errori vengono visualizzati nell'area Messaggi.
Per maggiori informazioni consultare il file PackageManager_Activity.log o
PackageManager_Debug.log.
3
Fare clic su Chiudi per chiudere la pagina di aggiornamento.
Vedere anche
Mantenimento dell'aggiornamento della protezione a pagina 8
Informazioni sui file di registro a pagina 22
Configurare il comportamento di aggiornamento del a pagina 31
Nei registri delle attività e di debug vengono registrati gli eventi che si verificano sul proprio sistema
protetto da McAfee. È possibile visualizzare il registro eventi da Endpoint Security Client.
Per assistenza, nel menu Azione
Attività
1
2
Fare clic su Registro eventi nella parte sinistra della pagina.
La pagina mostra tutti gli eventi registrati da Endpoint Security sul proprio sistema negli ultimi 30
giorni.
Se Endpoint Security Client non riesce a stabilire una connessione con il gestore quarantena, viene
visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il proprio sistema
per visualizzare il Registro eventi.
3
Selezionare un evento dal riquadro superiore per visualizzare i dettagli nel riquadro inferiore.
Per modificare le dimensioni relative dei riquadri, fare clic e trascinare il widget scorrevole tra i
riquadri.
Guida del prodotto
21
2
4
Nella pagina Registro eventi, ordinare, cercare, filtrare o ricaricare eventi.
Le opzioni visualizzate dipendono dal tipo di configurazione della scansione.
Ordinare gli eventi per data,
funzioni, azione intrapresa e
gravità
Fare clic sull'intestazione colonna della tabella.
Eseguire ricerche nel registro
eventi
Inserire il testo da cercare nel campo Cerca e premere Invio
o fare clic su Cerca.
La ricerca distingue tra minuscole e maiuscole e cerca il testo
inserito in tutti i campi del registro eventi. L'elenco eventi
mostra tutti gli elementi con testo corrispondente.
Per annullare la ricerca e visualizzare tutti gli eventi, fare clic
su x nel campo Cerca.
5
Filtrare gli eventi per gravità o
modulo
Selezionare un'opzione dall'elenco a discesa del filtro.
Aggiornare la visualizzazione
del Registro eventi con eventuali
nuovi eventi
Fare clic su
Aprire la cartella contenente i
file di registro
Fare clic su Visualizza cartella registri.
Per rimuovere il filtro e visualizzare tutti gli eventi,
selezionare Mostra tutti gli eventi dall'elenco a discesa.
.
Sfogliare il Registro eventi.
Visualizzare la pagina di eventi
precedente
Fare clic su Pagina precedente.
Visualizzare la pagina di eventi
successiva
Fare clic su Pagina successiva.
Visualizzare una pagina specifica nel
registro
Immettere un numero di pagina e premere Invio
o fare clic su Vai.
Per impostazione predefinita, il registro eventi mostra 20 eventi per pagina. Per visualizzare più
eventi per pagina, selezionare un'opzione dall'elenco a discesa Eventi per pagina.
Vedere anche
Informazioni sui file di registro
I file dei registri delle attività e di debug registrano eventi che si verificano nei sistemi con Endpoint
Security attivato. Configurare la registrazione nelle impostazioni Common.
I file di registro vengono visualizzati nella lingua specificata dalle impostazioni locali predefinite del
sistema.
Per impostazione predefinita, tutti i file di registro attività e di debug vengono memorizzati in uno dei
seguenti percorsi, a seconda del sistema operativo.
Sistema operativo
Percorso predefinito
Microsoft Windows 8.1
(Blue)
%ProgramData%\McAfee\Endpoint Security\Logs
%ProgramData%\McAfee\Endpoint Security\Installer\Logs
Microsoft Windows 8
Microsoft Windows 7
22
Guida del prodotto
2
Sistema operativo
Percorso predefinito
Microsoft Vista
C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint
Security\Logs
Microsoft Windows XP
Cartella McAfee\Endpoint Security\Logs nella cartella dei dati
dell'applicazione
Ogni modulo, funzione o tecnologia posiziona registrazioni di attività o debug in un file separato. Tutti i
moduli posizionano registrazioni di errore in un singolo file denominato
EndpointSecurityPlatform_Errors.log.
L'attivazione della registrazione debug per ogni modulo consente inoltre la registrazione di debug per le
funzioni del modulo Common, come l'autoprotezione.
Tabella 2-1 File di registro
Modulo
Funzionalità o tecnologia
Common
Nome file
EndpointSecurityPlatform_Activity.log
EndpointSecurityPlatform_Debug.log
Autoprotezione
SelfProtection_Activity.log
SelfProtection_Debug.log
Aggiornamenti
PackageManager_Activity.log
PackageManager_Debug.log
Errori
Threat Prevention
EndpointSecurityPlatform_Errors.log
L'attivazione della
registrazione debug per ogni
tecnologia Threat Prevention
consente di eseguire la
registrazione debug per
Protezione dell'accesso
ThreatPrevention_Activity.log
ThreatPrevention_Debug.log
AccessProtection_Activity.log
AccessProtection_Debug.log
Prevenzione exploit
ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
Programma di scansione all'accesso OnAccessScan_Activity.log
OnAccessScan_Debug.log
Programma di scansione su
richiesta
• Scansione rapida
OnDemandScan_Activity.log
OnDemandScan_Debug.log
• Scansione completa
• Scansione di scelta rapida
Endpoint Security Client
Firewall
MFEConsole_Debug.log
Firewall_Activity.log
Firewall_Debug.log
FirewallEventMonitor.log
Registra gli eventi di traffico bloccati e
consentiti, se configurato.
Guida del prodotto
23
2
Tabella 2-1 File di registro (segue)
Modulo
Funzionalità o tecnologia
Web Control
Nome file
WebControl_Activity.log
WebControl_Debug.log
In qualità di amministratore, è possibile gestire Endpoint Security da Endpoint Security Client e ciò
include la disattivazione e l'attivazione di funzioni, la gestione di file di contenuto, la specifica della
modalità di comportamento dell'interfaccia client e la configurazione delle impostazioni di Common.
Vedere anche
Disattivazione e attivazione di funzioni a pagina 25
Modifica della versione AMCore content a pagina 25
Uso dei file Extra.DAT a pagina 26
Configurazione delle impostazioni comuni a pagina 27
Accesso come amministratore
Se la modalità interfaccia per Endpoint Security Client è impostata su Accesso standard, è possibile
accedere come amministratore per avere accesso a tutte le impostazioni.
Prima di iniziare
La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso
standard.
Attività
1
2
Dal menu Azione
3
Nel campo Password, immettere la password amministratore, quindi fare clic su Accedi.
, selezionare Accesso amministratore.
È ora possibile accedere a tutte le funzioni di Endpoint Security Client.
Per disconnettersi, selezionare Azione | Disconnetti amministratore. Il client ritorna alla modalità interfaccia
Accesso standard.
Sblocco dell'interfaccia client
Se l'interfaccia di Endpoint Security Client è bloccata, sbloccarla con la password amministratore per
accedere a tutte le impostazioni.
Prima di iniziare
La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Blocca
interfaccia client.
24
Guida del prodotto
2
Attività
1
2
Nella pagina Accesso amministratore, immettere la password amministratore nel campo Password, quindi
fare clic su Accedi.
Viene visualizzato Endpoint Security Client ed è quindi possibile accedere a tutte le funzioni del client.
Per uscire e chiudere il client, dal menu Azione
, selezionare Disconnetti amministratore.
Disattivazione e attivazione di funzioni
In qualità di amministratore, è possibile disattivare e attivare le funzioni di Endpoint Security da
Prima di iniziare
completo oppure è necessario essere registrati come amministratore.
La pagina Stato mostra lo stato attivato del modulo di funzioni, che potrebbe non riflettere lo stato reale
della funzione. È possibile visualizzare lo stato di ciascuna funzione nella pagina Impostazioni. Ad esempio,
se l'impostazione Attiva ScriptScan non è applicata correttamente, lo stato potrebbe essere (Stato:
disattivato).
Attività
1
2
Fare clic sul nome del modulo (come Threat Prevention o Firewall) nella pagina Stato principale.
In alternativa, dal menu Azione
pagina Impostazioni.
3
, selezionare Impostazioni, quindi fare clic sul nome del modulo nella
Selezionare o deselezionare l'opzione Attiva modulo o funzione.
Attivando una delle funzioni di Threat Prevention verrà attivato il modulo Threat Prevention.
Vedere anche
Modifica della versione AMCore content
Utilizzare Endpoint Security Client per modificare la versione di AMCore content sul sistema.
Prima di iniziare
Endpoint Security archivia il file di contenuto attualmente caricato e le due versioni precedenti nella
cartella Program Files\Common Files\McAfee\Engine\content. Se necessario, è possibile tornare a una
versione precedente.
Guida del prodotto
25
2
Attività
1
2
Dal menu Azione
3
Dall'elenco a discesa, selezionare la versione da caricare.
4
Fare clic su Applica.
, selezionare Ripristina AMCore content.
I rilevamenti nel file AMCore content caricato vengono applicati immediatamente.
Vedere anche
Funzionamento dei file di contenuto a pagina 9
Uso dei file Extra.DAT
È possibile installare un file Extra.DAT per proteggere il sistema da infezioni malware significative fino
al rilascio dell'aggiornamento AMCore content successivo.
Attività
•
Download di file Extra.DAT a pagina 27
Per scaricare un file Extra.DAT fare clic sul link di download fornito da McAfee Labs.
•
Caricamento di un file Extra.DAT a pagina 27
Per installare il file Extra.DAT scaricato, utilizzare Endpoint Security Client.
Vedere anche
Informazioni sui file Extra.DAT a pagina 26
Informazioni sui file Extra.DAT
Quando viene scoperto un nuovo malware ed è necessario effettuare ulteriori rilevamenti, McAfee Labs
rende disponibile un file Extra.DAT. I file Extra.DAT contengono informazioni utilizzate da Threat
Prevention per gestire i nuovi malware.
È possibile scaricare file Extra.DAT per minacce specifiche dalla pagina di richiesta file Extra.DAT McAfee
Labs.
Threat Prevention supporta l'utilizzo di un solo file Extra.DAT.
Ogni file Extra.DAT include una data di scadenza. Quando il file Extra.DAT viene caricato, questa data
di scadenza viene confrontata con la data di creazione di AMCore content installato sul sistema. Se la
data di creazione del contenuto AMCore è più recente rispetto alla data di scadenza del file Extra.DAT,
quest'ultimo viene considerato scaduto e non viene più caricato e utilizzato dal motore. Durante
l'aggiornamento successivo, il file Extra.DAT viene rimosso dal sistema.
Se il successivo aggiornamento di AMCore content include la firma Extra.DAT, il file Extra.DAT viene
rimosso.
Endpoint Security archivia i file Extra.DAT nella cartella al seguente percorso: c:\Program Files
\Common Files\McAfee\Engine\content\avengine\extradat.
26
Guida del prodotto
2
Download di file Extra.DAT
Per scaricare un file Extra.DAT fare clic sul link di download fornito da McAfee Labs.
Attività
1
Fare clic sul link di download, specificare un percorso in cui salvare il file Extra.DAT, quindi fare clic
su Salva.
2
Se necessario, estrarre il file EXTRA.ZIP.
3
Caricare il file Extra.DAT con Endpoint Security Client.
Caricamento di un file Extra.DAT
Per installare il file Extra.DAT scaricato, utilizzare Endpoint Security Client.
Prima di iniziare
Attività
1
2
Nel menu Azione
3
Fare clic su Sfoglia, individuare il percorso in cui è stato scaricato il file Extra.DAT, quindi fare clic su
Apri.
4
Fare clic su Applica.
, selezionare Carica Extra.DAT.
I nuovi rilevamenti nel file Extra.DAT hanno effetto immediato.
Vedere anche
Configurazione delle impostazioni comuni
Configurare le impostazioni applicabili a tutti i moduli e le funzionalità di Endpoint Security nel modulo
Common. Queste impostazioni includono le impostazioni della lingua e della sicurezza
Guida del prodotto
27
2
dell'interfacciaEndpoint Security Client, la registrazione, le impostazioni del server proxy per McAfee
GTI e la configurazione degli aggiornamenti.
Attività
•
Protezione di risorse Endpoint Security a pagina 28
Una delle prime operazioni che i malware cercano di eseguire durante un attacco è la
disattivazione del software di sicurezza del sistema. Configurare le impostazioni di
autoprotezione di Endpoint Security nelle impostazioni del Common per impedire l'arresto o
la modifica dei servizi e i file Endpoint Security.
•
Configurazione delle impostazioni di registrazione a pagina 29
Configurare la registrazione Endpoint Security nelle impostazioni del modulo Common.
•
Configurare la password dell'interfaccia e le opzioni di visualizzazione per Endpoint Security
Client nelle impostazioni del modulo Common.
•
Configurazione delle impostazioni del server proxy per McAfee GTI a pagina 30
Specificare le opzioni server proxy per recuperare la reputazione McAfee GTI nelle
impostazioni del modulo Common.
•
Specificare il comportamento per gli aggiornamenti avviati da Endpoint Security Client nelle
•
Configurazione dei siti di origine per gli aggiornamenti client a pagina 32
Per i sistemi autogestiti, è possibile configurare i siti dai quali Endpoint Security Client
ottiene file di sicurezza aggiornati nelle impostazioni del modulo Common.
•
Pianificazione dell'attività Aggiornamento client predefinito a pagina 33
È possibile modificare o pianificare l'attività Aggiornamento client predefinito dalle
impostazioni di Endpoint Security Client, contenute nel modulo Common.
Protezione di risorse Endpoint Security
Una delle prime operazioni che i malware cercano di eseguire durante un attacco è la disattivazione
del software di sicurezza del sistema. Configurare le impostazioni di autoprotezione di Endpoint
Security nelle impostazioni del Common per impedire l'arresto o la modifica dei servizi e i file Endpoint
Security.
Prima di iniziare
Utenti, amministratori, sviluppatori o professionisti della sicurezza non dovrebbero mai disattivare la
protezione Endpoint Security sui sistemi.
Attività
28
1
2
Dal menu Azione
3
Fare clic su Mostra Avanzate.
4
Da Autoprotezione, verificare che Autoprotezione sia attivata.
, selezionare Impostazioni.
Guida del prodotto
5
6
2
Specificare l'azione per ciascuna delle seguenti risorse Endpoint Security:
•
File e cartelle – Impedisce agli utenti di modificare il database McAfee, i file binari, i file di ricerche
sicure e i file di configurazione.
•
Registro – Impedisce agli utenti di modificare l'hive del registro McAfee, i componenti COM e di
eseguire disinstallazioni utilizzando il valore di registro.
•
Processi - Impedisce l'arresto dei processi McAfee.
Fare clic su Applica per salvare le modifiche o fare clic su Annulla.
Vedere anche
Configurazione delle impostazioni di registrazione
Configurare la registrazione Endpoint Security nelle impostazioni del modulo Common.
Prima di iniziare
Attività
1
2
Dal menu Azione
3
4
Configurare le impostazioni Registrazione client nella pagina.
5
Vedere anche
Configurazione delle impostazioni per la sicurezza dell'interfaccia client
Configurare la password dell'interfaccia e le opzioni di visualizzazione per Endpoint Security Client
nelle impostazioni del modulo Common.
Prima di iniziare
Modificare queste impostazioni con attenzione in quanto possono consentire agli utenti di modificare la
configurazione di sicurezza, lasciando quindi il sistema non protetto dagli attacchi malware.
Attività
1
2
Dal menu Azione
Guida del prodotto
29
2
3
Configurare le impostazioni Modalità interfaccia client nella pagina.
4
Vedere anche
Effetti dell'impostazione di una password amministratore a pagina 30
Effetti dell'impostazione di una password amministratore
Quando si imposta la modalità dell'interfaccia su Accesso standard, è inoltre necessario impostare una
password amministratore.
L'impostazione di una password amministratore in Endpoint Security Client ha effetto per i seguenti
utenti:
Non amministratori
Gli utenti non amministratori possono:
(utenti privi di diritti di
amministratore)
• Visualizzare alcuni parametri di configurazione.
• Eseguire scansioni.
• Verificare la disponibilità di aggiornamenti (se attivato).
• Visualizzare la quarantena.
• Visualizzare il registro eventi.
• Accedere alla pagina Impostazioni per visualizzare o modificare le
regole Firewall (se attivate).
Gli utenti non amministratori non possono:
• Modificare i parametri di configurazione.
• Visualizzare, creare, eliminare o modificare le impostazioni delle .
Un'eccezione è la possibilità di visualizzare o modificare le regole
Firewall (se attivate).
Amministratori
Gli amministratori devono immettere la password per accedere alle aree
(utenti che dispongono dei protette e modificare le impostazioni.
privilegi amministrativi)
Configurazione delle impostazioni del server proxy per McAfee GTI
Specificare le opzioni server proxy per recuperare la reputazione McAfee GTI nelle impostazioni del
modulo Common.
Prima di iniziare
Attività
30
1
2
Dal menu Azione
3
Guida del prodotto
4
Configurare le impostazioni Server proxy per McAfee GTI nella pagina.
5
2
Vedere anche
Funzionamento di McAfee GTI a pagina 31
Funzionamento di McAfee GTI
Se si attiva McAfee GTI per il programma di scansione all'accesso o su richiesta, il programma di
scansione utilizza l'euristica per verificare i file sospetti. Il server McAfee GTI archivia le classificazioni
sito e i report per Web Control. Se si configura Web Control per eseguire la scansione dei file scaricati,
il programma di scansione utilizza l'euristica per verificare la presenza di file sospetti.
Il programma di scansione invia impronte digitali degli esempi o hash, a un server database centrale
ospitato da McAfee Labs per stabilire se si tratta di malware. Inviando gli hash, il rilevamento potrebbe
essere reso disponibile prima del successivo aggiornamento dei file di contenuto, quando McAfee Labs
pubblica l'aggiornamento.
È possibile configurare il livello di sensibilità utilizzato da McAfee GTI per stabilire se un esempio
rilevato è un malware. Un livello di sensibilità più elevato comporta un maggior numero di rilevamenti
di malware. Tuttavia, consentendo l'esecuzione di un elevato numero di rilevamenti è possibile
ottenere un maggior numero di risultati falsi positivi. Il livello di sensibilità di McAfee GTI è impostato
su Medio per impostazione predefinita. Configurare il livello di sensibilità per ciascun programma di
scansione nelle impostazioni del modulo Threat Prevention. Configurare il livello di sensibilità per la
scansione dei download di file nelle impostazioni della policy Opzioni .
È possibile configurare Endpoint Security per utilizzare un server proxy per recuperare le informazioni
di reputazione di McAfee GTI nelle impostazioni del modulo Common.
Configurare il comportamento di aggiornamento del
Specificare il comportamento per gli aggiornamenti avviati da Endpoint Security Client nelle
Prima di iniziare
È possibile configurare queste impostazioni solamente nei sistemi autogestiti e gestiti da McAfee ePO.
Utilizzare queste impostazioni per configurare se visualizzare o meno il pulsante
nel client e cosa aggiornare quando l'utente fa clic sul pulsante o esegue l'attività Aggiornamento
client predefinito.
Attività
1
2
Dal menu Azione
3
Guida del prodotto
31
2
4
Configurare le impostazioni di Aggiornamento client predefinito nella pagina.
5
Vedere anche
Configurazione dei siti di origine per gli aggiornamenti client
Per i sistemi autogestiti, è possibile configurare i siti dai quali Endpoint Security Client ottiene file di
sicurezza aggiornati nelle impostazioni del modulo Common.
Prima di iniziare
È possibile configurare queste impostazioni solamente nei sistemi autogestiti.
Attività
1
2
Dal menu Azione
3
4
Configurare le impostazioni Siti di origine per gli aggiornamenti nella pagina.
È possibile attivare e disattivare i due siti di origine backup predefiniti (NAIFtp e NAIHttp), ma non
modificarli, eliminarli o spostarli nell'elenco.
Per...
Attenersi alla seguente procedura
Aggiungere un sito
all'elenco.
1 Fare clic su Aggiungi.
2 Specificare le impostazioni del sito.
3 Per salvare le modifiche, fare clic su OK.
La regola viene visualizzata all'inizio dell'elenco di regole.
Eliminare un sito.
32
Selezionare il sito, quindi fare clic su Elimina.
Guida del prodotto
Per...
Modificare una
regola esistente.
1 Fare doppio clic sul nome del sito.
2
2 Modificare le impostazioni.
Riordinare i siti
nell'elenco.
Per spostare gli elementi:
1 Selezionare gli elementi da spostare.
Il simbolo di spostamento
viene visualizzato a sinistra degli elementi
che possono essere spostati.
2 Trascinare e rilasciare gli elementi nella nuova posizione.
Viene visualizzata una riga blu tra gli elementi dove è possibile rilasciare
gli elementi trascinati.
L'ordine determina l'ordine utilizzato da Endpoint Security per cercare il sito
di aggiornamento.
5
Vedere anche
Funzionamento dell'attività Aggiornamento client predefinito a pagina 34
Pianificazione dell'attività Aggiornamento client predefinito
È possibile modificare o pianificare l'attività Aggiornamento client predefinito dalle impostazioni di
Endpoint Security Client, contenute nel modulo Common.
Prima di iniziare
Utilizzare queste impostazioni per configurare l'esecuzione dell'attività Aggiornamento client predefinito.
Vedere Configurare il comportamento di aggiornamento del a pagina 31 per configurare il
comportamento predefinito per gli aggiornamenti client avviati da Endpoint Security Client.
Attività
1
2
Dal menu Azione
3
4
Fare clic su Attività.
5
Fare doppio clic su Aggiornamento client predefinito, modificare la pianificazione, quindi fare clic su OK per
salvare le modifiche oppure su Annulla.
6
Guida del prodotto
33
2
Vedere anche
Funzionamento dell'attività Aggiornamento client predefinito a pagina 34
Funzionamento dell'attività Aggiornamento client predefinito
L'attività Aggiornamento client predefinito esegue il download della protezione più recente in Endpoint
Security Client.
Endpoint Security include l'attività Aggiornamento client predefinito che viene eseguita ogni giorno alle
01:00 e ripetuta ogni quattro ore fino alle 23:59.
L'attività Aggiornamento client predefinito:
1
Esegue la connessione al primo sito di origine attivato nell'elenco.
Se questo sito non è disponibile, l'attività contatta il sito successivo fino a stabilire la connessione o
a raggiungere la fine dell'elenco.
2
Scarica un file CATALOG.Z crittografato dal sito.
Il file contiene le informazioni necessarie per eseguire l'aggiornamento, compresi i file e gli
aggiornamenti disponibili.
3
Verifica le versioni del software contenute nel file confrontandole con quelle presenti nel computer e
scarica eventuali nuovi aggiornamenti software disponibili.
Se l'attività Aggiornamento client predefinito viene interrotta durante l'aggiornamento:
Aggiornamenti da
Download interrotto
HTTP, UNC o un sito locale
All'avvio successivo la scansione verrà ripresa dal punto in cui
era stata sospesa.
Sito FTP (download di un singolo file) Non riprende se viene interrotta.
Sito FTP (download di più file)
Riprende prima del file che si trovava in fase di download al
momento dell'interruzione.
Vedere anche
34
Guida del prodotto
3
Threat Prevention verifica la presenza di virus, spyware, programmi indesiderati e altre minacce
eseguendo la scansione degli elementi del computer.
Sommario
Scansione del computer per individuare malware
Gestione dei rilevamenti di minacce
Gestione degli elementi in quarantena
Gestione di Threat Prevention
Scansione per rilevare malware sul computer selezionando opzioni in Endpoint Security Client o
Windows Explorer.
Attività
•
Esecuzione di una scansione completa o di una scansione rapida a pagina 36
Utilizzare Endpoint Security Client per eseguire una scansione completa o una scansione
rapida manuale sul computer.
•
Scansione di un file o una cartella a pagina 38
Fare clic con il pulsante destro del mouse in Windows Explorer per eseguire
immediatamente la scansione di un singolo file o cartella che si ritiene possano contenere
minacce.
Vedere anche
Tipi di scansioni a pagina 35
Tipi di scansioni
Endpoint Security fornisce due tipi di scansione: scansioni all'accesso e su richiesta.
•
Scansione all'accesso – L'amministratore configura le scansioni all'accesso per l'esecuzione sui
computer gestiti. Per i computer autogestiti, configurare il programma di scansione all'accesso nella
Quando si accede a file, cartelle e programmi, il programma di scansione all'accesso intercetta
l'operazione ed esegue la scansione dell'elemento, sulla base dei criteri definiti dall'amministratore.
•
Scansione su richiesta
Guida del prodotto
35
3
Manuale
L'amministratore (o utente, per i sistemi autogestiti) configura scansioni su richiesta
predefinite che gli utenti possono eseguire sui computer gestiti.
• Eseguire una scansione su richiesta predefinita in qualsiasi momento da Endpoint
Security Client facendo clic su
scansione:
e selezionando un tipo di
Scansione rapida esegue un rapido controllo delle zone del sistema più soggette a
infezione.
Scansione completa esegue un controllo approfondito di tutte le zone del sistema.
(consigliato se si teme che il computer sia infetto.)
• Eseguire la scansione di un file o una cartella individuale in qualsiasi momento da
Windows Explorer facendo clic con il pulsante destro del mouse su file o cartelle e
selezionando Ricerca minacce dal menu popup.
Pianificata L'amministratore (o utente, per i sistemi autogestiti) configura e pianifica le scansioni
su richiesta per l'esecuzione sui computer.
Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security
mostra una richiesta di scansione nella parte bassa della schermata. È possibile
avviare la scansione immediatamente o ritardarla, se configurato.
Per configurare e pianificare le scansioni su richiesta predefinite, rapide e complete:
1 Impostazioni | Scansione su richiesta, scheda Scansione completa o Scansione rapida – Configura
scansioni su richiesta.
2 Impostazioni | Common | Attività – Pianifica scansioni su richiesta.
Vedere anche
Pianificazione delle attività di scansione completa e scansione rapida a pagina 59
Esecuzione di una scansione completa o di una scansione
rapida
Utilizzare Endpoint Security Client per eseguire una scansione completa o una scansione rapida
manuale sul computer.
Prima di iniziare
Il modulo Threat Prevention deve essere installato.
Il comportamento della scansione completa e scansione rapida dipende dalla modalità di configurazione delle
impostazioni. È possibile modificare e pianificare queste scansioni nelle impostazioni della Scansione su
richiesta con le credenziali di amministratore.
Attività
1
2
Fare clic su
36
.
Guida del prodotto
3
3
Nella pagina Esegui scansione del sistema, fare clic su Avvia scansione per la scansione che si desidera
eseguire.
Scansione completa Esegue un controllo approfondito di tutte le zone del sistema (consigliato se si
sospetta che il computer sia infetto).
Scansione rapida
Esegue un controllo rapido delle zone del sistema più soggette alle infezioni.
Se è già in corso una scansione, il pulsante Avvia scansione diventa Visualizza scansione.
È inoltre possibile visualizzare il pulsante Visualizza rilevamenti per il programma di scansione
all'accesso, in base alla configurazione delle impostazioni e al rilevamento o meno di una minaccia.
Fare clic su questo pulsante per aprire la pagina Scansione all'accesso e gestire i rilevamenti in qualsiasi
momento. Vedere Gestione dei rilevamenti di minacce a pagina 39.
Endpoint Security Client mostra lo stato della scansione su una nuova pagina.
La Data creazione AMCore content indica l'ultimo orario di aggiornamento del contenuto. Se la data
del contenuto risale a più di due giorni prima, McAfee consiglia di aggiornare la protezione prima di
eseguire la scansione.
4
5
Fare clic sui pulsanti nella parte superiore della pagina di stato per controllare la scansione.
Sospendi scansione
Sospende la scansione prima di terminarla.
Riprendi scansione
Annulla scansione
Annulla una scansione in esecuzione.
Al termine della scansione, nella pagina vengono visualizzati gli eventuali rilevamenti.
Nome rilevamento
Identifica il nome del malware rilevato.
Tipo
Mostra il tipo di minaccia.
Nome file
Identifica il file infetto.
Azione
Descrive l'ultima azione di sicurezza intrapresa sul file infetto:
• Accesso negato
• Ripulito
• Eliminato
• Nessuna
L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione
su richiesta successiva.
6
Selezionare un rilevamento nella tabella, quindi fare clic su Ripulisci o Elimina per ripulire o eliminare
il file infetto.
A seconda del tipo di minaccia e delle impostazioni di scansione, queste azioni potrebbero non
essere disponibili.
7
Fare clic su Chiudi per chiudere la pagina.
Vedere anche
Configurare le impostazioni della policy di scansione su richiesta a pagina 54
Nomi rilevamenti a pagina 41
Guida del prodotto
37
3
Scansione di un file o una cartella
Fare clic con il pulsante destro del mouse in Windows Explorer per eseguire immediatamente la
scansione di un singolo file o cartella che si ritiene possano contenere minacce.
Prima di iniziare
Il comportamento della scansione di scelta rapida dipende dalla modalità di configurazione delle
impostazioni. È possibile modificare queste scansioni nelle impostazioni della Scansione su richiesta con le
credenziali di amministratore.
Attività
1
In Windows Explorer, fare clic con il pulsante destro del mouse sul file o sulla cartella e selezionare
Ricerca minacce dal menu popup.
Endpoint Security Client mostra lo stato della scansione nella pagina Ricerca minacce.
2
3
Fare clic sui pulsanti nella parte superiore della pagina per controllare la scansione.
Sospendi scansione
Sospende la scansione prima di terminarla.
Riprendi scansione
Annulla scansione
Annulla una scansione in esecuzione.
Al termine della scansione, nella pagina vengono visualizzati gli eventuali rilevamenti.
Nome rilevamento
Identifica il nome del malware rilevato.
Tipo
Mostra il tipo di minaccia.
Nome file
Identifica il file infetto.
Azione
Descrive l'ultima azione di sicurezza intrapresa sul file infetto:
• Accesso negato
• Ripulito
• Eliminato
• Nessuna
L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione
su richiesta successiva.
4
Selezionare un rilevamento nella tabella, quindi fare clic su Ripulisci o Elimina per ripulire o eliminare
il file infetto.
A seconda del tipo di minaccia e delle impostazioni di scansione, queste azioni potrebbero non
essere disponibili.
5
Fare clic su Chiudi per chiudere la pagina.
Vedere anche
38
Guida del prodotto
3
In base al tipo di configurazione delle impostazioni, è possibile gestire i rilevamenti di minacce da
Prima di iniziare
Attività
1
2
Fare clic su Avvia scansione per aprire la pagina Esegui scansione del sistema.
3
In Scansione all'accesso, fare clic su Visualizza rilevamenti.
Questa opzione non è disponibile se l'elenco non contiene rilevamenti o se l'opzione di messaggistica
utente è disattivata.
4
Nella pagina Scansione all'accesso, selezionare una di queste opzioni.
Pulisci
Cerca di ripulire l'elemento (file, voce di registro) e di posizionarlo in quarantena.
Endpoint Security utilizza le informazioni del file di contenuto per pulire i file. Se il file
di contenuto non dispone di uno strumento di pulizia o il file è stato danneggiato oltre
la riparazione, il programma di scansione vi nega l'accesso. In questo caso, McAfee
consiglia di eliminare il file dalla quarantena e di ripristinarlo da una copia di backup
pulita.
Elimina
Elimina l'elemento che contiene la minaccia.
Rimuovi voce Rimuove la voce dall'elenco di rilevamenti.
Chiudi
Chiude la pagina di scansione.
Se per la minaccia non è disponibile alcuna azione, l'opzione corrispondente è disattivata. Ad
esempio, Pulisci non è disponibile se il file è già stato eliminato.
Endpoint Security salva gli elementi rilevati come minacce nella quarantena. Sugli elementi in
quarantena è possibile eseguire azioni.
Prima di iniziare
Guida del prodotto
39
3
Ad esempio, è possibile ripristinare un elemento dopo aver scaricato una versione successiva del
contenuto, che contiene informazioni in grado di eliminare la minaccia.
Gli elementi in quarantena possono includere diversi tipi di oggetti sottoposti a scansione, come file,
registri o qualsiasi elemento per il quale Endpoint Security ha eseguito una scansione per rilevare
malware.
Attività
1
2
Fare clic su Quarantena nella parte sinistra della pagina.
La pagina mostra tutti gli elementi in quarantena.
Se Endpoint Security Client non riesce a stabilire una connessione con il gestore quarantena, viene
visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il proprio sistema
per visualizzare la pagina Quarantena.
3
4
Selezionare un elemento dal riquadro superiore per visualizzare i dettagli nel riquadro inferiore.
Modifica dimensioni relative dei
riquadri
Fare clic e trascinare il widget scorrevole tra i
riquadri.
Ordina elementi nella tabella per nome
o tipo minaccia
Fare clic sull'intestazione colonna della tabella.
Nella pagina Quarantena, eseguire azioni sugli elementi selezionati.
Elimina elementi
dalla quarantena
Selezionare gli elementi, fare clic su Elimina, quindi ancora su Elimina per
confermare.
Gli elementi eliminati non possono essere ripristinati.
Ripristina elementi
dalla quarantena
Selezionare gli elementi, fare clic su Ripristina, quindi ancora su Ripristina per
confermare.
Endpoint Security ripristina gli elementi nella posizione originale e li
rimuove dalla quarantena.
Se un elemento costituisce ancora una minaccia valida, Endpoint Security
lo reinserisce in quarantena al successivo accesso.
40
Ripeti scansione
elementi
Selezionare gli elementi, quindi fare clic su Ripeti scansione.
Visualizza un
elemento nel registro
eventi
Selezionare un elemento, quindi fare clic sul link Visualizza in registro eventi nel
riquadro dei dettagli.
Ottieni ulteriori
informazioni su
una minaccia
Selezionare un elemento, quindi fare clic sul link Ulteriori informazioni su questa
minaccia nel riquadro dei dettagli.
Ad esempio, è possibile ripetere la scansione di un elemento dopo aver
aggiornato la protezione. Se l'elemento non costituisce più una minaccia, è
possibile ripristinarlo nella posizione originale e rimuoverlo dalla
quarantena.
Viene visualizzata la pagina del registro eventi con l'evento relativo
all'elemento selezionato evidenziato.
Si apre una nuova finestra del browser nella pagina del sito Web McAfee
Labs che riporta ulteriori informazioni sulla minaccia che ha causato
l'inserimento in quarantena dell'elemento.
Guida del prodotto
3
Vedere anche
Nomi rilevamenti
Minacce riportate dalla quarantena per nome rilevamento.
Nome
rilevamento
Descrizione
Adware
Genera fatturato visualizzando messaggi pubblicitari indirizzati all'utente.
L'adware acquisisce guadagni dal fornitore o dai relativi partner. Alcuni tipi di
adware possono acquisire o trasmettere dati personali.
Dialer
Reindirizza le connessioni Internet verso un corrispondente diverso dall'ISP
predefinito dell'utente. Il reindirizzamento è finalizzato a provocare addebiti per
la connessione a un fornitore di contenuti, fornitore o terza parte.
Joke
Finto danneggiamento di un computer, senza addebiti o usi nocivi. I joke non
recano danno alla sicurezza o alla privacy, ma potrebbero allarmare o infastidire
un utente.
Keylogger
Intercetta i dati tra l'inserimento da parte dell'utente e l'applicazione di
destinazione prevista. I keylogger di trojan horse o programmi potenzialmente
indesiderati potrebbero presentare un funzionamento identico. Il software
McAfee rileva entrambi i tipi per prevenire violazioni della privacy.
Password cracker
Consente a un utente o amministratore di recuperare le password smarrite o
dimenticate di account o file dati. In mano agli autori di attacchi, questi
strumenti consentono di accedere a informazioni riservate e rappresentano una
minaccia alla sicurezza e alla privacy.
Programma
potenzialmente
indesiderato
Software spesso legittimi (non malware) che possono alterare lo stato di
sicurezza o la privacy del sistema. Questo software può essere scaricato insieme
a un programma desiderato. Può includere spyware, adware, keylogger,
password cracker, strumenti di hacking e dialer.
Strumento di
amministrazione
remota
Fornisce a un amministratore il controllo remoto di un sistema. Questi strumenti
possono costituire una minaccia significativa per la sicurezza se controllati da un
autore di attacchi.
Spyware
Trasmette informazioni personali a una terza parte senza che l'utente ne sia a
conoscenza o fornisca il consenso. Uno spyware sfrutta i computer infetti per
acquisire vantaggi commerciali:
• Fornendo contenuti pubblicitari pop-up non richiesti
• Carpendo i dati personali, comprese le informazioni finanziarie come i numeri
delle carte di credito
• Monitorando l'attività di navigazione sul Web a scopo di marketing
• Indirizzando le richieste HTTP a siti di contenuti pubblicitari
Vedere anche Programmi potenzialmente indesiderati.
Stealth
Si tratta di un tipo di virus che cerca di evitare il rilevamento da parte dei
software antivirus.
Noto anche come intercettatore di interrupt.
Molti virus stealth intercettano le richieste di accesso al disco. In questo modo,
quando un'applicazione antivirus cerca di leggere i file o settori di boot per
individuare il virus, il virus invia al programma un'immagine "pulita"
dell'elemento richiesto. Altri virus nascondono le dimensioni reale di un file
infetto e mostrano le dimensioni del file prima dell'infezione.
Guida del prodotto
41
3
Nome
rilevamento
Descrizione
Trojan horse
Si tratta di un programma dannoso che finge di essere un'applicazione innocua.
Un trojan non esegue repliche ma danneggia o compromette la sicurezza del
computer.
Generalmente, un computer diventa infetto:
• Quando un utente apre un allegato contenente un trojan in un'email.
• Quando un utente scarica un trojan da un sito Web.
• Networking peer-to-peer.
Poiché non eseguono repliche di sé stessi, i trojan non sono considerati virus.
Virus
Si unisce ai dischi o ad altri file e si replica ripetutamente, generalmente a
insaputa o senza il permesso dell'utente.
Alcuni virus si uniscono ai file in modo che quando il file infetto viene eseguito,
anche il virus va in esecuzione. Altri virus risiedono nella memoria del computer
e infettano i file nel momento in cui il computer li apre, modifica o crea. Alcuni
virus presentano sintomi, mentre altri danneggiano file e sistemi del computer.
In qualità di amministratore, è possibile specificare le impostazioni Threat Prevention per impedire
l'accesso di minacce e configurare le scansioni.
Vedere anche
Esclusione di elementi dalla scansione a pagina 42
Rilevamento di programmi potenzialmente indesiderati a pagina 44
Configurare le impostazioni della policy di protezione dell'accesso a pagina 46
Configurare le impostazioni della policy di prevenzione exploit a pagina 48
Configurare le impostazioni della policy di scansione all'accesso a pagina 49
Configurazione delle impostazioni di scansione comuni a pagina 59
Esclusione di elementi dalla scansione
Threat Prevention consente di selezionare l'elenco di elementi sottoposti a scansione specificando gli
elementi da escludere.
Ad esempio, potrebbe essere necessario escludere alcuni tipi di file per impedire al programma di
scansione di bloccare un file utilizzato da un database o un server. (un file bloccato può causare
problemi al database o al server o produrre errori.)
42
Per questa
funzione...
Specificare gli
elementi da
escludere
Dove eseguire la
configurazione
Escludi
elementi per
Utilizzare
caratteri
jolly?
Processi (per tutte
le regole o una
regola specificata)
impostazioni
Nome processo
No
Prevenzione exploit
Processi
Prevenzione exploit
impostazioni
Nome processo
No
Guida del prodotto
3
Per questa
funzione...
Specificare gli
elementi da
escludere
Dove eseguire la
configurazione
Escludi
elementi per
Scansione all'accesso
File, tipi di file e
cartelle
impostazioni
Criterio, tipo di
Sì
file o data del file
URL ScriptScan
impostazioni
Nome URL
No
Nomi rilevamenti
Opzioni impostazioni
Nome
rilevamento
(distinzione tra
maiuscole e
minuscole)
No
Programmi
potenzialmente
indesiderati
Nome
Sì
File, cartelle e unità
impostazioni
Criterio, tipo di
Sì
file o data del file (* e ?)
Nomi rilevamenti
Nome
rilevamento
(distinzione tra
maiuscole e
minuscole)
No
Programmi
potenzialmente
indesiderati
Nome
Sì
• Predefinito
• Rischio elevato
• Rischio basso
• Scansione rapida
• Scansione completa
• Scansione di scelta rapida
Utilizzare
caratteri
jolly?
Vedere anche
Caratteri jolly nelle esclusioni di scansione a pagina 43
Caratteri jolly nelle esclusioni di scansione
È possibile utilizzare caratteri jolly per rappresentare i caratteri nelle esclusioni per le scansioni di file,
cartelle e programmi potenzialmente indesiderati.
Tabella 3-1 Caratteri jolly validi
Carattere jolly Nome
?
Rappresenta
Punto interrogativo Singolo carattere.
Questo carattere jolly verrà applicato solo se il numero di
caratteri corrisponde alla lunghezza del nome del file o della
cartella. Ad esempio: L'esclusione W?? esclude WWW, ma non
WW o WWWW.
*
Asterisco
Caratteri multipli.
**
Doppio asterisco
Zero o più caratteri qualsiasi, inclusa la barra rovesciata (\).
Questo carattere jolly corrisponde a zero o più caratteri. Ad
esempio: C:\ABC\**\XYZ corrisponde a C:\ABC\DEF\XYZ e C:
\ABC\XYZ.
I caratteri jolly possono essere visualizzati davanti a barre rovesciate (\) nei percorsi. Ad esempio, il
percorso C:\ABC\*\XYZ corrisponde a C:\ABC\DEF\XYZ.
Guida del prodotto
43
3
Rilevamento di programmi potenzialmente indesiderati
Per proteggere il computer gestito da programmi potenzialmente indesiderati, è necessario configurare
i file e i programmi da rilevare nell'ambiente, quindi attivare il rilevamento.
I programmi potenzialmente indesiderati sono programmi software fastidiosi o in grado di alterare lo
stato di protezione oppure i criteri di riservatezza del sistema. I programmi potenzialmente
indesiderati possono essere contenuti in programmi scaricati intenzionalmente dall'utente. I
programmi potenzialmente indesiderati possono includere spyware, adware e dialer.
1
Specificare i programmi indesiderati personalizzati che i programmi di scansione all'accesso e su
richiesta dovranno rilevare nelle impostazioni della policy Opzioni.
2
Attivare il rilevamento dei programmi indesiderati e specificare quali azioni intraprendere quando si
verificano dei rilevamenti nelle seguenti impostazioni:
•
Impostazioni della policy di scansione all'accesso
•
Impostazioni della policy di scansione su richiesta
Vedere anche
Specificare programmi potenzialmente indesiderati personalizzati da rilevare a pagina 44
Attivazione e configurazione di rilevamenti di programmi potenzialmente indesiderati e
risposte a pagina 45
Specificare programmi potenzialmente indesiderati personalizzati da
rilevare
Specificare i programmi aggiuntivi che i programmi di scansione all'accesso e su richiesta dovranno
gestire come indesiderati nelle impostazioni della policy Opzioni.
Prima di iniziare
I programmi di scansione rilevano i programmi specificati dall'utente e quelli specificati nei file AMCore
content.
Attività
1
2
Fare clic su Threat Prevention nella pagina Stato principale.
, selezionare Impostazioni, quindi fare clic su Threat Prevention nella
3
4
Fare clic su Opzioni.
5
Da Rilevamenti di programmi potenzialmente indesiderati:
•
Fare clic su Aggiungi per specificare il nome e la descrizione facoltativa di singoli file o programmi
da rilevare come programmi potenzialmente indesiderati.
Quando viene effettuato un rilevamento, la descrizione compare come nome rilevamento.
44
Guida del prodotto
3
•
Fare doppio clic sul nome o la descrizione di un programma potenzialmente indesiderato
esistente per modificarli.
•
Selezionare un programma potenzialmente indesiderato esistente, quindi fare clic su Elimina per
rimuoverlo dall'elenco.
Vedere anche
Attivazione e configurazione di rilevamenti di programmi potenzialmente
indesiderati e risposte
Attivare il rilevamento di programmi potenzialmente indesiderati e specificare le risposte in caso di
rilevamento da parte dei programmi di scansione all'accesso e su richiesta.
Prima di iniziare
Attività
1
Configurare le impostazioni della policy di scansione all'accesso.
a
b
2
c
d
Fare clic su Scansione all'accesso.
e
In Impostazioni per i processi, per ciascun tipo di scansione all'accesso, selezionare Rileva programmi
indesiderati.
f
In Azioni, configurare le risposte a programmi indesiderati.
Configurare le impostazioni della policy di scansione su richiesta.
a
b
c
d
Fare clic su Scansione su richiesta.
e
Per ciascun tipo di scansione (scansione completa, scansione rapida e scansione di scelta rapida):
•
Selezionare Rileva programmi indesiderati.
•
In Azioni, configurare le risposte a programmi indesiderati.
Vedere anche
Guida del prodotto
45
3
Configurare le impostazioni della policy di protezione
dell'accesso
Utilizzare le regole delle impostazioni della policy di protezione dell'accesso per proteggere i punti di
accesso del sistema.
Prima di iniziare
È possibile attivare, disattivare e modificare queste regole, ma non è possibile eliminarle.
Attività
1
2
3
4
Fare clic su Protezione dell'accesso.
5
Verificare che la protezione dell'accesso sia attivata.
La protezione dell'accesso viene attivata per impostazione predefinita.
6
Nella sezione Esclusioni, aggiungere processi da escludere da tutte le regole.
Utilizzare il nome esatto del processo. Ad esempio, specificare le seguenti esclusioni: avtask.exe,
cfgwiz.exe, fssm32.exe, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe.
La protezione dell'accesso consente di accedere ai processi specificati.
7
Nella sezione Regole, selezionare Blocca, Segnala o entrambe le opzioni per ogni regola.
Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga.
Per disattivare una regola, deselezionare entrambe le azioni Blocca e Segnala.
8
Selezionare una regola, fare clic su Aggiungi, quindi immettere un processo da escludere dalla regola
selezionata.
9
Vedere anche
Protezione dei punti di accesso al sistema
La prima linea di difesa contro i malware consiste nella protezione dei punti di accesso al sistema
dall'ingresso di minacce. La protezione dell'accesso impedisce che il computer gestito subisca
46
Guida del prodotto
3
modifiche indesiderate mediante la limitazione dell'accesso a porte, file, condivisioni, nonché chiavi e
valori di registro specificati.
La protezione dell'accesso utilizza regole per riportare o bloccare l'accesso agli elementi. Il programma
di scansione all'accesso confronta un'azione richiesta con l'elenco di regole configurate e agisce
secondo la regola.
Il programma di scansione all'accesso deve essere attivato per rilevare tentativi di accesso a porte, file,
condivisioni e chiavi e valori di registro.
Modalità di accesso delle minacce
Le minacce accedono al sistema tramite diversi punti di accesso.
Punto di accesso
Descrizione
Macro
Come parte dei documenti di elaboratori di testo e delle applicazioni di fogli
elettronici.
File eseguibili
Programmi apparentemente innocui che insieme al programma previsto
possono contenere virus. Alcune estensioni di file comuni
sono .EXE, .COM, .VBS, .BAT, .HLP e .DLL.
Script
Associati a pagine Web ed email, gli script, come ad esempio ActiveX e
JavaScript, se eseguiti possono contenere virus.
Messaggi Internet
Relay Chat (IRC)
File inviati con questi messaggi possono facilmente contenere malware. Ad
esempio, i processi ad avvio automatico possono contenere minacce quali
worm e cavalli di Troia.
File della guida del
browser e delle
applicazioni
Il download di questi file della Guida espone il sistema a virus ed eseguibili
incorporati.
Email
Scherzi, giochi e immagini vengono inviati come parte di messaggi email
con allegati.
Combinazione di tutti
questi punti di accesso
Autori di programmi malware sofisticati combinano tutti questi metodi di
invio delle minacce e incorporano persino programmi malware uno dentro
l'altro per tentare di accedere al computer gestito.
Modalità di arresto delle minacce da parte della protezione dell'accesso
La protezione dell'accesso arresta le potenziali minacce gestendo le azioni in base alle regole di
protezione predefinite .
Threat Prevention segue questo processo di base per fornire la protezione dell'accesso.
Quando si verifica una minaccia
Quando un utente o un processo agisce:
1
La protezione dell'accesso esamina l'azione in base a regole definite.
2
Se l'azione viola una regola, la protezione dell'accesso gestisce l'azione utilizzando le informazioni
nelle regole configurate.
3
La protezione dell'accesso aggiorna il file di registro e genera e invia un evento al server gestito, se
gestito.
Esempio di minaccia all'accesso
1
Un utente scarica un programma legittimo (non malware), ad esempio MyProgram.exe, da
Internet.
2
L'utente avvia il programma MyProgram.exe che sembra partire nel modo previsto.
Guida del prodotto
47
3
3
MyProgram.exe avvia un processo figlio, denominato AnnoyMe.exe.
4
AnnoyMe.exe tenta di modificare il sistema operativo per assicurarsi che venga sempre caricato
all'avvio.
5
La protezione dell'accesso elabora la richiesta e la confronta con una regola esistente che è
configurata per bloccare le minacce e inviare un report.
6
La protezione dell'accesso impedisce ad AnnoyMe.exe di modificare il sistema operativo e registra i
dettagli del tentativo. La protezione dell'accesso, inoltre, genera e invia un avviso al server di
gestione.
Configurare le impostazioni della policy di prevenzione exploit
Per impedire l'esecuzione di codice arbitrario da parte delle applicazioni sul computer personale,
configurare le impostazioni della policy di prevenzione exploit.
Prima di iniziare
Attività
1
2
3
4
Fare clic su Prevenzione exploit.
5
Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su
Annulla.
Vedere anche
Blocco degli exploit da overflow del buffer
Prevenzione exploit impedisce l'esecuzione di codici arbitrari da parte di overflow del buffer interessati
da exploit. La funzione controlla le chiamate all'API della modalità utente e riconosce se sono il
risultato di un overflow del buffer.
Al verificarsi di un rilevamento, le informazioni vengono memorizzate nel registro attività, visualizzate
nel sistema client e inviate al server di gestione, se configurato.
Threat Prevention si serve dei file di contenuto di prevenzione degli exploit per proteggere applicazioni
come Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word e MSN Messenger.
48
Guida del prodotto
3
Modalità di verifica dell'exploit di overflow del buffer
Gli autori dell'attacco sfruttano gli exploit di overflow del buffer per avviare codice eseguibile tramite
l'overflow dei buffer di memoria di dimensioni fisse per un processo di input. Tale codice consente
all'autore dell'attacco di assumere il controllo del computer bersaglio o di comprometterne i dati.
Oltre il 25% degli attacchi malware è costituito da attacchi di overflow del buffer che cercano di
sovrascrivere la memoria adiacente nello stack frame.
Esistono due tipologie di exploit di overflow del buffer:
•
Gli attacchi basati su stack utilizzano gli oggetti della memoria stack per memorizzare l'input
dell'utente e sono i più comuni.
•
Gli attacchi basati su heap occupano lo spazio di memoria riservato a un programma, ma sono rari.
L'oggetto della memoria stack di dimensioni fisse è in genere vuoto e in attesa dell'input dell'utente.
Quando un programma riceve l'input dell'utente, i dati vengono memorizzati nella parte superiore
dello stack e viene loro assegnato un indirizzo di memoria di restituzione. Quando lo stack viene
elaborato, l'input dell'utente viene inviato all'indirizzo di restituzione specificato dal programma.
Di seguito viene fornita una descrizione degli attacchi tramite overflow del buffer basati su stack:
1
Overflow dello stack.
Quando il programma viene compilato, una quantità di spazio di memoria specifica viene riservata
ai dati. Gli overflow dello stack si verificano se la quantità di dati scritti supera lo spazio a essi
riservato nello stack della memoria. Questo rappresenta un problema solo quando è presente un
input pericoloso.
2
Exploit dell'overflow.
Il programma attende l'input dell'utente. Se l'autore dell'attacco digita un comando eseguibile che
supera la dimensione dello stack, tale comando viene salvato al di fuori dello spazio riservato.
3
Esecuzione del malware.
Il comando non viene eseguito automaticamente perché supera la quantità di spazio disponibile nel
buffer dello stack. Prima il programma inizia ad arrestarsi in modo anomalo a causa dell'overflow
del buffer. Se l'autore dell'attacco ha fornito un indirizzo di memoria di restituzione che fa
riferimento al comando dannoso, il programma cerca di recuperarlo utilizzando l'indirizzo di
restituzione. Se l'indirizzo di restituzione è un indirizzo valido, il comando dannoso viene eseguito.
4
Exploit delle autorizzazioni.
Il malware viene ora eseguito con le stesse autorizzazioni dell'applicazione compromessa. Poiché i
programmi vengono in genere eseguiti in modalità kernel o con autorizzazioni ereditate da un
account di servizio, l'autore dell'attacco ora è in grado di controllare completamente il sistema
operativo.
Configurare le impostazioni della policy di scansione all'accesso
Queste impostazioni attivano e configurano la scansione all'accesso e ciò include la specifica di
messaggi da inviare al rilevamento di una minaccia e diverse impostazioni basate sul tipo di processo.
Prima di iniziare
Consultare le impostazioni Common per maggiori opzioni di configurazione.
Guida del prodotto
49
3
Attività
1
2
3
4
Fare clic su Scansione all'accesso.
5
Selezionare Attiva scansione all'accesso per attivare il programma di scansione all'accesso e modificare
le opzioni.
6
Specificare se utilizzare le impostazioni Standard per tutti i processi o diverse impostazioni per i
processi con rischio basso ed elevato.
7
•
Impostazioni standard – Configurare le impostazioni di scansione nella scheda Standard.
•
Diverse policy basate sul tipo di processo – Selezionare la scheda (Standard, Rischio elevato o
Rischio basso) e configurare le impostazioni di scansione per ciascun tipo di processo.
Vedere anche
Funzionamento della scansione all'accesso
Il programma di scansione all'accesso si integra con i livelli più bassi del sistema (driver di filtro del file
system) ed esegue la scansione dei file nel punto in cui entrano nel sistema.
Il programma di scansione all'accesso consegna notifiche all'interfaccia del servizio di sistema in caso
di rilevamenti.
Quando viene eseguito un tentativo di apertura o chiusura di un file, il programma di scansione
intercetta l'operazione e intraprende le azioni seguenti:
1
Il programma di scansione determina se sottoporre l'elemento a scansione in base ai criteri
seguenti:
•
L'estensione del file corrisponde a quanto indicato nella configurazione.
•
Il file non è stato memorizzato nella cache, escluso o esaminato in precedenza.
Se si configura McAfee GTI, il programma di scansione utilizza l'euristica per verificare la presenza di
file sospetti.
2
50
Se il file soddisfa il criterio di scansione, ne viene eseguita la scansione confrontando le firme
contenute nell'elemento con le firme dei file AMCore content correntemente caricati.
•
Se il file non è infetto, il risultato viene memorizzato nella cache e l'accesso viene consentito in
lettura o scrittura.
•
Se il file contiene una minaccia, l'operazione viene negata e viene intrapresa l'azione
configurata.
Guida del prodotto
3
Ad esempio, se l'azione è quella di ripulire il file, il programma di scansione:
1
Utilizza le informazioni del file AMCore content correntemente caricato per ripulire il file.
2
Registra i risultati nel registro attività.
3
Invia una notifica all'utente a proposito del rilevamento di una minaccia nel file e include
l'azione intrapresa (pulizia o eliminazione del file).
Windows 8 – Se il programma di scansione rileva una minaccia nel percorso di un'app
Windows Store, il programma di scansione la contrassegna come alterata. Windows 8 aggiunge
il contrassegno di alterazione al riquadro dell'app. Quando si cerca di eseguirla, Windows
informa l'utente del problema e lo reindirizza a Windows Store per la reinstallazione.
3
Se il file non soddisfa i requisiti di scansione, il programma di scansione lo memorizza nella cache e
approva l'operazione.
L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security
o del sistema.
Guida del prodotto
51
3
Threat Prevention scarica la cache di scansione globale ed esegue nuovamente la scansione di tutti i
file quando:
•
La configurazione della scansione all'accesso subisce modifiche.
•
È stato aggiunto un file Extra.DAT.
Scansione durante la scrittura su disco, la lettura dal disco o consentire a McAfee
di decidere
È possibile specificare quando il programma di scansione all'accesso deve eseguire la scansione dei
file: durante la scrittura su disco, durante la lettura dal disco o consentire a McAfee di decidere quando
eseguire la scansione.
Quando i file vengono scritti sul disco, il programma di scansione all'accesso esegue la scansione di
questi file:
•
File in ingresso che vengono scritti sul disco rigido locale.
•
File creati sul disco rigido locale o su un'unità di rete mappata, se attivata (compresi i file nuovi,
modificati o copiati/spostati da un'unità all'altra).
Quando i file vengono letti dal disco, il programma di scansione esegue la scansione di questi file:
•
File in uscita che vengono letti dal disco rigido locale o dalle unità di rete mappate (se attivate).
•
Qualsiasi file che tenta di eseguire un processo sul disco rigido locale.
•
File aperti sul disco rigido locale.
Se si consente a McAfee di decidere se un file deve essere sottoposto a scansione, il programma di
scansione all'accesso utilizza la logica di affidabilità per ottimizzare la scansione. La logica di
affidabilità migliora la sicurezza e le prestazioni evitando scansioni non necessarie. Ad esempio,
McAfee analizza e considera alcuni programmi come affidabili. Se McAfee verifica che questi
programmi non sono stati alterati, il programma di scansione potrebbe eseguire una scansione ridotta
o ottimizzata.
Scansione degli script
Il programma di scansione script di Threat Prevention agisce come componente proxy nel Windows
Script Host nativo, intercettando ed eseguendo la scansione di script prima della loro esecuzione.
Ad esempio:
•
Se lo script è pulito, il programma di scansione script passa lo script al Windows Script Host nativo.
•
Se invece contiene una minaccia potenziale, lo script non viene eseguito.
Se ScriptScan è disattivato all'avvio di Internet Explorer e viene attivato in seguito, non rileva gli script
dannosi nell'istanza di Internet Explorer.
È necessario riavviare Internet Explorer dopo aver attivato ScriptScan affinché rilevi gli
script dannosi.
Deselezionare questa opzione per consentire al computer client di utilizzare le esclusioni
specificate in questa attività e le esclusioni specificate localmente sul client.
52
Guida del prodotto
3
È possibile specificare siti Web da escludere dall'ispezione se questi utilizzano degli script.
Sui sistemi Windows Server 2008, le esclusioni degli URL ScriptScan non funzionano con Windows
Internet Explorer, a meno che non si selezionino estensioni di browser di terze parti e si riavvii il
sistema. Consultare l'articolo della KnowledgeBase KB69526.
Come stabilire le impostazioni di scansione per i processi
Seguire questa procedura per determinare se configurare diverse impostazioni in base al tipo di
processo.
Guida del prodotto
53
3
Configurare le impostazioni della policy di scansione su
richiesta
Queste impostazioni consentono di configurare il comportamento di tre scansioni su richiesta
predefinite: Scansione completa, Scansione rapida e Scansione di scelta rapida.
Prima di iniziare
Consultare le impostazioni Common per maggiori opzioni di configurazione.
Attività
1
2
3
4
Fare clic su Scansione su richiesta.
5
Fare clic su una scheda per configurare le impostazioni per la scansione specificata.
6
•
Scansione completa
•
Scansione rapida
•
Scansione di scelta rapida
Annulla.
Vedere anche
Modalità di funzionamento della scansione su richiesta
Il programma di scansione su richiesta esamina file, cartelle, memoria e registro del sistema alla
ricerca di eventuali malware che avrebbero potuto infettare il sistema.
Il momento e la frequenza di esecuzione delle scansioni su richiesta vengono stabiliti dall'utente. È
possibile eseguire la scansione del sistema manualmente, a un orario pianificato o all'avvio.
1
Il programma di scansione su richiesta applica i seguenti criteri per stabilire se l'elemento deve
essere sottoposto a scansione:
•
L'estensione del file corrisponde a quanto indicato nella configurazione.
•
Il file non è stato memorizzato nella cache, escluso o esaminato in precedenza (se il programma
di scansione utilizza una cache di scansione).
Se si configura McAfee GTI, il programma di scansione utilizza l'euristica per verificare la presenza di
file sospetti.
54
Guida del prodotto
2
3
Se il file soddisfa il criterio di scansione, ne viene eseguita la scansione confrontando le
informazioni contenute nell'elemento con le firme di malware note nei file AMCore content
correntemente caricati.
•
Se il file è pulito, il risultato viene inserito nella cache e viene eseguita la verifica del successivo
elemento.
•
Se il file contiene una minaccia, il programma di scansione applica l'azione configurata.
Ad esempio, se l'azione è quella di ripulire il file, il programma di scansione:
1
Utilizza le informazioni del file AMCore content correntemente caricato per ripulire il file.
2
Registra i risultati nel registro attività.
3
Invia una notifica all'utente a proposito del rilevamento di una minaccia nel file e include il
nome dell'elemento e l'azione intrapresa.
Windows 8 – Se il programma di scansione rileva una minaccia nel percorso di un'app
Windows Store, il programma di scansione la contrassegna come alterata. Windows 8 aggiunge
il contrassegno di alterazione al riquadro dell'app. Quando si cerca di eseguirla, Windows
informa l'utente del problema e lo reindirizza a Windows Store per la reinstallazione.
3
Se l'elemento non soddisfa i requisiti di scansione, il programma di scansione non lo controlla. Anzi,
il programma continua fino ad aver eseguito la scansione di tutti i dati.
Guida del prodotto
55
3
L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione su
richiesta successiva.
Threat Prevention scarica la cache di scansione globale ed esegue nuovamente la scansione di tutti i
file al caricamento di un Extra.DAT.
Riduzione dell'impatto delle scansioni sugli utenti
Per minimizzare l'impatto delle scansioni su richiesta su un sistema, specificare le opzioni delle
prestazioni durante la configurazione delle scansioni.
Esegui scansione solo quando il sistema è inattivo
Il modo più semplice per accertarsi che la scansione non abbia effetti sugli utenti e quello di eseguire
una scansione su richiesta solo quando il computer è inattivo.
Quando questa opzione è selezionata, Threat Prevention mette in pausa la scansione quando rileva
attività del disco o dell'utente, come l'accesso mediante tastiera o mouse. Threat Prevention riprende
la scansione dopo tre minuti dall'ultimo accesso al sistema da parte dell'utente.
56
Guida del prodotto
3
È inoltre possibile:
•
Consentire agli utenti di riprendere le scansioni messe in pausa a causa di attività dell'utente.
•
Ripristinare l'esecuzione della scansione solo quando il sistema è inattivo.
McAfee consiglia di disattivare questa opzione sui sistemi server e i sistemi ai quali gli utenti accedono
solamente tramite connessione desktop remota (RDP). Threat Prevention dipende da McTray per
stabilire se il sistema è inattivo. Sui sistemi ai quali si accede solamente tramite RDP, McTray non viene
avviato e il programma di scansione su richiesta non viene mai eseguito.
Per aggirare questo problema, gli utenti possono avviare McTray (in C:\Program Files
\McAfee\Agent\mctray.exe, per impostazione predefinita) manualmente quando accedono
tramite RDP.
Selezionare Scansiona solo quando il sistema è inattivo nella sezione Prestazioni delle impostazioni attività
client di scansione su richiesta.
Mettere in pausa le scansioni automaticamente
Per migliorare le prestazioni, è possibile mettere in pausa le scansioni su richiesta quando la batteria è
quasi esaurita. È inoltre possibile mettere in pausa la scansione quando un'applicazione, come un
browser, programma di riproduzione multimediale o una presentazione, vengono eseguiti in modalità a
schermo intero. La scansione riprende immediatamente quando il sistema viene connesso
all'alimentazione o non si trova più in modalità a schermo intero.
Selezionare queste opzioni nella sezione Prestazioni delle impostazioni attività client di scansione su
richiesta:
•
Non eseguire la scansione quando il sistema è alimentato a batteria
•
Non eseguire la scansione quando il sistema è in modalità presentazione (disponibile quando Scansiona in qualsiasi
momento è selezionato)
Consentire agli utenti di rinviare le scansioni
Se si sceglie Scansiona in qualsiasi momento, è possibile consentire agli utenti di rinviare le scansioni
pianificate in incrementi di un'ora, fino a 24 ore, o per sempre. Ciascun rinvio dell'utente può durare
un'ora. Ad esempio, se l'opzione Numero massimo di ore di rinvio da parte dell'utente è impostata su 2, l'utente
può rinviare l'attività di scansione per due volte (due ore). Quando il numero di ore massimo
specificato scade, la scansione riprende. Se si consente di configurare rinvii illimitati impostando
l'opzione sul valore zero, l'utente potrà continuare a rinviare la scansione a tempo indeterminato.
Selezionare L'utente può rinviare le scansioni nella sezione Prestazioni delle impostazioni attività client di
scansione su richiesta.
Limitazione dell'attività di scansione con scansioni incrementali
Utilizzare scansioni incrementale o recuperabiliper impostare un limite di tempo per il verificarsi
dell'attività di scansione su richiesta e di eseguire la scansione dell'intero sistema in più sessioni. Per
utilizzare la scansione incrementale aggiungere un limite di tempo alla scansione pianificata. La
scansione si interrompe quando viene raggiunto il limite. Al successivo avvio, questa attività
riprenderà dal punto nel file e nella struttura della cartella in cui la scansione precedente si era
interrotta.
Selezionare Termina l'attività se eseguita per oltre nella categoria Timeout per l'attività di scansione su richiesta.
Vedere Pianificazione delle attività di scansione completa e scansione rapida a pagina 59.
Guida del prodotto
57
3
Configurazione dell'utilizzo del sistema
L'utilizzo del sistema specifica la quantità di tempo della CPU che il programma di scansione riceve
durante la scansione. Per i sistemi con attività dell'utente finale, impostare l'utilizzo del sistema su
Basso.
Selezionare Utilizzo del sistema nella sezione Prestazioni delle impostazioni attività client di scansione su
richiesta.
Vedere anche
Modalità di funzionamento dell'utilizzo del sistema
Il programma di scansione su richiesta utilizza l'impostazione di priorità di Windows per la priorità dei
processi di scansione e dei thread. L'impostazione di utilizzo del sistema (limitazione delle richieste)
consente al sistema operativo di impostare la quantità di tempo della CPU che il programma di
scansione su richiesta riceve durante il processo di scansione.
Se si imposta l'utilizzo del sistema per la scansione su un valore basso, aumentano le prestazioni delle
altre applicazioni in esecuzione. L'impostazione sul livello basso è utile per i sistemi con attività
dell'utente finale. Di contro, impostando l'utilizzo del sistema su un valore normale, la scansione viene
eseguita più rapidamente. L'impostazione normale è utile per i sistemi che dispongono di grandi
volumi e una minima attività dell'utente finale.
Ogni attività viene eseguita in maniera indipendente e senza considerare i limiti impostati per le altre
attività.
Tabella 3-2 Impostazioni processo predefinite
Impostazione processo Questa opzione...
Threat Prevention
Impostazione della
priorità di Windows
Basso
Fornisce prestazioni migliori per le altre
Basso
applicazioni in uso. Selezionare questa opzione
per i sistemi con attività dell'utente finale.
Al di sotto del normale
Imposta l'utilizzo di sistema per la scansione
sul valore McAfee ePO predefinito.
Al di sotto del normale
Normale (predefinito)
Consente di completare la scansione più
rapidamente. Selezionare questa opzione per i
sistemi che dispongono di grandi volumi e una
minima attività dell'utente finale.
Normale
Modalità di funzionamento della scansione dell'archivio remoto
È possibile configurare il programma di scansione su richiesta per eseguire la scansione del contenuto
dei file gestiti dall'archivio remoto.
L'archivio remoto monitora la quantità di spazio disponibile nel sistema locale. Quando necessario,
l'archivio remoto esegue una migrazione automatica del contenuto (dati) da file qualificati del sistema
client a un dispositivo di archiviazione, come una libreria di nastri. Quando un utente apre un file i cui
dati sono stati migrati, l'archivio remoto recupera automaticamente i dati dal dispositivo di
archiviazione.
Selezionare l'opzione Esegui la scansione di file migrati in archivio per configurare il programma di scansione su
richiesta per eseguire la scansione di file gestiti dall'archivio remoto. Quando il programma di
scansione incontra un file il cui contenuto è stato migrato, il file viene ripristinato nel sistema locale
prima della scansione.
Per ulteriori informazioni, vedere What is Remote Storage.
58
Guida del prodotto
3
Pianificazione delle attività di scansione completa e scansione
rapida
È possibile pianificare le attività di scansione completa e scansione rapida predefinite da Endpoint Security
Client nel modulo Common.
Prima di iniziare
Utilizzare queste impostazioni per configurare l'esecuzione delle attività di scansione completa e
scansione rapida. Vedere Configurare le impostazioni della policy di scansione su richiesta a pagina 54 per
configurare il comportamento predefinito delle scansioni avviate da Endpoint Security Client.
Attività
1
2
Dal menu Azione
3
4
Fare clic su Attività.
5
Fare doppio clic su Scansione completa o Scansione rapida, modificare la pianificazione, quindi fare clic su
OK per salvare le modifiche oppure su Annulla.
6
Vedere anche
Configurazione delle impostazioni di scansione comuni
Per specificare le impostazioni che si applicano sia alle scansioni all'accesso sia su richiesta,
configurare le impostazioni della policy delle Opzioni .
Prima di iniziare
Queste impostazioni si applicano a tutte le scansioni:
•
Posizione di quarantena e numero di giorni in cui gli elementi resteranno in quarantena prima di
essere automaticamente eliminati
•
Nomi dei rilevamenti da escludere dalle scansioni
•
Programmi potenzialmente indesiderati da rilevare, come spyware e adware
Guida del prodotto
59
3
Attività
1
2
3
4
5
Annulla.
Vedere anche
60
Guida del prodotto
4
Il Firewall agisce come filtro tra il computer e la rete o Internet.
Sommario
Funzionamento di Firewall
Gestione di Firewall
Funzionamento di Firewall
Firewall esegue la scansione di tutto il traffico in ingresso e in uscita.
Poiché esamina il traffico in ingresso e in uscita, Firewall controlla i relativi elenchi di regole, che sono
costituiti da una serie di criteri con azioni associate. Se il traffico corrisponde a tutti i criteri di una
regola, Firewall agisce secondo la regola, bloccando o consentendo il traffico attraverso Firewall.
Le informazioni sui rilevamenti delle minacce vengono salvate nei rapporti inviati all'amministratore
per la notifica di qualsiasi problema di sicurezza per il computer.
Le regole e opzioni Firewall definiscono il funzionamento del Firewall. I gruppi di regole organizzano le
regole firewall per una gestione semplificata.
Se la Modalità interfaccia client è impostata su Accesso completo oppure è stato effettuato l'accesso come
amministratore, è possibile configurare regole e gruppi utilizzando Endpoint Security Client. Per i
sistemi gestiti, le regole e i gruppi creati potrebbero essere sovrascritti quando l'amministratore
distribuisce una policy aggiornata.
Vedere anche
Configurazione delle opzioni Firewall a pagina 62
Funzionamento delle regole firewall a pagina 64
Funzionamento dei gruppi di regole firewall a pagina 66
In qualità di amministratore, è possibile configurare opzioni Firewall e creare regole e gruppi in
Vedere anche
Modifica delle opzioni Firewall a pagina 62
Creazione e gestione di regole e gruppi Firewall a pagina 70
Guida del prodotto
61
4
Modifica delle opzioni Firewall
In qualità di amministratore, è possibile modificare le opzioni Firewall da Endpoint Security Client.
Attività
•
Configurare le impostazioni nella Opzioni di disattivare e attivare la protezione firewall,
attivare la modalità adattiva e configurare altre opzioni Firewall.
•
Blocco del traffico DNS a pagina 62
Per affinare la protezione firewall, creare un elenco di FQDN da bloccare. Firewall blocca le
connessioni agli indirizzi IP spostandole ai nomi di dominio.
Vedere anche
FAQ – McAfee GTI e Firewall a pagina 63
Configurazione delle opzioni Firewall
Configurare le impostazioni nella Opzioni di disattivare e attivare la protezione firewall, attivare la
modalità adattiva e configurare altre opzioni Firewall.
Prima di iniziare
Attività
1
2
Fare clic su Firewall nella pagina Stato principale.
Impostazioni.
, selezionare Impostazioni, quindi fare clic su Firewall nella pagina
3
Selezionare Attiva Firewall per attivare il Firewall e modificarne le opzioni.
4
5
Annulla.
Vedere anche
Blocco del traffico DNS
Per affinare la protezione firewall, creare un elenco di FQDN da bloccare. Firewall blocca le connessioni
agli indirizzi IP spostandole ai nomi di dominio.
Prima di iniziare
62
Guida del prodotto
4
Attività
1
2
Impostazioni.
3
In Blocco DNS, fare clic su Aggiungi.
4
Immettere l'FQDN dei domini da bloccare.
È possibile utilizzare i caratteri jolly * e ?. Ad esempio, *domain.com.
Eventuali voci duplicate saranno rimosse automaticamente.
5
FAQ – McAfee GTI e Firewall
Di seguito sono riportate le risposte alle domande più frequenti.
Le impostazioni delle Opzioni Firewall consentono di bloccare il traffico in ingresso e in uscita da una
connessione di rete valutata come a rischio elevato da McAfee GTI. Queste domande frequenti
spiegano la funzione di McAfee GTI e come influisce sul firewall.
Che cos'è McAfee GTI?
McAfee GTI è un sistema informativo globale della reputazione su Internet che determina quali
sono i comportamenti corretti e dannosi sul Web. McAfee GTI si serve dell'analisi in tempo reale
dei criteri globali di comportamento e invio relativi a email, attività Web, malware e
comportamento tra i sistemi. Tramite i dati ottenuti dall'analisi, McAfee GTI calcola
dinamicamente il punteggio reputazione che rappresenta il livello di rischio per la rete posto da
una determinata pagina Web. Il risultato è un database di punteggi reputazione per indirizzi IP,
domini, messaggi specifici, URL e immagini.
Come funziona?
Quando le opzioni McAfee GTI sono selezionate, vengono create due regole firewall: McAfee GTI –
Consenti il servizio Endpoint Security Firewall e McAfee GTI – Ottieni classificazione. La prima regola consente un
collegamento a McAfee GTI e la seconda blocca o consente il traffico basato sulla reputazione
della connessione e la soglia di blocco impostata.
Cosa significa "reputazione"?
Per ogni indirizzo IP su Internet, McAfee GTI calcola un valore di reputazione. McAfee GTI basa il
valore sui comportamenti di invio o hosting e su vari dati di ambiente raccolti da clienti e partner
sullo stato delle minacce su Internet. La reputazione viene espressa in quattro classi, basate
sulla nostra analisi:
•
Non bloccare (rischio minimo) – Questo sito è una fonte o destinazione legittima di contenuti/
traffico.
•
Non verificato – Questo sito è una fonte o destinazione legittima di contenuti/traffico. Tuttavia,
presenta anche proprietà che necessitano di un'ulteriore verifica.
•
Rischio medio – Questa origine/destinazione mostra comportamenti ritenuti sospetti e
contenuti/traffico che richiedono un'osservazione speciale.
•
Rischio elevato – Questa origine/destinazione invia o potrebbe effettuare l'invio o l'hosting di
contenuti/traffico potenzialmente dannosi. Presenta un rischio elevato.
McAfee GTI provoca tempi di latenza? Quanto durano?
Guida del prodotto
63
4
Quando McAfee GTI viene contattato per una ricerca della reputazione è inevitabile che si
verifichi una latenza. McAfee ha adottato tutte le misure necessarie per minimizzarla. McAfee
GTI:
•
Verifica le reputazioni solo se le opzioni sono state selezionate.
•
Utilizza un'architettura intelligente di memorizzazione nella cache. Nei normali criteri di
utilizzo della rete, la cache risolve le connessioni più richieste senza una query di reputazione
in tempo reale.
Se il firewall non può contattare i server McAfee GTI, il traffico si interrompe?
Se il firewall non riesce a contattare i server, McAfee GTI assegna automaticamente a tutte le
connessioni applicabili una reputazione consentita predefinita. Il firewall quindi continua ad
analizzare le regole che seguono.
Configurazione di gruppi e regole Firewall
In qualità di amministratore, è possibile configurare gruppi e regole Firewall da Endpoint Security
Client.
Attività
•
Per i sistemi gestiti, le regole e i gruppi configurati da Endpoint Security Client potrebbero
essere sovrascritti quando l'amministratore distribuisce una policy aggiornata.
•
Creazione di gruppi di isolamento connessione a pagina 72
Creare un gruppo di regole firewall di isolamento connessione per stabilire un set di regole
che si applicano solo in caso di connessione a una rete con particolari parametri.
Vedere anche
Funzionamento delle regole firewall a pagina 64
Funzionamento delle regole firewall
Le regole Firewall consentono di stabilire come gestire il traffico di rete. Ogni regola fornisce una serie
di condizioni alle quali il traffico deve risultare conforme e un'azione per consentire o bloccare il
traffico.
Quando Firewall rileva del traffico corrispondente alle condizioni di una regola, esegue l'azione
associata.
È possibile definire le regole in modo ampio (ad esempio, tutto il traffico IP) o singolarmente (ad
esempio, identificando una specifica applicazione o servizio) e specificare le opzioni. È possibile
raggruppare le regole in base a una funzione operativa, a un servizio o a un'applicazione per una
gestione più semplice. Come le regole, è possibile definire gruppi di regole per rete, trasporto,
applicazione, pianificazione e opzioni di posizione.
64
Guida del prodotto
4
Firewall applica le regole in base alla priorità:
1
Firewall applica la regola nella parte iniziale dell'elenco regole firewall.
Se il traffico è conforme alle condizioni di questa regola, Firewall consente o blocca il traffico. Non
cerca di applicare nessun'altra regola all'elenco.
2
Se il traffico non è conforme alle condizioni della prima regola, Firewall cerca la regola successiva
nell'elenco e così via fino a trovare una regola che corrisponda al traffico.
3
Se nessuna regola corrisponde, il firewall blocca automaticamente il traffico.
Figura 4-1 Priorità regola
Se la modalità adattiva è attivata, viene creata una regola di consenso per il traffico. A volte il traffico
intercettato corrisponde a più di una regola nell'elenco. In questo caso, priorità significa che Firewall
applica solo la prima regola che corrisponde nell'elenco.
Procedure consigliate
Posizionare le regole più specifiche all'inizio dell'elenco e le più generali alla fine. Questo ordine
garantisce che Firewall filtri correttamente il traffico.
Ad esempio, per consentire tutte le richieste HTTP eccetto quelle provenienti da un indirizzo specifico
(ad esempio, indirizzo IP 10.10.10.1), creare due regole:
•
Regola di blocco – Blocca il traffico HTTP dall'indirizzo IP 10.10.10.1. Questa regola è specifica.
•
Regola di consenso – Consente tutto il traffico tramite il servizio HTTP. Questa regola è generale.
Guida del prodotto
65
4
Posizionare la regola di blocco più in alto nell'elenco delle regole firewall rispetto alla regola di
consenso. Quando il firewall intercetta la richiesta HTTP dall'indirizzo 10.10.10.1, la prima regola
corrispondente trovata è quella che blocca questo traffico attraverso il firewall.
Se la regola di consenso si trova in una posizione più elevata rispetto alla specifica regola di blocco,
Firewall esegue la corrispondenza delle richieste nei confronti della regola di consenso prima di trovare
la regola di blocco. Consente il traffico, anche se si voleva bloccare la richiesta HTTP da un indirizzo
specifico.
Funzionamento dei gruppi di regole firewall
Utilizzare i gruppi di regole Firewall per organizzare le regole firewall per una gestione semplificata. I
gruppi di regole Firewall non influenzano il modo in cui Firewall gestisce le regole al loro interno;
Firewall elabora comunque le regole dalla prima all'ultima.
Firewall elabora le impostazioni per il gruppo prima di elaborare quelle per le regole che contiene. Se è
presente un conflitto tra queste impostazioni, le impostazioni del gruppo hanno la priorità.
Impostazione dei gruppi come in grado di riconoscere la posizione
Firewall consente di creare un gruppo e le relative regole in grado di riconoscere la posizione e di
creare un isolamento della connessione. La Posizione e le Opzioni di rete del gruppo consentono di
creare i gruppi in modo che siano in grado di riconoscere l'adattatore di rete. Utilizzare i gruppi
dell'adattatore di rete per applicare le regole specifiche della scheda per i computer con interfacce di
rete multiple. Dopo aver attivato lo stato e aver assegnato un nome alla posizione, i parametri per le
connessioni consentite possono includere quanto segue, per ciascun adattatore di rete:
Posizione:
•
Richiede la raggiungibilità di McAfee ePO
•
Indirizzo IP server WINS principale
•
Suffisso DNS specifico per la connessione
•
Indirizzo IP server WINS secondario
•
Indirizzo IP gateway predefinito
•
Raggiungibilità dominio
•
Indirizzo IP del server DHCP
•
Chiave di registro
•
Server DNS interrogato per risolvere URL
Rete:
•
Indirizzo IP locale
•
Tipo di supporto
Se due gruppi in grado di riconoscere la posizione sono applicabili a una connessione, Firewall utilizza
la priorità normale, elaborando il primo gruppo applicabile nel suo elenco delle regole. Se nessuna
delle regole nel primo gruppo corrisponde, l'elaborazione delle regole prosegue.
Quando Firewall esegue una corrispondenza tra i parametri di un gruppo in grado di riconoscere la
posizione e una connessione attiva, applica le regole all'interno di un gruppo. Gestisce le regole come
piccoli set di regole e applica una priorità normale. Se alcune regole non corrispondono al traffico
intercettato, il firewall le ignora.
66
Se questa opzione è
selezionata...
Allora...
Attiva riconoscimento della
posizione
Un nome posizione è obbligatorio.
Richiede la raggiungibilità di
McAfee ePO
McAfee ePO è raggiungibile e l'FQDN del server è stato risolto.
Guida del prodotto
4
Se questa opzione è
selezionata...
Allora...
Rete locale
L'indirizzo IP dell'adattatore deve corrispondere a una delle voci
dell'elenco.
Suffisso DNS specifico per la
connessione
Il suffisso DNS dell'adattatore deve corrispondere a una delle
voci dell'elenco.
Gateway predefinito
L'indirizzo IP dell'adattatore predefinito deve corrispondere a una
delle voci dell'elenco.
Server DHCP
L'indirizzo IP del server dell'adattatore DHCP deve corrispondere
a una delle voci dell'elenco.
Server DNS
L'indirizzo IP della scheda del server DNS deve corrispondere a
una delle voci dell'elenco.
Server WINS principale
L'indirizzo IP del server WINS principale deve corrispondere a
Server WINS secondario
L'indirizzo IP del server WINS secondario deve corrispondere a
Raggiungibilità dominio (HTTPS)
Il dominio specificato deve essere raggiungibile mediante HTTPS.
Gruppi di regole Firewall e isolamento della connessione
Utilizzare l'isolamento della connessione per i gruppi per impedire l'accesso di traffico indesiderato alla
rete designata.
Quando l'isolamento della connessione è attivato per un gruppo e una scheda d'interfaccia di rete (NIC
o Network Interface Card) attiva corrisponde ai criteri del gruppo, Firewall elabora solo il traffico che
corrisponde:
•
Alle regole di assenso sopra il gruppo nell'elenco delle regole firewall
•
Ai criteri gruppo
Guida del prodotto
67
4
Tutto il resto del traffico viene bloccato.
Qualsiasi gruppo con un isolamento della connessione attivato non può avere eseguibili o opzioni di
trasporto associate.
Figura 4-2 Isolamento connessione di rete
68
Guida del prodotto
4
Come esempi dell'uso dell'isolamento della connessione, considerare due impostazioni: un ambiente
aziendale e un hotel. L'elenco delle regole firewall attive contiene regole e gruppi in questo ordine:
1
Regole per la connessione di base
2
Regole di connessione VPN
3
Gruppo con regole di connessione LAN aziendali
4
Gruppo con regole di connessione VPN
Esempio: isolamento connessione nella rete aziendale
Le regole di connessione vengono elaborate fino a quando viene incontrato il gruppo con regole di
connessione LAN aziendali. Questo gruppo contiene le impostazioni seguenti:
•
Tipo di supporto = cablato
•
Suffisso DNS specifico per la connessione = mycompany.com
•
Gateway predefinito
•
Isolamento connessione = attivato
Il computer dispone di adattatori di rete wireless e LAN. Il collegamento alla rete aziendale viene
effettuato tramite connessione cablata. Tuttavia, l'interfaccia wireless è ancora attiva, quindi si collega
a un hotspot fuori dall'ufficio. Il computer esegue la connessione a entrambe le reti in quanto le regole
per l'accesso di base sono in alto nell'elenco delle regole firewall. La connessione LAN cablata è attiva
e soddisfa i criteri del gruppo LAN aziendale. Il firewall elabora il traffico attraverso la LAN ma poiché
l'isolamento della connessione è attivato, tutto il resto del traffico che non passa per la LAN viene
bloccato.
Esempio: isolamento connessione in un hotel
Le regole di connessione vengono elaborate fino a quando viene incontrato il gruppo con regole di
connessione VPN. Questo gruppo contiene le impostazioni seguenti:
•
Tipo di supporto = virtuale
•
Suffisso DNS specifico per la connessione = vpn.mycompany.com
•
Indirizzo IP = un indirizzo in un intervallo specifico per il concentratore VPN
•
Isolamento connessione = attivato
Le regole di connessione generali consentono di impostare un account a tempo nell'hotel per poter
accedere a Internet. Le regole di connessione VPN consentono la connessione e l'uso di un tunnel VPN.
Dopo aver stabilito il tunnel, il client VPN crea un adattatore virtuale che corrisponde ai criteri del
gruppo VPN. Il solo traffico consentito dal firewall si trova dentro il tunnel VPN e il traffico di base
sull'adattatore reale. I tentativi di accesso al computer tramite la rete da parte di altri ospiti dell'hotel,
sia di tipo cablato che wireless, vengono bloccati.
Guida del prodotto
69
4
Creazione e gestione di regole e gruppi Firewall
Per i sistemi gestiti, le regole e i gruppi configurati da Endpoint Security Client potrebbero essere
sovrascritti quando l'amministratore distribuisce una policy aggiornata.
Prima di iniziare
I gruppi e le regole vengono visualizzati in ordine di priorità nella tabella Regole Firewall. Non è possibile
ordinare le regole per colonna.
Attività
1
2
Impostazioni.
3
Utilizzare queste attività per gestire le regole e i gruppi firewall, quindi fare clic su Applica per
salvare le modifiche apportate a Regole Firewall.
Per eseguire queste
operazioni...
Visualizzare le regole in un gruppo Fare clic su
firewall.
.
Comprimere un gruppo firewall.
Fare clic su
.
Modificare una regola esistente.
1 Espandere il gruppo Aggiunto dall'utente.
È possibile modificare regole
solo nel gruppo Aggiunto
dall'utente.
2 Fare doppio clic sulla regola.
3 Modificare le impostazioni della regola.
Visualizzare una regola esistente
in ogni nuovo gruppo.
1 Espandere il gruppo.
Creare una regola.
1 Fare clic su Aggiungi regola.
2 Selezionare la regola per visualizzarne i dettagli nel riquadro
inferiore.
2 Specificare le impostazioni della regola.
La regola viene visualizzata alla fine del gruppo Aggiunto
dall'utente.
Creare copie di regole.
1 Selezionare la regola o le regole e fare clic su Duplica.
Le regole copiate vengono visualizzate alla fine del gruppo
Aggiunto dall'utente con lo stesso nome.
2 Modificare le regole per cambiare il nome e le impostazioni.
70
Guida del prodotto
Per eseguire queste
operazioni...
Eliminare regole.
1 Espandere il gruppo.
È possibile eliminare regole
solo dal gruppo Aggiunto
dall'utente e dal gruppo Adattivo.
Creare un gruppo.
4
2 Selezionare la regola o le regole e fare clic su Elimina.
1 Fare clic su Aggiungi gruppo.
2 Specificare le impostazioni del gruppo.
Il gruppo viene visualizzato nel gruppo Aggiunto dall'utente.
Sposta regole e gruppi all'interno
e tra gruppi.
È possibile spostare regole e
gruppi solo nel gruppo
Aggiunto dall'utente.
Per spostare gli elementi:
1 Selezionare gli elementi da spostare.
Il simbolo di spostamento
viene visualizzato a sinistra
degli elementi che possono essere spostati.
2 Trascinare e rilasciare gli elementi nella nuova posizione.
Viene visualizzata una riga blu tra gli elementi dove è
possibile rilasciare gli elementi trascinati.
4
Vedere anche
Caratteri jolly nelle regole firewall a pagina 71
Autorizzazione delle connessioni FTP a pagina 72
Creazione di gruppi di isolamento connessione a pagina 72
Caratteri jolly nelle regole firewall
È possibile utilizzare caratteri jolly al fine di rappresentare caratteri per alcuni valori nelle regole
firewall.
Caratteri jolly in percorsi e valori indirizzo
Per percorsi di file, chiavi di registro, eseguibili e URL, utilizzare i seguenti caratteri jolly.
I percorsi chiave di registro per le posizioni gruppo firewall non riconoscono i caratteri jolly.
?
Punto interrogativo Singolo carattere.
*
Asterisco
Caratteri multipli, esclusi barra (/) e barra rovesciata (\). Utilizzare questo
carattere per creare una corrispondenza tra i contenuti a livello di radice di
una cartella senza sottocartelle.
** Doppio asterisco
Caratteri multipli, inclusi barra (/) e barra rovesciata (\).
|
Carattere jolly di escape.
Barra verticale
Per il doppio asterisco (**) il carattere di escape è |*|*.
Caratteri jolly in tutti gli altri valori
Per i valori che normalmente non contengono informazioni di percorso con barre, utilizzare questi
caratteri jolly.
Guida del prodotto
71
4
?
Punto interrogativo
Singolo carattere.
*
Asterisco
Caratteri multipli, inclusi barra (/) e barra rovesciata (\).
|
Barra verticale
Carattere jolly di escape.
Creazione di gruppi di isolamento connessione
Creare un gruppo di regole firewall di isolamento connessione per stabilire un set di regole che si
applicano solo in caso di connessione a una rete con particolari parametri.
Prima di iniziare
Attività
1
2
Impostazioni.
3
In REGOLE, fare clic su Aggiungi gruppo.
4
In Descrizione, specificare le opzioni per il gruppo.
5
In Posizione, selezionare Attiva riconoscimento della posizione e Attiva isolamento connessione. Quindi, selezionare
i criteri di posizione per la corrispondenza.
6
In Opzioni di rete, per Tipi di supporto, selezionare il tipo di connessione (cablata, wireless o virtuale) per
applicare le regole nel gruppo.
Le impostazioni per Trasporto ed Eseguibili non sono disponibili per i gruppi di isolamento della
connessione.
7
8
Creare nuove regole nel gruppo o spostarvi le regole esistenti dall'elenco di regole firewall.
Vedere anche
Gruppi di regole Firewall e isolamento della connessione a pagina 67
Autorizzazione delle connessioni FTP
Per consentire le connessioni FTP in modalità attiva, creare regole firewall che consentano le
connessioni in ingresso e in uscita su porte specifiche.
Il protocollo FTP utilizza due connessioni: controllo per i comandi e dati per le informazioni.
Poiché Firewall non controlla i pacchetti del protocollo FTP, le connessioni FTP non sono consentite per
impostazione predefinita. Per consentire le connessioni FTP, creare regole firewall che consentano le
connessioni per porte specifiche.
72
Guida del prodotto
4
FTP modalità attiva
Quando un client si connette a un server FTP in modalità attiva:
•
Il canale di controllo viene stabilito sulla porta TCP 21.
•
Il canale dati viene stabilito sulla porta TCP 20.
Per consentire a un client FTP di stabilire la connessione e scaricare/caricare dati su un
server FTP utilizzando la modalità attiva, creare le seguenti regole firewall sul client:
•
Consentire le connessioni in uscita per la porta TCP 21 sul server.
•
Consentire le connessioni in ingresso per la porta TCP 20 sul server.
Per consentire a un server FTP di stabilire la connessione e scaricare/caricare dati, creare le
seguenti regole firewall sul server:
•
•
FTP modalità passiva
L'FTP in modalità passiva richiede l'apertura di un intervallo di porte per il canale dati sul server FTP.
Quando un client si connette a un server FTP in modalità passiva:
•
Il canale di controllo viene stabilito sulla porta TCP 21.
•
Il canale dati viene stabilito sull'intervallo di porte TCP 1025–5000.
Per consentire a un client FTP di stabilire la connessione e scaricare/caricare dati su un
server FTP utilizzando la modalità passiva, creare le seguenti regole firewall sul client:
•
•
Consentire le connessioni in uscita e in ingresso per l'intervallo di porte TCP 1025–5000 sul server.
Per consentire a un server FTP di stabilire la connessione e scaricare/caricare dati, creare le
seguenti regole firewall sul server:
•
•
Consentire le connessioni in uscita e in ingresso per l'intervallo di porte TCP 1025–5000 sul server.
Vedere anche
Guida del prodotto
73
4
74
Guida del prodotto
5
Accedere alle funzionalità di protezione di Web Control dal browser durante la navigazione o la ricerca.
Sommario
Informazioni sulle funzioni di Web Control
Accesso alle funzioni di Web Control
Gestione di Web Control
Poiché Web Control viene eseguito su ogni sistema gestito, esso invia una notifica all'utente relativa
alle minacce mentre questo naviga sui siti Web.
Un team di McAfee analizza ciascun sito Web e assegna classificazioni di sicurezza con codifica a colori
in base ai risultati del test. Il colore indica il livello di sicurezza del sito.
Il software utilizza i risultati del test per inviare una notifica all'utente in merito alle minacce basate sul
Web che potrebbe incontrare.
Sulle pagine dei risultati di ricerca – Viene visualizzata un'icona accanto a ciascun sito in elenco. Il
colore dell'icona indica la classificazione di sicurezza del sito. Tramite le icone, l'utente può accedere a
ulteriori informazioni.
Nella finestra del browser – Viene visualizzato un pulsante nell'angolo in alto a destra. Il colore del
pulsante indica la classificazione di sicurezza del sito. Facendo clic sul pulsante, l'utente può accedere
a ulteriori informazioni.
Il pulsante notifica inoltre l'utente quando si verificano problemi di comunicazione e fornisce un
accesso rapido a test che consentono di identificare i problemi più comuni.
Nei rapporti sulla sicurezza – I dettagli mostrano in che modo è stata calcolata la classificazione di
sicurezza in base ai tipi di minacce rilevate, ai risultati dei test e ad altri dati.
Per i sistemi gestiti, gli amministratori creano policy per:
•
Attivare e disattivare Web Control sul sistema personale e impedisce o consente la disattivazione
dei plug-in di software e browser.
•
Controllare l'accesso a siti, pagine e download in base alla classificazione di sicurezza o al tipo di
contenuto.
Ad esempio, blocco dei siti rossi e avvisi per gli utenti che provano ad accedere ai siti gialli.
•
Identificare i siti come bloccati o consentiti, in base agli URL e ai domini.
•
Impedire all'utente di disinstallare o modificare file, chiavi di registro, valori di registro, servizi e
processi di Web Control.
Guida del prodotto
75
5
•
Personalizzare la notifica visualizzata quando l'utente cerca di accedere a un sito Web bloccato.
•
Monitorare e regolare l'attività del browser sui computer della rete e creare report dettagliati sui siti
Web.
Per i sistemi autogestiti, è possibile configurare le impostazioni per:
•
Attivare e disattivare Web Control sul sistema e impedire o consentire la disattivazione dei plug-in
di software e browser.
•
Controllare l'accesso a siti, pagine e download in base alla classificazione di sicurezza o al tipo di
contenuto.
Ad esempio, blocco dei siti rossi e avvisi per gli utenti che provano ad accedere ai siti gialli.
Il software supporta i browser Microsoft Internet Explorer, Mozilla Firefox e Google Chrome.
Firefox non consente all'utente di verificare i download di file o di nascondere il pulsante Web Control
con il comando Visualizza | Barre degli strumenti .
Chrome non supporta l'imposizione di download di file o l'opzione Mostra area commenti.
Vedere anche
Identificazione delle minacce durante la navigazione tramite il pulsante Web Control a pagina
76
Identificazione delle minacce durante la ricerca mediante le icone di sicurezza a pagina 77
Fornitura di dettagli da parte dei rapporti sul sito a pagina 77
Compilazione delle classificazioni di sicurezza a pagina 78
Identificazione delle minacce durante la navigazione tramite il
pulsante Web Control
con
Quando l'utente naviga su un sito Web, viene visualizzato un pulsante
codifica a colori nell'angolo superiore destro del browser. Il colore del pulsante indica la classificazione
di sicurezza del sito.
Nella finestra del browser Chrome viene visualizzato un piccolo pulsante
nella barra dell'indirizzo.
Verde
Questo sito viene controllato quotidianamente e certificato
come sicuro da McAfee SECURE .
Verde
Il sito è sicuro.
Giallo
Il sito potrebbe causare problemi.
Rosso
Il sito potrebbe causare problemi seri.
Grigio
Non è disponibile una classificazione per il sito.
™
Arancione Si è verificato un errore di comunicazione con il server McAfee
GTI che contiene le informazioni di classificazione.
Blu
76
Non sono disponibili informazioni per classificare il sito. Il
motivo potrebbe essere che il sito è interno o si trova in un
intervallo di indirizzi IP privati.
Guida del prodotto
Nero
5
Il sito è un sito di phishing.
Il phishing è un tentativo di acquisizione di informazioni
riservate, come nomi utente, password e dettagli di carte di
credito. I siti di phishing si fingono entità affidabili nelle
comunicazioni elettroniche.
Bianco
Un'impostazione consente questo sito.
Argento
Un'impostazione ha disattivato Web Control.
Vedere anche
Accesso alle funzioni durante la navigazione a pagina 79
Risoluzione dei problemi di comunicazione a pagina 81
Identificazione delle minacce durante la ricerca mediante le
icone di sicurezza
Quando l'utente digita parole chiave in un motore di ricerca come Google, Yahoo, Bing o Ask, vengono
visualizzate icone di sicurezza accanto ai siti nella pagina dei risultati della ricerca. Il colore del
pulsante corrisponde alla classificazione di sicurezza del sito.
I test non hanno rivelato problemi significativi.
I test hanno rilevato problemi dei quali informare l'utente. Ad esempio, il sito ha cercato di
modificare le impostazioni predefinite del browser di chi ha eseguito il test, ha visualizzato
popup o inviato a chi ha eseguito il test una quantità significativa di email non classificate come
spam.
I test hanno rilevato problemi gravi che l'utente deve tenere in considerazione prima di accedere
a questo sito. Ad esempio, il sito ha inviato a chi ha eseguito il test email di spam o adware in
bundle con un download.
Un'impostazione ha bloccato questo sito.
Questo sito non è classificato.
Vedere anche
Visualizzazione del rapporto sul sito durante le ricerche a pagina 80
Fornitura di dettagli da parte dei rapporti sul sito
L'utente può visualizzare il rapporto sul sito per un sito Web per dettagli sulle minacce specifiche.
I rapporti sul sito sono forniti dal server delle classificazioni McAfee GTI e offrono le seguenti
informazioni.
Guida del prodotto
77
5
Questo
elemento...
Indica...
Panoramica
La classificazione complessiva del sito Web, determinata da questi test:
• Vengono valutate le pratiche di email e download di un sito Web utilizzando
tecniche proprietarie di raccolta e analisi dei dati.
• Viene esaminato il sito Web stesso per verificare se attiva pratiche fastidiose quali
popup eccessivi o richieste di modifica della home page.
• Viene eseguita un'analisi delle affiliazioni online per valutare se il sito è associato
ad altri siti sospetti.
• La valutazione dei siti sospetti di McAfee viene integrata con i commenti dei servizi
Threat Intelligence.
Affiliazioni
online
Indicazione del livello di aggressività con cui il sito tenta di indirizzare ad altri siti
contrassegnati da McAfee come rossi.
I siti sospetti spesso si associano con altri siti sospetti. Lo scopo principale dei siti
feeder è quello di far visitare il sito sospetto. Un sito può essere classificato in rosso
se, ad esempio, collega in modo troppo aggressivo ad altri siti rossi. In questo caso,
Web Control considera il sito come rosso per associazione.
Test di spam
Web
La classificazione complessiva delle procedure di invio di email di un sito Web, in
base ai risultati dei test.
McAfee classifica i siti in base alla quantità di messaggi email ricevuti dopo aver
inserito un indirizzo nel sito e al fatto che tali messaggi siano di spam. Se uno di
questi valori è superiore a quanto considerato accettabile, McAfee classifica il sito
come giallo. Se entrambi i valori sono elevati o se uno dei due è particolarmente
elevato, McAfee classifica il sito come rosso.
Test di
download
La classificazione complessiva dell'impatto che un software scaricabile dal sito ha
avuto sul computer che ha eseguito il test, in base ai risultati del test.
McAfee contrassegna come rossi i siti con download con virus o che aggiungono
software non correlato che molti utenti considererebbero adware o spyware. La
classificazione tiene anche conto dei server di rete contattati dal programma
scaricato durante la sua esecuzione, nonché di eventuali modifiche alle impostazioni
del browser o ai file di registro del computer.
Vedere anche
Visualizzazione di rapporti sul sito a pagina 80
Compilazione delle classificazioni di sicurezza
Un team McAfee sviluppa le classificazioni di sicurezza tramite la verifica di numerosi criteri per ogni
sito e la valutazione dei risultati in modo da rilevare le minacce comuni.
La compilazione delle classificazioni di sicurezza per un sito web a seguito delle verifiche automatiche
viene eseguita mediante:
78
•
Download di file per verificare la presenza di virus e programmi potenzialmente indesiderati uniti al
download.
•
Immissione delle informazioni di contatto nei moduli di registrazione e verifica dello spam risultante
o di un volume elevato di email non indesiderate provenienti dal sito o dalle sue affiliate.
•
Verifica di una presenza eccessiva di finestre popup.
•
Verifica dei tentativi da parte del sito di sfruttare le vulnerabilità del browser.
•
Verifica di eventuali pratiche ingannevoli o fraudolente utilizzate da un sito.
Guida del prodotto
5
Il team inserisce i risultati delle verifiche in un rapporto sulla sicurezza, che può anche contenere:
•
Commenti inviati dal proprietario del sito, che possono includere descrizioni delle precauzioni di
sicurezza utilizzate dal sito o risposte ai commenti degli utenti sul sito.
•
Commenti inviati dagli utenti del sito, che possono comprendere rapporti sui messaggi di phishing o
sulle esperienze negative durante gli acquisti.
•
Ulteriori analisi effettuate da esperti McAfee.
Il server McAfee GTI archivia le classificazioni sito e i report.
Accedere alle funzioni di Web Control dal browser.
Attività
•
Accesso alle funzioni durante la navigazione a pagina 79
Accedere alle funzioni Web Control dal pulsante sul browser. Il pulsante funziona in modo
diverso a seconda del browser in uso.
•
Utilizzare l'icona di sicurezza nella pagina dei risultati della ricerca per visualizzare ulteriori
informazioni riguardo al sito.
•
Visualizzazione di rapporti sul sito a pagina 80
Per ulteriori informazioni sulla classificazione di sicurezza di un sito, consultare i rapporti sul
sito.
•
Risoluzione dei problemi di comunicazione a pagina 81
Nel computer client, eseguire dei test dal browser per stabilire il motivo dei problemi di
comunicazione con il server delle classificazioni di sicurezza McAfee GTI.
Accesso alle funzioni durante la navigazione
Accedere alle funzioni Web Control dal pulsante sul browser. Il pulsante funziona in modo diverso a
seconda del browser in uso.
Internet Explorer e Firefox
•
Posizionare il cursore sopra questo pulsante per visualizzare un'area commenti contenente il
riepilogo del rapporto sulla sicurezza del sito.
•
Fare clic sul pulsante per visualizzare il rapporto sulla sicurezza dettagliato.
•
Fare clic sul pulsante accanto all'icona
funzioni.
per visualizzare un menu di
Chrome – Fare clic sul pulsante per visualizzare un menu di funzioni.
In Chrome non è possibile visualizzare le aree commenti con il pulsante menu. Le aree commenti sono
disponibili solo dalle pagine dei risultati di ricerca.
Guida del prodotto
79
5
Attività
1
Dal menu, selezionare le opzioni.
Opzione
Per...
Note
Visualizza rapporto sul
sito
Visualizzare il rapporto sulla sicurezza del
sito attuale.
Disponibile solo quando Web
Control è attivato.
È inoltre possibile fare clic su Leggi
rapporto sul sito nell'area commenti del
sito.
Mostra area commenti
2
Mostra l'area commenti del sito attuale.
Disponibile solo quando Web
Control è attivato e per i browser
diversi da Chrome.
Se viene visualizzato il pulsante dell'errore di comunicazione
visualizzare l'area commenti per il sito e fare clic su Risoluzione dei problemi.
,
La pagina di stato della connessione visualizzata indica la possibile causa dell'errore di
comunicazione.
Vedere anche
76
Visualizzazione del rapporto sul sito durante le ricerche
Utilizzare l'icona di sicurezza nella pagina dei risultati della ricerca per visualizzare ulteriori
informazioni riguardo al sito.
Attività
1
Posizionare il cursore sull'icona di sicurezza. Nel testo dell'area commenti viene visualizzato un
riepilogo del rapporto sulla sicurezza.
2
Fare clic su Leggi rapporto sul sito nell'area commenti per aprire un rapporto sulla sicurezza del sito
dettagliato in un'altra finestra del browser.
Vedere anche
Identificazione delle minacce durante la ricerca mediante le icone di sicurezza a pagina 77
Visualizzazione di rapporti sul sito
Per ulteriori informazioni sulla classificazione di sicurezza di un sito, consultare i rapporti sul sito.
Attività
•
Visualizzare il rapporto per un sito.
Da questa posizione...
Eseguire questa operazione...
Sito Web
• Selezionare Visualizza rapporto sito dal menu Web Control.
• Fare clic sull'area commenti.
• Fare clic su Leggi rapporto sul sito nell'area commenti.
Pagina dei risultati della ricerca
80
Fare clic sull'icona di sicurezza accanto al link alla pagina Web.
Guida del prodotto
5
Vedere anche
Risoluzione dei problemi di comunicazione
Nel computer client, eseguire dei test dal browser per stabilire il motivo dei problemi di comunicazione
con il server delle classificazioni di sicurezza McAfee GTI.
Un pulsante arancione
nell'angolo superiore destro del browser indica
problemi di comunicazione con il server McAfee GTI.
La risoluzione dei problemi di comunicazione non è disponibile in Chrome. Per eseguire questi test,
utilizzare Internet Explorer o Firefox.
Attività
1
In Internet Explorer o Firefox, tenere posizionato il cursore sopra il pulsante arancione per
visualizzare un messaggio.
2
Fare clic su Risoluzione dei problemi per eseguire i test e visualizzare i risultati.
La pagina di stato della connessione mostra il motivo dell'errore di comunicazione e le possibili
soluzioni una volta completati i test.
Test
Verifica di...
Un errore durante il test indica che...
Accesso a Internet
Il browser dispone
dell'accesso a Internet?
Il computer non può effettuare l'accesso a Internet.
Questo errore potrebbe significare che la
connessione di rete è interrotta o le impostazioni
proxy non sono configurate correttamente.
Rivolgersi all'amministratore.
Disponibilità server Il server McAfee GTI
McAfee GTI
non è accessibile?
I server McAfee GTI non sono accessibili.
3
Controllare i risultati quando vengono visualizzati e seguire le istruzioni fornite per risolvere il
problema.
4
Eseguire nuovamente un test della connessione facendo clic su Ripeti verifiche.
Il pulsante Ripeti verifiche consente di capire se l'errore persiste o se è stato corretto mentre la pagina
è aperta.
Vedere anche
76
In qualità di amministratore, è possibile specificare le impostazioni Web Control per consentire e
personalizzare la protezione, impostare blocchi in base alle categorie Web e registrare la
configurazione.
Vedere anche
Configurazione delle opzioni Web Control a pagina 82
Specificare azioni di classificazione e bloccare l'accesso ai siti in base a una categoria Web a
pagina 85
Guida del prodotto
81
5
Configurazione delle opzioni Web Control
È possibile attivare Web Control e configurare le opzioni da Endpoint Security Client.
Prima di iniziare
Attività
1
2
Fare clic su Web Control nella pagina Stato principale.
Impostazioni.
, selezionare Impostazioni, quindi fare clic su Web Control nella pagina
3
4
5
Selezionare Attiva Web Control per attivare Web Control e modificarne le opzioni.
Per...
Eseguire questa
operazione...
Note
Nascondere la barra degli Selezionare Nascondi barra degli
strumenti di Web Control strumenti nel browser client.
nel browser senza
disattivare la protezione.
Utilizzare questa impostazione
per risolvere tutti i problemi di
compatibilità con dispositivi di
terze parti.
Rilevare eventi browser
da utilizzare per i report.
Configurare le impostazioni nella Configurare gli eventi Web Control
sezione Registrazione eventi.
inviati dai sistemi client al server di
gestione, da utilizzare per query e
report.
Attivare blocco o avviso
per URL sconosciuti.
In Imposizione azione, selezionare
l'azione (Blocca, Consenti o Avvisa)
per i siti non ancora verificati da
McAfee GTI.
Scansionare i file prima
del download.
Selezionare Attiva scansione file per il
download di file, quindi selezionare
il livello di rischio McAfee GTI
per impostare il blocco.
Bloccare la
visualizzazione di siti
rischiosi nei risultati di
ricerca.
In Ricerca sicura, selezionare Attiva
ricerca sicura, selezionare il motore
di ricerca e specificare se
bloccare i collegamenti ai siti
rischiosi.
Ricerca sicura filtra
automaticamente i siti dannosi nei
risultati di ricerca in base alla
classificazione di sicurezza. Web
Control utilizza Yahoo come motore
di ricerca predefinito.
Se viene modificato il motore di
ricerca predefinito, riavviare il
browser affinché la modifica
venga applicata.
82
6
Configurare le altre opzioni in base alle esigenze.
7
Guida del prodotto
5
Vedere anche
Come viene eseguita la scansione dei download di file a pagina 84
Guida del prodotto
83
5
Come viene eseguita la scansione dei download di file
Web Control invia richieste relative al download dei file a Threat Prevention, affinché venga eseguita la
scansione prima del download.
84
Guida del prodotto
5
Specificare azioni di classificazione e bloccare l'accesso ai siti
in base a una categoria Web
Configurare le impostazioni della policy Azioni contenuto per specificare le azioni applicabili ai siti e ai
download di file, sulla base di classificazioni di sicurezza. Facoltativamente, specificare di bloccare o
consentire siti in ogni categoria Web.
Prima di iniziare
Web Control applica le azioni di classificazione ai siti nelle categorie non bloccate specificate nella
sezione Blocco categoria Web in Avanzate.
Utilizzare le impostazioni in Messaggi di imposizione per personalizzare il messaggio da visualizzare per
siti e download di file bloccati o con avviso e le pagine di phishing bloccate.
Attività
1
2
Fare clic su Web Control nella pagina Stato principale.
Impostazioni.
, selezionare Impostazioni, quindi fare clic su Web Control nella pagina
3
4
Fare clic su Azioni contenuto.
5
Nella sezione Blocco categoria Web, per ogni Categoria Web, attivare o disattivare l'opzione Blocca.
Per i siti nelle categorie non bloccate, Web Control applica anche le azioni di classificazione.
6
Nella sezione Azioni classificazione, specificare le azioni da applicare a tutti siti e download di file, sulle
base delle classificazioni di sicurezza definite da McAfee.
Queste azioni sono applicabili anche ai siti non bloccati da un blocco categoria Web.
7
Vedere anche
Uso delle categorie Web per controllare l'accesso a pagina 85
Uso delle classificazioni di sicurezza per controllare l'accesso a pagina 86
Uso delle categorie Web per controllare l'accesso
Le categorie Web consentono di controllare l'accesso ai siti, in base alle categorie definite da McAfee. È
possibile specificare opzioni per consentire o bloccare l'accesso ai siti in base alla categoria di
contenuto.
Quando viene attivato il blocco delle categorie Web nelle impostazioni della policy Azioni contenuto, il
software blocca o consente categorie di siti Web. Le categorie includono: Gioco d'azzardo, Giochi e
Messaggistica immediata. McAfee definisce e mantiene un elenco di circa 105 categorie Web.
Per impostazione predefinita, la maggior parte delle categorie Web classificate come verdi da McAfee
sono consentite, quelle classificate come gialle sono accompagnate da un avviso e quelle classificate
come rosse vengono bloccate. Tuttavia, alcune categorie di contenuto non classificate vengono
Guida del prodotto
85
5
bloccate o accompagnate da un avviso in base a quanto consigliato da McAfee GTI. Utilizzare le
impostazioni per Azioni contenuto per bloccare o consentire le categorie Web. Per specificare le azioni
per siti e download in categorie non bloccate, utilizzare le impostazioni Azioni classificazione.
Quando un utente client accede a un sito, il software ne verifica la categoria Web. Se il sito rientra in
una categoria definita, l'accesso viene bloccato o consentito in base alle impostazioni della policy
Azioni contenuto. Per i siti e i download di file nelle categorie non bloccate, il software applica le Azioni
classificazione specificate.
Uso delle classificazioni di sicurezza per controllare l'accesso
Configurare le azioni in base alle classificazioni di sicurezza per determinare se gli utenti possono
accedere a un sito o alle relative risorse.
È possibile specificare opzioni di accesso consentito, blocco o avviso per ogni sito o download di file, in
base alla classificazione. Questa impostazione consente un maggior livello di granularità nella
protezione degli utenti da file che potrebbero rappresentare una minaccia in siti con una classificazione
complessiva verde.
86
Guida del prodotto
6
Riferimento dell'interfaccia client
Gli argomenti della guida di riferimento dell'interfaccia forniscono assistenza sensibile al contesto per
le pagine nell'interfaccia client.
Sommario
Pagina Registro eventi
Pagina Quarantena
Common – Opzioni
Common – Attività
Threat Prevention - Protezione dell'accesso
Pagina Threat Prevention - Prevenzione exploit
Pagina Threat Prevention - Scansione all'accesso
Threat Prevention – Scansione su richiesta
Percorsi di scansione
McAfee GTI
Azioni
Aggiungi o modifica esclusioni
Threat Prevention - Opzioni
Ripristina AMCore content
Firewall – Opzioni
Firewall – Regole
Web Control – Opzioni
Web Control – Azioni contenuto
Mostra le attività e gli eventi di debug nel Registro eventi.
Opzione
Definizione
Numero di eventi
Indica il numero di eventi registrati da Endpoint Security sul sistema negli ultimi
30 giorni.
Aggiorna la visualizzazione del Registro eventi con eventuali nuovi dati di eventi.
Visualizza cartella
registri
Apre la cartella contenente i file di registro in Windows Explorer.
Mostra tutti gli eventi
Rimuove eventuali filtri.
Guida del prodotto
87
6
Opzione
Definizione
Filtra per gravità
Filtra gli eventi per livello di gravità:
Filtra per modulo
Critico
Mostra solo gli eventi con livello di gravità 1.
Grave e superiori
Mostra solo gli eventi con livello di gravità 1 e 2.
Minore e superiori
Mostra solo gli eventi con livello di gravità 1, 2 e 3.
Avviso e superiori
Mostra gli eventi con livello di gravità 1, 2, 3 e 4.
Filtra gli eventi per modulo:
Common
Mostra solo gli eventi Common.
Threat Prevention
Mostra solo gli eventi Threat Prevention.
Firewall
Mostra solo gli eventi Firewall.
Web Control
Mostra solo gli eventi Web Control.
Le funzioni visualizzate nell'elenco a discesa dipendono dalle funzionalità
installate sul sistema nel momento in cui è stato aperto il Registro eventi.
Cerca
Esegue la ricerca di una stringa nel Registro eventi.
Eventi per pagina
Seleziona il numero di eventi da visualizzare in una pagina. (Per impostazione
predefinita, 20 eventi per pagina)
Pagina precedente
Mostra la pagina precedente nel Registro eventi.
Pagina successiva
Mostra la pagina successiva nel Registro eventi.
Pagina x di x
Seleziona una pagina a cui accedere nel Registro eventi.
Immettere un numero nel campo Pagina e premere Invio oppure fare clic su Vai
per accedere alla pagina.
88
Intestazione
colonna
Ordina l'elenco eventi per...
Data
La data in cui si è verificato l'evento.
Funzionalità
Funzionalità che ha registrato l'evento.
Guida del prodotto
Pagina Quarantena
Intestazione
colonna
Ordina l'elenco eventi per...
Azione
Azione eventualmente eseguita da Endpoint Security in risposta a un evento.
6
L'azione è configurata nelle impostazioni.
Consentito
L'accesso al file viene consentito.
Accesso negato
L'accesso al file viene impedito.
Eliminato
Il file viene eliminato automaticamente.
Continua
Ripulito
La minaccia viene rimossa automaticamente dal file.
Spostato
Il file viene spostato in quarantena.
Bloccato
L'accesso al file è bloccato.
Bloccherà
Una regola di protezione dell'accesso, se imposta, bloccherà
l'accesso al file.
Livello di gravità dell'evento.
Gravità
Critico
1
Grave
2
Minore
3
Avviso
4
Informativo
5
Vedere anche
Visualizzazione del Registro eventi a pagina 21
Pagina Quarantena
Gestisce gli elementi nella quarantena.
Opzione
Definizione
Elimina
Elimina gli elementi selezionati dalla quarantena.
Gli elementi eliminati non possono essere ripristinati.
Ripristina
Ripristina gli elementi dalla quarantena.
Endpoint Security ripristina gli elementi nella posizione originale e li rimuove dalla
quarantena.
Se un elemento costituisce ancora una minaccia valida, Endpoint Security lo reinserisce
immediatamente in quarantena.
Ripeti scansione Ripete la scansione degli elementi selezionati nella quarantena.
Se l'elemento non costituisce più una minaccia, Endpoint Security lo ripristina nella
posizione originale e lo rimuove dalla quarantena.
Guida del prodotto
89
6
Common – Opzioni
Intestazione colonna
Ordina elenco quarantena per...
Nome rilevamento
Nome del rilevamento.
Tipo
Tipo di minaccia, ad esempio, Trojan o Adware.
Tempo in quarantena
Il lasso di tempo durante il quale l'elemento è rimasto in quarantena.
Numero di oggetti
Il numero di oggetti del rilevamento.
Versione AMCore content
Il numero di versione di AMCore content che ha identificato la minaccia.
Vedere anche
Gestione degli elementi in quarantena a pagina 39
Common – Opzioni
Configura le impostazioni relative a: interfaccia Endpoint Security Client, autoprotezione, registrazione
attività e debug, nonché server proxy.
Tabella 6-1
Sezione
Opzione
Modalità interfaccia Accesso completo
client
Accesso standard
Definizione
Consente di accedere a tutte le funzionalità.
(Predefinito per sistemi autogestiti)
Visualizza lo stato di protezione e consente di accedere alla
maggior parte delle funzionalità, come gli aggiornamenti e le
scansioni.
La modalità di accesso standard richiede una password per la
visualizzazione e la modifica delle impostazioni della nella
pagina delle Impostazioni Endpoint Security Client.
(Predefinito per sistemi gestiti)
Disinstallazione
Blocca interfaccia
client
Richiede una password per accedere a Endpoint Security Client.
Imposta password
amministratore
Per Accesso standard e Blocca interfaccia client, specifica la password
amministratore per accedere a tutte le funzionalità
dell'interfaccia Endpoint Security Client.
Richiedi password per
disinstallare il client
Password
Specifica la password amministratore.
Conferma password
Conferma la password amministratore.
Richiede una password per disinstallare Endpoint Security Client
e specifica la password.
(Disattivato per impostazione predefinita per sistemi autogestiti)
90
Password
Specifica la password di disinstallazione.
Conferma password
Conferma la password di disinstallazione.
Guida del prodotto
Common – Opzioni
6
Tabella 6-2 Opzioni avanzate
Sezione
Opzione
Lingua
Automatico
interfaccia client
Lingua
Definizione
Seleziona automaticamente la lingua da utilizzare per il testo
dell'interfaccia Endpoint Security Client in base alla lingua del sistema
client.
Specifica la lingua da utilizzare per il testo dell'interfaccia Endpoint
Security Client.
Per i sistemi gestiti, le modifiche apportate dal sistema client
influiscono sull'interfaccia Endpoint Security Client. La modifica della
lingua viene applicata in seguito al riavvio di Endpoint Security Client.
La lingua del client non interessa i file di registro. I file di registro
vengono visualizzati nella lingua specificata dalle impostazioni locali
predefinite del sistema.
Autoprotezione
Attiva
autoprotezione
Protegge le risorse del sistema Endpoint Security da attività dannose.
Azione
Specifica l'azione da intraprendere quando si verificano attività
dannose:
• Blocca e segnala – Blocca e segnala a McAfee ePO. (Opzione
predefinita)
• Solo blocco – Blocca ma non segnala a McAfee ePO.
• Solo segnalazione – Segnala l'attività a McAfee ePO, ma non la blocca.
File e cartelle
Impedisce la modifica o l'eliminazione di file e cartelle di sistema
McAfee.
Registro
Impedisce la modifica o l'eliminazione di chiavi e valori di registro
McAfee.
Processi
Impedisce l'arresto dei processi McAfee.
Escludi questi
processi
Consente l'accesso ai processi specificati.
Aggiungi Aggiunge un processo all'elenco di esclusioni.
Fare clic su Aggiungi, quindi immettere il nome esatto della
risorsa, come avtask.exe.
Elimina
Elimina un processo dall'elenco di esclusioni.
Selezionare la risorsa, quindi fare clic su Elimina.
Registrazione
client
Percorso file di
registro
Specifica il percorso del file di registro.
Il percorso predefinito è:
<SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs
Per andare a una nuova posizione, immettere il percorso o fare clic su
Sfoglia.
Registrazione
attività
Attiva registrazione Attiva la registrazione di tutte le attività Endpoint Security.
attività
Guida del prodotto
91
6
Common – Opzioni
Tabella 6-2 Opzioni avanzate (segue)
Sezione
Opzione
Definizione
Limita le
dimensioni (MB) di
ciascun file del
registro attività
Limita ciascun file del registro attività alla dimensione massima
specificata (tra 1 MB e 999 MB). L'impostazione predefinita è 10 MB.
Disattivare l'opzione per consentire ai file di registro di raggiungere
qualsiasi dimensione.
Se il file di registro supera le dimensioni impostate, il 25% delle voci
meno recenti viene eliminato per consentire l'aggiunta di nuovi dati
al file.
Registrazione
debug
L'attivazione della registrazione debug per ogni modulo consente
inoltre la registrazione di debug per le funzioni del modulo Common,
come l'autoprotezione.
Attiva per Threat
Prevention
Attiva la registrazione dettagliata per Threat Prevention e le singole
tecnologie:
Attiva per protezione dell'accesso
Registra in
AccessProtection_Debug.log
Attiva per la prevenzione exploit
Registra in
ExploitPrevention_Debug.log
Attiva per programma di scansione
all'accesso
Registra in OnAccessScan_Debug.log
Attiva per programma di scansione
su richiesta
Registra in OnDemandScan_Debug.log
L'attivazione della registrazione debug per ogni tecnologia Threat
Prevention consente di eseguire la registrazione debug per Endpoint
Security Client.
Attiva per il
Firewall
Consente la registrazione dettagliata delle attività Firewall.
Attiva per Web
Control
Consente la registrazione dettagliata delle attività Web Control.
Limita le
dimensioni (MB) di
ciascun file del
registro di debug
Limita ciascun file di registro di debug alla dimensione massima
specificata (compresa tra 1 MB e 999 MB). L'impostazione predefinita
è 50 MB.
Disattivare l'opzione per consentire ai file di registro di raggiungere
qualsiasi dimensione.
Se il file di registro supera le dimensioni impostate, il 25% delle voci
meno recenti viene eliminato per consentire l'aggiunta di nuovi dati
al file.
Registrazione
eventi
Invia eventi a
McAfee ePO
Invia tutti gli eventi registrati nel Registro eventi in Endpoint Security
Client a McAfee ePO.
Questa opzione è disponibile solo sui sistemi gestiti da McAfee ePO o
McAfee ePO Cloud.
Registra eventi nel
registro
applicazione
Windows
92
Invia tutti gli eventi registrati nel Registro eventi in Endpoint Security
Client al registro applicazione Windows.
Il registro applicazione Windows è accessibile da: Visualizzatore eventi |
Registri di Windows | Applicazione.
Guida del prodotto
Common – Opzioni
6
Sezione
Opzione
Definizione
Livelli di
gravità
Specifica il livello di gravità degli eventi da registrare nel Registro eventi
in Endpoint Security Client:
Eventi Threat
Prevention da
registrare
Nessuno
Non invia alcun avviso
Solo critici
Invia solo avvisi di livello 1
Gravi e critici
Invia avvisi di livello 1 e 2
Minori, gravi e critici
Invia avvisi di livello 1–3
Tutti tranne informativi
Tutti
1
Critico
2
Grave
3
Minore
4
Avviso
5
Informativo
Specifica i livelli di gravità degli eventi per ciascuna funzionalità
Threat Prevention da registrare:
• Protezione dell'accesso
• Prevenzione exploit
• Programma di scansione all'accesso
• Programma di scansione su richiesta
Eventi Firewall da
registrare
Specifica i livelli di gravità degli eventi Firewall da registrare.
Eventi Web Control Specifica i livelli di gravità degli eventi Web Control da registrare.
da registrare
Server proxy per Nessun server
McAfee GTI
proxy
Specifica il recupero, da parte dei sistemi gestiti, delle informazioni
relative alla reputazione McAfee GTI direttamente da Internet e non
tramite un server proxy. (Opzione predefinita)
Utilizza
Specifica l'utilizzo di impostazioni proxy dal sistema client e attiva
impostazioni proxy facoltativamente l'autenticazione proxy HTTP.
di sistema
Configura server
proxy
Personalizza le impostazioni proxy.
• Indirizzo – Specifica l'indirizzo IP o il nome di dominio completo del
server proxy HTTP.
• Porta – Limita l'accesso dalla porta specificata.
• Escludere i seguenti indirizzi – Il server proxy HTTP non deve essere
utilizzato per i siti Web o gli indirizzi IP che iniziano con le voci
specificate.
Fare clic su Aggiungi, quindi immettere il nome dell'indirizzo da
escludere.
Guida del prodotto
93
6
Common – Opzioni
Sezione
Opzione
Definizione
Abilita
autenticazione
proxy HTTP
Il server proxy HTTP necessita di autenticazione. (L'opzione è
disponibile solo se è stata selezionata un server proxy HTTP.)
Immettere le credenziali proxy HTTP:
• Nome utente – Specifica l'account utente con autorizzazioni sufficienti
per l'accesso al server proxy HTTP.
• Password – Specifica la password per il Nome utente.
• Conferma password – Conferma la password specificata.
Aggiornamento Attiva il pulsante
client predefinito Aggiorna ora nel
client
Attiva il pulsante
nella pagina principale di
Fare clic su questo pulsante per verificare e scaricare manualmente
gli aggiornamenti dei file di contenuto e i componenti software nel
sistema client.
È possibile configurare queste impostazioni solamente nei sistemi
autogestiti e gestiti da McAfee ePO.
Elementi da
aggiornare
Siti di origine per
gli
aggiornamenti
Specifica cosa aggiornare quando il pulsante
selezionato.
viene
Contenuto di sicurezza,
hotfix e patch
Aggiorna tutti i contenuti di sicurezza (fra cui:
motore, AMCore e contenuto prevenzione
exploit), nonché altri hotfix e patch alle
ultime versioni.
Contenuto di sicurezza
Aggiorna solo i contenuti di sicurezza
(impostazione predefinita).
Hotfix e patch
Aggiorna solo hotfix e patch.
Configura i siti da cui ottenere gli aggiornamenti per i file di contenuto
e i componenti software.
È possibile configurare queste impostazioni solamente nei sistemi
autogestiti.
Aggiungi Aggiunge un sito all'elenco siti di origine.
Per ulteriori informazioni vedere Aggiungi o Modifica siti di
origine a pagina 95.
Importa
Importa un elenco di siti da un file XML.
Elimina
Elimina il sito selezionato dall'elenco dei siti di origine.
Indica gli elementi che possono essere spostati nell'elenco.
Selezionare degli elementi, quindi trascinarli e rilasciarli
nella nuova posizione. Viene visualizzata una riga blu tra
gli elementi dove è possibile rilasciare gli elementi
trascinati.
È possibile attivare e disattivare i due siti di origine backup
predefiniti (NAIFtp e NAIHttp), ma non modificarli, eliminarli o spostarli
nell'elenco.
94
Guida del prodotto
6
Common – Opzioni
Sezione
Opzione
Server proxy per Nessun server
siti di origine
proxy
Definizione
Specifica il recupero, da parte dei sistemi gestiti, delle informazioni
relative alla reputazione McAfee GTI direttamente da Internet e non
tramite un server proxy. (Opzione predefinita)
Utilizza
Specifica l'utilizzo di impostazioni proxy dal sistema client e attiva
impostazioni proxy facoltativamente l'autenticazione proxy HTTP o FTP.
di sistema
Configura server
proxy
Personalizza le impostazioni proxy.
• Indirizzo HTTP/FTP – Specifica l'indirizzo DNS, IPv4 o IPv6 del server
proxy HTTP o FTP.
• Porta – Limita l'accesso dalla porta specificata.
• Escludere i seguenti indirizzi – Specifica gli indirizzi per i sistemi Endpoint
Security Client per cui non si desidera utilizzare il server proxy per
ottenere le classificazioni McAfee GTI.
Fare clic su Aggiungi, quindi immettere il nome dell'indirizzo da
escludere.
Attiva
autenticazione
proxy HTTP/FTP
Il server proxy HTTP o FTP necessita di autenticazione. (L'opzione è
disponibile solo se è stata selezionata un'opzione server proxy HTTP o
FTP.) Immettere le credenziali proxy:
• Nome utente – Specifica l'account utente con autorizzazioni sufficienti
per l'accesso al server proxy.
• Password – Specifica la password per il Nome utente specificato.
Vedere anche
Protezione di risorse Endpoint Security a pagina 28
Configurazione delle impostazioni di registrazione a pagina 29
Configurazione delle impostazioni del server proxy per McAfee GTI a pagina 30
Aggiungi o Modifica siti di origine a pagina 95
Aggiungi o Modifica siti di origine
Aggiunge o modifica un sito nell'elenco dei siti di origine.
Tabella 6-3 Definizioni delle opzioni
Opzione
Definizione
Nome
Indica il nome del sito di origine contenente i file di aggiornamento.
Attiva
Attiva o disattiva l'uso del sito di origine per il download dei file di aggiornamento.
Recupera file da
Specifica da dove recuperare i file.
Guida del prodotto
95
6
Common – Opzioni
Tabella 6-3 Definizioni delle opzioni (segue)
Opzione
Definizione
Archivio HTTP
Recupera i file dal percorso dell'archivio HTTP specificato.
Un sito HTTP consente l'aggiornamento indipendentemente dalla protezione di rete, ma
supporta livelli di connessioni simultanee superiori rispetto a FTP.
URL
• Nome DNS – Indica che l'URL è un nome di dominio.
• IPv4 – Indica che l'URL è un indirizzo IPv4.
http:// – Specifica l'indirizzo del server e della cartella HTTP in cui si
trovano i file di aggiornamento.
Porta – Specifica il numero di porta per il server HTTP.
Utilizza
autenticazione
Seleziona l'utilizzo dell'autenticazione e specifica le credenziali per
l'accesso alla cartella del file di aggiornamento.
• Nome utente – Specifica l'account utente con autorizzazioni di lettura
per la cartella del file di aggiornamento.
96
Guida del prodotto
6
Common – Opzioni
Tabella 6-3 Definizioni delle opzioni (segue)
Opzione
Definizione
Archivio FTP
Recupera i file dal percorso dell'archivio FTP specificato.
Un sito FTP offre flessibilità di aggiornamento senza la necessità di doversi conformare
ad autorizzazioni di sicurezza della rete. Poiché l'FTP si è rivelato meno soggetto ad
attacchi di codice non desiderato rispetto a HTTP, esso può offrire una maggiore
tolleranza.
URL
• Nome DNS – Indica che l'URL è un nome di dominio.
ftp:// – Specifica l'indirizzo del server e della cartella FTP in cui si trovano i
file di aggiornamento.
Porta – Specifica il numero di porta per il server FTP.
Seleziona l'utilizzo dell'FTP anonimo per l'accesso alla cartella del file di
aggiornamento.
Utilizza
accesso
anonimo
Deselezionare questa opzione per specificare le credenziali di accesso.
• Nome utente – Specifica l'account utente con autorizzazioni di lettura per
la cartella del file di aggiornamento.
Percorso UNC o Recupera i file dal percorso UNC o locale specificato.
Percorso locale
Un sito UNC è il sito più rapido e semplice da impostare. Per gli aggiornamenti UNC tra
domini è necessario disporre delle autorizzazioni di sicurezza per ciascun dominio e ciò
rende la configurazione dell'aggiornamento più complessa.
Percorso
• Percorso UNC – Specifica il percorso utilizzando la notazione UNC (\
\servername\path\).
• Percorso locale – Specifica il percorso di una cartella su un'unità locale
o di rete.
Utilizza account
di connessione
Accede ai file di aggiornamento utilizzando l'account con il quale è
stato effettuato l'accesso. Questo account deve disporre di
autorizzazioni di lettura alle cartelle contenenti i file di
aggiornamento.
Deselezionare questa opzione per specificare le credenziali di accesso.
• Dominio – Specifica il dominio per l'account utente.
• Nome utente – Specifica l'account utente con autorizzazioni di lettura
per la cartella del file di aggiornamento.
Guida del prodotto
97
6
Pianifica le attività di Endpoint Security Client.
Sezione Opzione
Definizione
Attività
Indica le attività attualmente definite e pianificate.
Fare doppio clic sulla riga dell'attività per modificare un'attività esistente.
Nome
Nome dell'attività pianificata.
Funzionalità
Modulo o funzionalità ai quali è associata l'attività.
Pianifica
Indica se l'attività è pianificata per l'esecuzione e se è
disattivata.
Stato
Stato dell'ultima volta in cui è stata eseguita l'attività:
• (nessuno stato) – Nessuna esecuzione
• Esecuzione – Attualmente in esecuzione o ripristinata
• Sospesa – Sospesa dall'utente (come una scansione)
• Rinviata – Rinviata dall'utente (come una scansione)
• Terminata – Esecuzione completata senza errori
• Terminata (errori) – Esecuzione completata con errori
• Non riuscita – Completamento non riuscito
Ultima
esecuzione
Data e ora dell'ultima esecuzione dell'attività.
Esegui adesso Apre la finestra di dialogo associata all'attività selezionata.
Scansione rapida
Apre la finestra di dialogo Scansione rapida e avvia la
scansione.
Scansione completa
Apre la finestra di dialogo Scansione completa e avvia la
scansione.
Aggiornamento client
predefinito
Apre la finestra di dialogo Aggiorna e avvia
l'aggiornamento.
Elimina
Elimina l'attività selezionata.
Aggiungi
Aggiunge una nuova attività pianificata.
Vedere anche
Attività Modifica scansione completa o Modifica scansione rapida a pagina 98
Attività Modifica aggiornamento client predefinito a pagina 100
Attività Modifica scansione completa o Modifica scansione
rapida
Pianifica e modifica l'attività Scansione completa o Scansione rapida.
Vedere Configurare le impostazioni della policy di scansione su richiesta a pagina 54 per informazioni
sulla configurazione delle impostazioni di Scansione completa e Scansione rapida.
98
Guida del prodotto
6
Per impostazione predefinita, sia la Scansione completa sia la Scansione rapida sono pianificate per
l'esecuzione quotidiana alle 23:59. Le pianificazioni sono disattivate.
Tabella 6-4
Categoria Opzione
Definizione
Pianifica
Pianifica l'attività per l'esecuzione in un orario specifico. (Disattivato
per impostazione predefinita)
Attiva pianificazione
È necessario selezionare questa opzione per pianificare l'attività.
Ripetizioni
Specifica la frequenza dell'attività.
Ogni giorno
Esegue l'attività ogni giorno all'Ora inizio specificata.
Ogni settimana
Esegue l'attività settimanalmente:
• Nelle settimane specificate in Frequenza
• Nei giorni specificati in Viene eseguito il
Ogni mese
Esegue l'attività mensilmente in:
• Giorno del mese specificato
• Giorni della settimana specificati: primo, secondo,
terzo, quarto o ultimo
Ora inizio
Timeout
Termina l'attività se
eseguita per oltre
Specifica l'orario in cui iniziare l'attività.
Esegui una volta nell'orario
definito
Esegue l'attività una volta all'Ora inizio
specificata.
Esegui nell'orario definito e
ripeti fino a
Esegue l'attività all'Ora inizio specificata.
Quindi, esegue l'attività dopo il numero di
ore/minuti specificati fino all'ora di fine
specificata.
ripeti per
ore/minuti specificati per il periodo di tempo
specificato.
Arresta l'attività dopo il numero di Ore e Minuti specificato.
Se l'attività viene interrotta prima del completamento, all'avvio
successivo la scansione verrà ripresa dal punto in cui è stata
interrotta.
Specifica le credenziali per eseguire l'attività.
Account
Se non vengono specificate credenziali, l'attività viene eseguita come
account amministratore del sistema locale.
Nome utente
Specifica l'account utente.
Password
Specifica la password per l'account utente specificato.
Conferma password
Conferma la password per l'account utente specificato.
Dominio
Specifica il dominio dell'account utente specificato.
Guida del prodotto
99
6
Vedere anche
Attività Modifica aggiornamento client predefinito
Pianifica e modifica l'attività Aggiornamento client predefinito.
Vedere Configurare il comportamento di aggiornamento del a pagina 31 per informazioni sulla
configurazione delle impostazioni di Aggiornamento client predefinito.
Per impostazione predefinita, l'attività Aggiornamento client predefinito viene eseguita ogni giorno alle 1:00 e
ripetuta ogni quattro ore fino alle 23:59.
Tabella 6-5
Categoria Opzione
Definizione
Pianifica
Pianifica l'attività per l'esecuzione in un orario specifico. (Attivato per
impostazione predefinita)
Attiva pianificazione
È necessario selezionare questa opzione per pianificare l'attività.
Ripetizioni
Specifica la frequenza dell'attività.
Ogni giorno
Esegue l'attività ogni giorno all'Ora inizio specificata.
Ogni settimana
Esegue l'attività settimanalmente in:
• Settimane specificate in Frequenza
• Giorni specificati in Viene eseguito il
Ogni mese
Esegue l'attività mensilmente in:
• Giorno del mese specificato
• Giorni della settimana specificati: primo, secondo,
terzo, quarto o ultimo
Ora inizio
Timeout
Termina l'attività se
eseguita per oltre
Specifica l'orario in cui iniziare l'attività.
Esegui una volta nell'orario
definito
Esegue l'attività una volta all'Ora inizio
specificata.
ripeti fino a
ore/minuti specificati fino all'ora di fine
specificata.
ripeti per
ore/minuti specificati per il periodo di tempo
specificato.
Arresta l'attività dopo il numero di Ore e Minuti specificato.
Se l'attività viene interrotta prima del completamento, all'avvio
successivo la scansione verrà ripresa dal punto in cui è stata
interrotta.
100
Guida del prodotto
6
Tabella 6-5
(segue)
Categoria Opzione
Definizione
Account
Specifica le credenziali per eseguire l'attività.
Se non vengono specificate credenziali, l'attività viene eseguita come
account amministratore del sistema locale.
Nome utente
Specifica l'account utente.
Password
Specifica la password per l'account utente specificato.
Conferma password
Conferma la password per l'account utente specificato.
Dominio
Specifica il dominio dell'account utente specificato.
Vedere anche
Common – Attività a pagina 98
Consente di proteggere i punti di accesso del sistema in base alle regole configurate.
Consultare le impostazioni Common – Opzioni a pagina 90 per la configurazione della registrazione.
La protezione dell'accesso confronta un'azione richiesta con l'elenco di regole configurate e agisce
secondo la regola.
Tabella 6-6
Sezione
Opzione
Definizione
PROTEZIONE DELL'ACCESSO
Attiva protezione dell'accesso
Attiva la funzione di protezione dell'accesso.
Guida del prodotto
101
6
Sezione Opzione
Descrizione
Esclusioni Escludi questi processi per Consente di accedere ai processi specificati per tutte le regole.
tutte le regole
Aggiungi Aggiunge un processo all'elenco di esclusioni.
Fare clic su Aggiungi, quindi immettere il nome esatto del
processo, come avtask.exe.
Rimuove un processo dall'elenco di esclusioni.
Elimina
Selezionare il processo, quindi fare clic su Elimina.
Specifica le azioni per le regole di protezione dell'accesso.
Regole
Blocca (solo)
Blocca i tentativi di accesso senza eseguire la
registrazione.
Segnala
(solo)
Avvisa senza bloccare i tentativi di accesso.
Si tratta di un'impostazione utile quando non sono
note le effettive conseguenze di una regola.
Controllare i registri e i report per stabilire se è
necessario bloccare l'accesso.
Blocca e
segnala
Blocca e registra i tentativi di accesso.
Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella
prima riga.
Per disattivare la regola, deselezionare Blocca e Segnala.
Escludi questi processi per Modifica le esclusioni per la regola selezionata.
la regola selezionata
Selezionare una regola, fare clic su Aggiungi, quindi immettere un
processo da escludere dalla regola selezionata. Per eliminare
un'esclusione, selezionarla, quindi fare clic su Elimina.
Installazione di nuovi
CLSID, APPID e TYPELIB
Impedisce l'installazione o la registrazione di nuovi server COM.
Questa regola protegge da programmi adware e spyware che si
installano come add-on COM in Internet Explorer o nelle applicazioni
Microsoft Office.
Per impedire il blocco di applicazioni legittime che registrano
add-on COM, incluse alcune applicazioni comuni come Macromedia
Flash, aggiungerle all'elenco di esclusioni.
Disattivazione di Editor del
Registro e Task Manager
Protegge le voci di registro Windows, impedendo la disattivazione
dell'Editor del Registro e di Task Manager.
Durante un'epidemia, disattivare questa regola per poter
modificare il registro oppure aprire Task Manager per arrestare i
processi attivi.
Alterazione delle policy di
diritti utente
Protegge i valori di registro che contengono informazioni di
sicurezza Windows.
Questa regola impedisce ai worm di alterare gli account che
dispongono di diritti amministratore.
102
Guida del prodotto
6
Sezione Opzione
Alterazione delle
registrazioni delle
estensioni di file
Descrizione
Protegge le chiavi di registro in HKEY_CLASSES_ROOT dove sono
registrate le estensioni dei file.
Questa regola impedisce ai malware di modificare le registrazioni di
estensione dei file per consentire ai malware di essere eseguiti in
background.
Disattivare questa regola durante l'installazione di applicazioni
valide che modificano le registrazioni dell'estensione dei file nel
registro.
Questa regola costituisce un'alternativa più restrittiva a Assunzione
del controllo di file eseguibili con estensione .EXE e altre estensioni.
Creazione o modifica
remota di tipi di file quali
eseguibile
portabile, .INI, .PIF e
percorsi sistema principale
Impedisce ad altri computer di stabilire una connessione e alterare i
file eseguibili, come i file nella cartella Windows. Questa regola
riguarda solamente i tipi di file generalmente infettati da virus.
Questa regola protegge da worm o virus che si diffondono
rapidamente, che attraversano una rete tramite le condivisioni
aperte o amministrative.
Questa regola è un'alternativa meno sicura a Impostare tutte le
condivisioni come di sola lettura.
Creazione remota di file di
esecuzione automatica
Impedisce ad altri computer di stabilire una connessione e creare o
alterare i file di esecuzione automatica (autorun.inf).
I file di esecuzione automatica vengono utilizzati per avviare
automaticamente i file di programmi, normalmente file di
configurazione da CD.
Questa regola impedisce l'esecuzione di spyware e adware distribuiti
su CD.
Questa regola è selezionata per impostazione predefinita per Blocca
e Segnala.
Esecuzione di file da
qualsiasi cartella
temporanea
Impedisce agli eseguibili di eseguire o avviare file da qualsiasi
cartella che contiene "temp" nel nome.
Questa regola protegge contro i malware salvati ed eseguiti dalla
cartella Temp dell'utente o del sistema, come gli allegati eseguibili
nelle email e nei programmi scaricati.
Nonostante questa regola fornisca la protezione maggiore, potrebbe
bloccare l'installazione di applicazioni legittime.
Esecuzione di script di
Windows script host
(CScript.exe o Wscript.exe)
da qualsiasi cartella
temporanea
Impedisce a Windows script host di eseguire script VBScript e
JavaScript da qualsiasi cartella che contiene "temp" nel nome.
Questa regola protegge da numerosi trojan e meccanismi di
installazione Web discutibili utilizzati da applicazioni adware e
spyware.
Questa regola potrebbe bloccare l'installazione o l'esecuzione di
applicazioni di terze parti e script legittimi.
Questa regola è selezionata per impostazione predefinita per Segnala.
Accesso o modifica di file
Rubrica telefonica di
Accesso remoto
Impedisce ai malware di leggere gli elenchi di contatti dell'utente,
archiviati nei file rasphone.pbk delle cartelle del profilo utente.
Guida del prodotto
103
6
Sezione Opzione
Esecuzione e lettura di
tftp.exe
Descrizione
Impedisce di utilizzare TFTP (Trivial File Transfer Protocol), un
protocollo di trasferimento file senza autenticazione utente.
Questa regola impedisce ai malware di utilizzare TFTP per scaricare
altri malware nel sistema, impedendo ulteriori infezioni.
Poiché Windows richiede l'accesso a tftp.exe durante l'installazione
dei Service Pack Windows, disattivare questa regola durante
l'installazione di patch e Service Pack.
Lettura di file nella cache di Limita l'accesso agli elementi nella cache Internet Explorer soltanto
Internet Explorer
a Internet Explorer.
Questa regola impedisce ai malware di eseguire una ricerca
all'interno della cache Internet Explorer per individuare indirizzi
email e password di siti Web.
Qualsiasi processo che utilizza la libreria WinInet o ospita un
controllo Internet Explorer in una finestra può accedere alla cache.
Se attivata, potrebbe essere necessario aggiungere processi a
questa regola.
Accesso remoto a file o
cartelle locali
Impedisce l'accesso in lettura e scrittura da computer remoti al
computer.
Questa regola impedisce la diffusione di un worm di tipo
share-hopping.
In un ambiente standard, questa regola è adatta alle workstation,
ma non ai server, ed è utile solamente quando i computer si trovano
sotto attacco attivo.
Se un computer viene gestito eseguendovi il push di file, questa
regola impedisce l'installazione di aggiornamenti o patch. Questa
regola non influisce sulle funzioni di gestione di McAfee ePO.
Creazione o modifica di file
o cartelle da remoto
Blocca l'accesso in scrittura a tutte le condivisioni.
Questa regola è utile durante un'epidemia, in quanto impedisce
l'accesso in scrittura per limitare la diffusione dell'infezione. La
regola blocca i malware che altrimenti limiterebbero gravemente
l'uso del computer o della rete.
In un ambiente standard, questa regola è adatta alle workstation,
ma non ai server, ed è utile solamente quando i computer si trovano
sotto attacco attivo.
Se un computer viene gestito eseguendovi il push di file, questa
regola impedisce l'installazione di aggiornamenti o patch. Questa
regola non influisce sulle funzioni di gestione di McAfee ePO.
Assunzione del controllo di
file eseguibili con
estensione .EXE e altre
estensioni
Protegge .EXE, .BAT e altre chiavi di registro eseguibili in
HKEY_CLASSES_ROOT.
Questa regola impedisce ai malware di modificare le chiavi di
registro per eseguire il virus quando si sta eseguendo un altro
eseguibile.
Questa regola è un'alternativa meno restrittiva a Modifica di tutte le
registrazioni delle estensioni di file.
104
Guida del prodotto
6
Sezione Opzione
Descrizione
Esecuzione di eseguibili
potenzialmente dannosi di
Svchost
Impedisce a svchost.exe di caricare DLL diverse dalle .DLL del
servizio Windows.
Modifica di processi
Windows principali
Impedisce la creazione o l'esecuzione di file con i nomi contraffatti
più comuni.
Questa regola impedisce ai malware di utilizzare svchost.exe per
registrare .DLL che non fanno parte di Windows.
Questa regola impedisce a virus e trojan di essere eseguiti con il
nome di un processo Windows. Questa regola esclude i file Windows
autentici.
Modifica di file e
impostazioni Mozilla
Impedisce ai processi di apportare modifiche ai preferiti e alle
impostazioni di Firefox.
Questa regola impedisce a trojan, adware e spyware della pagina
iniziale di modificare le impostazioni browser, come cambiare la
pagina iniziale o installare i preferiti.
Modifica di impostazioni
Internet Explorer
Impedisce ai processi di apportare modifiche alle impostazioni di
Internet Explorer.
Installazione di oggetti
Impedisce l'installazione di adware, spyware e trojan come oggetti
helper browser o estensioni helper browser nel computer host.
shell
Questa regola impedisce l'installazione di adware e spyware sui
sistemi.
Per consentire ad applicazioni personalizzate o di terze parti
legittime di installare questi oggetti, aggiungerli all'elenco di
esclusioni. Dopo l'installazione, è possibile riattivare la regola in
quanto non impedisce il funzionamento degli oggetti helper
browser installati.
Esecuzione URL di Guida e
supporto tecnico di
Windows (HCP) in Internet
Explorer o Windows Media
Player
Impedisce a Internet Explorer e Media Player di eseguire URL della
guida in linea e supporto tecnico (HCP) (hcp://).
Modifica di preferiti o
impostazioni Internet
Explorer
Impedisce ai processi di apportare modifiche alle configurazioni e ai
file di Internet Explorer.
Questa regole impedisce a un autore di attacchi di utilizzare un URL
hcp:// per eseguire un codice arbitrario sul computer, con le
autorizzazioni dell'utente.
Vedere anche
Configurare le impostazioni della policy di protezione dell'accesso a pagina 46
Abilita e configura la prevenzione degli exploit per impedire agli exploit di overflow del buffer di
eseguire codice arbitrario sul computer dell'utente.
Guida del prodotto
105
6
Tabella 6-8
Sezione
Opzione
Definizione
PREVENZIONE EXPLOIT Attiva la prevenzione degli
exploit
Attiva la funzione di prevenzione degli exploit.
Se questa opzione non viene attivata, il sistema non
è protetto da numerosi attacchi malware.
Sezione
Opzione
Definizione
Prevenzione
Utilizza
esecuzione dati prevenzione
Windows
esecuzione dati
Windows
Attiva prevenzione esecuzione dati Windows (DEP). (Disattivato per
impostazione predefinita)
Livello di
protezione
Specifica il livello di protezione della prevenzione exploit.
Standard
Disattivando questa opzione non si hanno effetti sui processi con DEP
attivato come conseguenza della policy di prevenzione esecuzione dati
Windows.
Rileva e blocca solo gli exploit di overflow del buffer con livello di gravità
elevato identificati nel file di contenuto di prevenzione exploit e arresta il
thread rilevato.
Utilizzare questa funzione in modalità Standard per un breve periodo.
Consultare contemporaneamente il file di registro per stabilire se passare
alla protezione Massima.
Massima
Rileva e blocca gli exploit di overflow del buffer con livello di gravità
elevato e medio identificati nel file di contenuto di prevenzione exploit e
arresta il thread rilevato.
Questa impostazione può generare falsi positivi.
Esclusioni
Escludi questi
processi
Specifica il nome del processo che effettua la chiamata e a cui appartiene
la memoria scrivibile.
Immettere il nome del processo da escludere. La prevenzione exploit
esclude il processo indipendentemente da dove questo si trovi.
Le esclusioni fanno distinzione tra maiuscole e minuscole e i caratteri
jolly non sono consentiti.
Aggiungi
Aggiunge un processo all'elenco di
esclusioni.
Immettere il nome del processo o il
nome e il relativo percorso.
Elimina
Rimuove il processo selezionato
dall'elenco di esclusioni.
Vedere anche
Configurare le impostazioni della policy di prevenzione exploit a pagina 48
106
Guida del prodotto
6
Consente di attivare e configurare le impostazioni di scansione all'accesso.
Tabella 6-11
Sezione
Opzione
Definizione
SCANSIONE
ALL'ACCESSO
Attiva scansione
all'accesso
Attiva la funzione Scansione all'accesso. Attivato per impostazione
predefinita.
Attiva scansione
Attiva la funzione Scansione all'accesso ogni volta che si accende il
all'accesso all'avvio del computer. Attivato per impostazione predefinita.
sistema
Specifica il numero
massimo di secondi
per la scansione di
ciascun file
Limita la scansione di ciascun file al numero di secondi specificato.
Attivato per impostazione predefinita.
Scansiona settori di
avvio
Esamina il settore di avvio del disco. Attivato per impostazione
predefinita.
Se viene superato il limite di tempo, la scansione si interrompe e
viene registrato un messaggio.
Quando il disco contiene un settore di avvio univoco o anomalo
che non può essere sottoposto a scansione, disattivare la
scansione del settore di avvio.
Esegui scansione dei
Esegue nuovamente la scansione di tutti i processi attualmente in
processi all'attivazione memoria, ogni volta che:
• Si disattiva e riattiva la scansione all'accesso.
• Il sistema viene avviato.
Poiché alcuni programmi o eseguibili si avviano
automaticamente all'avvio del sistema, l'attivazione di questa
opzione rallenta il sistema e aumenta il tempo di avvio dello
stesso.
Disattivato per impostazione predefinita.
Quando il programma di scansione all'accesso è attivo, eseguirà
sempre le scansioni di tutti i processi quando questi vengono
eseguiti.
Esegui scansione dei
programmi di
installazione affidabili
Esegue la scansione dei file MSI (installati da msiexec.exe e con
firma McAfee o Microsoft) o dei file del servizio Windows Trusted
Installer. Disattivato per impostazione predefinita.
Disattivare questa opzione per migliorare le prestazioni dei
programmi di installazione della maggior parte delle applicazioni
Microsoft.
Guida del prodotto
107
6
Tabella 6-11
Sezione
(segue)
Opzione
Definizione
Scansione durante la
copia da cartelle locali
Esegue la scansione dei file quando l'utente li copia da una cartella
locale a un'altra.
Se questa opzione è:
• Disattivato – Vengono sottoposti a scansione solo gli elementi
che si trovano nella cartella di destinazione.
• Attivato – Vengono sottoposti a scansione sia gli elementi nella
cartella di origine (lettura) sia quelli in quella di destinazione
(scrittura).
Disattivato per impostazione predefinita.
Per ulteriori informazioni vedere McAfee GTI a pagina 115.
McAfee GTI
Sezione
Opzione
Definizione
Messaggistica
utente
rilevamento
minacce
Al rilevamento di una
minaccia, mostra la
finestra di scansione
all'accesso
Mostra la pagina Scansione all'accesso con il messaggio specificato agli
utenti client quando si verifica un rilevamento. Attivato per
impostazione predefinita.
Quando questa opzione è selezionata, gli utenti possono aprire
questa pagina dalla pagina Avvia scansione ogni volta che l'elenco di
rilevamenti include almeno una minaccia.
L'elenco di rilevamenti della scansione all'accesso viene ripulito al
riavvio del servizio Endpoint Security o del sistema.
Messaggio
Mostra il messaggio specificato agli utenti client quando si verifica
un rilevamento.
Il messaggio predefinito è: McAfee Endpoint Security ha rilevato una minaccia.
Impostazioni
processi
Utilizza impostazioni
standard per tutti i
processi
Applica le stesse impostazioni configurate a tutti i processi durante
l'esecuzione di una scansione all'accesso.
Configura
impostazioni diverse
per processi ad alto e
basso rischio
Configura diverse impostazioni di scansione per ciascun tipo di
processo identificato.
• Standard – Processi non identificati come a rischio elevato o basso.
Attivato per impostazione predefinita.
• Rischio elevato – Processi che presentano un rischio elevato.
• Rischio basso - Processi che presentano un rischio basso.
Aggiungi Aggiunge un processo all'elenco Rischio elevato o Rischio
basso.
Elimina
Scansione
108
Rimuove un processo dall'elenco Rischio elevato o Rischio
basso.
Specifica quando eseguire la scansione
Durante la scrittura
sul disco
Esegue la scansione di tutti i file quando vengono scritti o modificati
nel computer o in altri dispositivi di memorizzazione dati.
Durante la lettura dal
disco
Esegue la scansione di tutti i file quando vengono letti dal computer
o da altri dispositivi di memorizzazione dati. McAfee consiglia
vivamente di attivare questa opzione.
Guida del prodotto
6
Sezione
Opzione
Definizione
Lascia decidere
McAfee
Consente a McAfee di decidere se sottoporre un file a scansione,
utilizzando la logica di affidabilità per ottimizzare la scansione. La
logica di affidabilità migliora la sicurezza e le prestazioni evitando
scansioni non necessarie.
Non eseguire la
Specifica di non eseguire la scansione dei soli processi con Rischio
scansione durante la basso.
lettura o la scrittura da
disco
Sulle unità di rete
Esegue la scansione delle risorse sulle unità di rete mappate.
La scansione delle risorse di rete può incidere sulle prestazioni.
Aperto per i backup
Esamina i file aperti per le operazioni di backup.
Tipi di file da sottoporre a scansione
Tutti i file
Esegue la scansione di tutti i file, indipendentemente dalla loro
estensione. McAfee consiglia vivamente di attivare questa opzione.
Se questa opzione non viene attivata, il sistema non è protetto
dagli attacchi malware.
Tipi di file specificati e Esegue la scansione di:
predefiniti
• Elenco predefinito di estensioni nel file AMCore content corrente.
• (facoltativo) Minacce di macro conosciute.
• Eventuali estensioni aggiuntive specificate.
• (facoltativo) File senza estensione.
Solo i tipi di file
specificati
Esegue la scansione solo dei file con le estensioni specificate e,
facoltativamente, dei file senza estensioni.
Specifica cosa
scansionare
File di archivio
compressi
Esamina il contenuto dei file di archivio (compressi), inclusi i
file .jar.
Poiché la scansione di file compressi può avere effetti negativi sulle
prestazioni di sistema, McAfee consiglia di eseguire le scansioni
degli archivi quando il sistema non è in uso.
File compressi con
codifica MIME
Consente di rilevare, decodificare e sottoporre a scansione i file
MIME (Multipurpose Internet Mail Extensions) codificati.
Rileva programmi
indesiderati
Specifica la rilevazione, da parte del programma di scansione
all'accesso, di programmi potenzialmente indesiderati.
Il programma di scansione utilizza le informazioni configurate nelle
impostazioni Opzioni allo scopo di rilevare programmi
potenzialmente indesiderati.
Azioni
Per ulteriori informazioni vedere Azioni a pagina 116.
Guida del prodotto
109
6
Sezione
Opzione
Definizione
Esclusioni
Specifica i file, le cartelle e le unità da escludere dalla scansione.
Per ulteriori informazioni vedere Aggiungi o modifica esclusioni a
pagina 118.
Aggiungi Aggiunge un elemento all'elenco di esclusioni Predefinito,
Rischio elevato o Rischio basso.
Rimuove un elemento dall'elenco di esclusioni Predefinito,
Rischio elevato o Rischio basso.
Elimina
ScriptScan
Attiva ScriptScan
Consente agli script di scansione JavaScript e VBScript di impedire
l'esecuzione di script indesiderati. Attivato per impostazione
predefinita.
Se ScriptScan è disattivato all'avvio di Internet Explorer e viene
attivato in seguito, non rileva gli script dannosi nell'istanza di
Internet Explorer.
È necessario riavviare Internet Explorer dopo aver attivato
ScriptScan affinché rilevi gli script dannosi.
Deselezionare questa opzione per consentire al computer
client di utilizzare le esclusioni specificate in questa attività
e le esclusioni specificate localmente sul client.
Escludi questi URL
Specifica le esclusioni ScriptScan in base all'URL.
Aggiungi
Aggiunge un URL all'elenco di esclusioni.
Elimina
Rimuove un URL dall'elenco di esclusioni
Gli URL non possono includere caratteri jolly. Tuttavia, qualsiasi
URL che contenga una stringa proveniente da un URL escluso viene
a sua volta escluso. Ad esempio, se l'URL msn.com è escluso,
anche i seguenti URL vengono esclusi:
• http://weather.msn.com
• http://music.msn.com
Sui sistemi Windows Server 2008, le esclusioni degli URL ScriptScan
non funzionano con Windows Internet Explorer, a meno che non si
selezioni Attiva estensioni di browser di terze parti e si riavvii il sistema. Per
ulteriori dettagli, consultare l'articolo KB relativo alle esclusioni di
URL per ScriptScan.
Vedere anche
McAfee GTI a pagina 115
Azioni a pagina 116
Aggiungi o modifica esclusioni a pagina 118
Configura le impostazioni di scansione su richiesta per le scansioni preconfigurate eseguite sul sistema
personale.
110
Guida del prodotto
6
Queste impostazioni specificano il comportamento del programma di scansione quando:
•
Si seleziona Scansione completa o Scansione rapida dalla pagina Esegui scansione in Endpoint Security Client.
•
Si fa clic con il pulsante destro del mouse su un file o una cartella e si seleziona Ricerca minacce dal
menu popup.
Tabella 6-14
Sezione
Opzione
Definizione
Tipo di
scansione
Scansiona settori di
avvio
Il programma di scansione esamina il settore di avvio del disco.
Quando il disco contiene un settore di avvio univoco o anomalo che
non può essere sottoposto a scansione, può essere opportuno
disattivare la scansione del settore di avvio.
Rileva programmi
indesiderati
Consente al programma di scansione di rilevare programmi
Il programma di scansione utilizza le informazioni configurate nelle
impostazioni Common allo scopo di rilevare programmi
Decodifica file con
codifica MIME
Consente di rilevare, decodificare e sottoporre a scansione i file MIME
(Multipurpose Internet Mail Extensions) codificati.
Esegui scansione su Esamina il contenuto dei file di archivio (compressi), inclusi i file .jar.
file all'interno di
archivi
Poiché la scansione di file compressi può avere effetti negativi sulle
prestazioni di sistema, McAfee consiglia di utilizzare questa opzione
nelle scansioni eseguite durante l'orario non lavorativo, quando il
sistema non è in uso.
Esegui la scansione
di file migrati in
archivio
Esegue la scansione di file gestiti dall'archiviazione remota.
Quando il programma di scansione incontra un file il cui contenuto è
stato migrato, il file viene ripristinato nel sistema locale prima della
scansione.
Trova minacce di
programma
sconosciute
Utilizza McAfee GTI per rilevare file eseguibili con codice simile a
malware.
Trova minacce di
macro sconosciute
Utilizza McAfee GTI per rilevare virus macro sconosciuti.
Scansiona
sottocartelle
Esamina tutte le sottocartelle della cartella specificata.
Questa opzione si applica solamente alle impostazioni di scansione di
scelta rapida.
Per ulteriori informazioni vedere Percorsi di scansione a pagina 114.
Percorsi di
scansione
Queste opzioni si applicano solamente a scansione completa e scansione
rapida.
Tipi di file da
sottoporre a
scansione
Tutti i file
Esegue la scansione di tutti i file, indipendentemente dalla loro
estensione.
McAfee consiglia vivamente di attivare Tutti i file.
Se questa opzione non viene attivata, il sistema non è protetto dagli
attacchi malware.
Guida del prodotto
111
6
Tabella 6-14
Sezione
(segue)
Opzione
Definizione
Tipi di file specificati Esegue la scansione di:
e predefiniti
• Elenco predefinito di estensioni nel file AMCore content corrente.
• (Facoltativo) minacce di macro conosciute.
• Eventuali estensioni aggiuntive specificate.
• (Facoltativo) file senza estensione.
Solo i tipi di file
specificati
Esegue la scansione solo dei file con le estensioni specificate e,
facoltativamente, dei file senza estensioni.
McAfee GTI
Esclusioni
Specifica i file, le cartelle e le unità da escludere dalla scansione.
Per ulteriori informazioni vedere Aggiungi o modifica esclusioni a
pagina 118.
Aggiungi Aggiunge un elemento all'elenco di esclusioni.
Elimina
Rimozione di un elemento dall'elenco di esclusioni.
Selezionare l'elemento nella tabella, quindi fare clic su
Elimina.
Per ulteriori informazioni vedere Azioni a pagina 116.
Azioni
Prestazioni
Utilizza la cache di
scansione
Consente al programma di scansione di utilizzare i risultati di
scansione dei file ripuliti esistenti.
Selezionare questa opzione per ridurre le scansioni duplicate e
migliorare le prestazioni.
Utilizzo del sistema
Consente al sistema operativo di impostare la quantità di tempo della
CPU che il programma di scansione riceve durante il processo di
scansione.
Ogni attività viene eseguita in maniera indipendente e senza
considerare i limiti impostati per le altre attività.
Consente di completare la scansione più
rapidamente.
Normale
Selezionare questa opzione per i sistemi che
dispongono di grandi volumi e una minima attività
dell'utente finale.
Al di sotto del
normale
Imposta l'utilizzo di sistema per la scansione sul
valore McAfee ePO predefinito.
Basso
Fornisce prestazioni migliori per le altre applicazioni
in uso.
Selezionare questa opzione per i sistemi con attività
dell'utente finale.
Opzioni di scansione pianificata
112
Queste opzioni si applicano solamente a scansione completa e scansione
rapida.
Guida del prodotto
6
Tabella 6-14
Sezione
(segue)
Opzione
Definizione
Esegui scansione
solo quando il
sistema è inattivo
Esegue la scansione solo quando il sistema è inattivo.
Threat Prevention mette in pausa la scansione quando rileva attività
del disco o dell'utente, come l'accesso mediante tastiera o mouse.
Threat Prevention riprende la scansione dopo tre minuti dall'ultimo
accesso al sistema da parte dell'utente.
McAfee consiglia di disattivare questa opzione sui sistemi server e i
sistemi ai quali gli utenti accedono solamente tramite connessione
desktop remota (RDP). Threat Prevention dipende da McTray per
stabilire se il sistema è inattivo. Sui sistemi ai quali si accede
solamente tramite RDP, McTray non viene avviato e il programma di
scansione su richiesta non viene mai eseguito.
Per aggirare questo problema, gli utenti possono avviare
McTray (in C:\Program Files\McAfee\Agent\mctray.exe, per
impostazione predefinita) manualmente quando accedono
tramite RDP.
Scansiona in
qualsiasi momento
Esegue la scansione anche se l'utente è attivo e specifica le opzioni di
scansione.
L'utente può rinviare le scansioni – Consente all'utente di rinviare le
scansioni pianificate e specifica le opzioni per il rinvio della scansione.
Numero massimo di
volte in cui gli utenti
possono rinviare per
un'ora
Specifica il numero di volte (1-23) in cui l'utente
può rinviare la scansione per un'ora.
Messaggio utente
Specifica il messaggio da visualizzare quando
una scansione sta per iniziare.
Il messaggio predefinito è: McAfee Endpoint
Security sta per eseguire la scansione del
sistema.
Durata messaggio
(secondi)
Specifica la durata (in secondi) di visualizzazione
del messaggio utente quando una scansione sta
per iniziare. L'intervallo valido per la durata è
30–300; il valore predefinito è 45 secondi.
Non eseguire la scansione quando il sistema è in modalità presentazione – Rinvia la
scansione mentre il sistema si trova in modalità di presentazione.
Non eseguire la
Rinvia la scansione quando l'alimentazione è a batteria.
scansione quando il
sistema è alimentato
a batteria
Vedere anche
Scansione di un file o una cartella a pagina 38
Percorsi di scansione a pagina 114
Azioni a pagina 116
Aggiungi o modifica esclusioni a pagina 118
Guida del prodotto
113
6
Specifica i percorsi da sottoporre a scansione.
Queste opzioni si applicano solamente a scansione completa e scansione rapida.
Tabella 6-15
Sezione
Opzione
Definizione
Percorsi di
scansione
Scansiona
sottocartelle
Il programma di scansione esamina tutte le sottocartelle nei volumi
specificati quando una di queste opzioni è selezionata:
• Cartella principale
• Cartella temporanea
• Cartella del profilo utente
• Unità o cartella
• Cartella Programmi
Deselezionare questa opzione per esaminare solo il livello principale
dei volumi.
Specifica percorsi
Specifica i percorsi da sottoporre a scansione.
Aggiungi Aggiunge un percorso da sottoporre a scansione.
Fare clic su Aggiungi, quindi selezionare la posizione dal
menu a discesa.
Elimina
Rimuove un percorso dalla scansione.
Selezionare il percorso e fare clic su Elimina.
Memoria per i rootkit
Esegue la scansione della memoria del sistema per individuare rootkit
installati, processi nascosti e altri segnali che indichino il tentativo di
nascondersi da parte di malware. Questa scansione viene eseguita
prima di tutte le altre.
attacchi malware.
Processi in
esecuzione
Esegue la scansione della memoria di tutti i processi in esecuzione.
Le Azioni diverse da Pulisci file vengono trattate come Continua scansione.
attacchi malware.
File registrati
Esegue la scansione dei file riportati dal registro di Windows.
Il programma di scansione esegue prima una ricerca nel registro in
base al nome dei file, stabilisce se i file esistono, crea un elenco di file
da sottoporre a scansione ed esegue la scansione dei file.
Risorse del computer
Esegue la scansione di tutte le unità collegate fisicamente al computer
o delle unità logiche mappate a lettere di unità del computer in uso.
Tutte le unità locali
Esegue la scansione di tutte le unità e delle relative sottocartelle
appartenenti al computer in uso.
Tutte le unità fisse
Esegue la scansione di tutte le unità collegate fisicamente al computer
in uso.
Tutte le unità rimovibili Esegue la scansione di tutte le unità rimovibili o di altri supporti di
archiviazione collegati al computer in uso.
Tutte le unità mappate Esegue la scansione di tutte le unità logiche di rete mappate a
un'unità di rete del computer in uso.
114
Guida del prodotto
McAfee GTI
Tabella 6-15
Sezione
6
(segue)
Opzione
Definizione
Cartella principale
Esegue la scansione della cartella principale dell'utente che ha avviato
la scansione.
Cartella del profilo
utente
Esegue la scansione del profilo dell'utente che avvia la scansione,
inclusa la cartella Documenti dell'utente.
Cartella Windows
Esegue la scansione della cartella Windows.
Cartella Programmi
Esegue la scansione dei contenuti della cartella Programmi.
Cartella Temp
Esegue la scansione della cartella Temp.
Cestino
Esegue la scansione del contenuto del Cestino.
File o cartella
Esegue la scansione di un file o cartella specifici.
Vedere anche
Threat Prevention – Scansione su richiesta a pagina 110
McAfee GTI
Attiva e configura le impostazioni di McAfee GTI.
Tabella 6-16
Sezione
Opzione
Definizione
Attiva e disattiva i controlli euristici.
Attiva McAfee
GTI
• Quando è attivata, questa opzione invia impronte digitali degli esempi o
hash a McAfee Labs per stabilire se si tratta di malware. Inviando gli hash,
il rilevamento potrebbe essere reso disponibile prima del successivo
aggiornamento dei file AMCore content, quando McAfee Labs pubblica
l'aggiornamento.
• Quando non è attiva, nessuna impronta digitale o dato viene inviato a
McAfee Labs.
Consente di configurare il livello di sensibilità da utilizzare per determinare se
un elemento rilevato è una minaccia malware.
Livello di
sensibilità
Un livello di sensibilità più elevato comporta un maggior numero di
rilevamenti di malware. Tuttavia, consentendo l'esecuzione di un elevato
numero di rilevamenti è possibile ottenere un maggior numero di risultati
falsi positivi.
Livello di
rischio
Molto basso
Indica che la quantità di rilevamenti e il rischio che si verifichino falsi positivi
corrispondono a quelli che si presentano quando si utilizzano i normali file
AMCore content. Anziché attendere il successivo aggiornamento del file
AMCore content, un rilevamento può essere reso disponibile a Threat
Prevention quando viene pubblicato da McAfee Labs.
Utilizzare questa impostazione per i desktop e server con diritti utente
limitati e un'impronta digitale di sicurezza affidabile.
Questa impostazione produce una media di 10-15 query al giorno, per
computer.
Guida del prodotto
115
6
Azioni
Tabella 6-16
Sezione
(segue)
Opzione
Definizione
Basso
Questa impostazione è quella minima raccomandata per i laptop o i desktop
e per i server con un'impronta digitale di sicurezza affidabile.
computer.
Medio
Utilizzare questo livello quando il rischio normale di esposizione al malware è
maggiore del rischio di un falso positivo. Le verifiche euristiche proprietarie di
McAfee Labs sono in grado di individuare correttamente gli elementi
malware. Tuttavia, alcuni rilevamenti possono generare falsi positivi. Con
questa impostazione, McAfee Labs verifica che i file di applicazioni e sistemi
operativi largamente diffusi non generino falsi positivi.
Questa impostazione è quella minima raccomandata per i laptop o i desktop
e per i server.
computer.
Elevato
Utilizzare questa impostazione per la distribuzione nei sistemi o nelle aree
infettati regolarmente.
computer.
Molto elevato McAfee consiglia di utilizzare questo livello solamente per la scansione di
volumi e directory che non supportano i sistemi operativi o l'esecuzione di
programmi.
Benché presumibilmente pericolosi, i rilevamenti ottenuti mediante questo
livello non sono stati sottoposti a verifiche esaustive per confermare che non
si tratti di falsi positivi.
Utilizzare questa impostazione per le scansioni su richiesta su volumi di
sistema non operativi.
computer.
Vedere anche
Pagina Threat Prevention - Scansione all'accesso a pagina 107
Web Control – Opzioni a pagina 129
Azioni
Consente di specificare la modalità di risposta del programma di scansione al rilevamento di una
minaccia.
Tabella 6-17
Sezione Opzione
Definizione
Tipo di scansione
Scansione
all'accesso
Prima risposta al rilevamento
delle minacce
Nega l'accesso ai
file
116
Scansione su
richiesta
Consente di selezionare la prima azione che il programma di scansione
deve intraprendere al rilevamento di una minaccia.
Impedisce agli utenti di accedere a X
qualsiasi file con potenziali
minacce.
Guida del prodotto
6
Azioni
Tabella 6-17
(segue)
Sezione Opzione
Definizione
Tipo di scansione
Scansione
all'accesso
Scansione su
richiesta
Continua a
eseguire la
scansione
Continua a eseguire la scansione in
caso di rilevamento di una
minaccia. Il programma di
scansione non sposta gli elementi
in quarantena.
X
Pulisci file
Rimuove la minaccia dal file
rilevato, se possibile.
X
X
Elimina file
Elimina i file contenenti potenziali
minacce.
X
X
Se la prima risposta non riesce Consente di selezionare l'azione che il programma di scansione deve
intraprendere al rilevamento di una minaccia se la prima azione non riesce.
Nega l'accesso ai
file
minacce.
Continua a
eseguire la
scansione
in quarantena.
Elimina file
Elimina i file contenenti potenziali
minacce.
Prima risposta ai programmi
indesiderati
X
X
X
Consente di selezionare la prima azione che il programma di scansione
deve eseguire al rilevamento di un programma potenzialmente
indesiderato.
Questa opzione è disponibile solo se Rileva programmi indesiderati è selezionato.
Nega l'accesso ai
file
minacce.
Consenti
l'accesso ai file
Consente agli utenti di accedere ai
file con potenziali minacce.
Continua a
eseguire la
scansione
in quarantena.
Pulisci file
Rimuove la minaccia dal file del
programma potenzialmente
indesiderato, se possibile.
X
X
Elimina file
Elimina i file del programma
potenzialmente indesiderato.
X
X
X
X
Se la prima risposta non riesce Consente di selezionare l'azione che il programma di scansione deve
eseguire al rilevamento di un programma potenzialmente indesiderato, se
la prima azione non ha esito positivo.
Questa opzione è disponibile solo se Rileva programmi indesiderati è selezionato.
Nega l'accesso ai
file
minacce.
Guida del prodotto
117
6
Tabella 6-17
(segue)
Sezione Opzione
Definizione
Tipo di scansione
Scansione
all'accesso
Consenti
l'accesso ai file
Consente agli utenti di accedere ai
file con potenziali minacce.
Continua a
eseguire la
scansione
in quarantena.
Elimina file
Elimina i file del programma
potenzialmente indesiderato
automaticamente.
Scansione su
richiesta
X
X
X
X
Vedere anche
Consente di aggiungere o modificare una definizione di esclusione.
Tabella 6-18
Sezione
Opzione
Definizione
Tipo di scansione
All'accesso Su richiesta
Specifica il tipo di esclusione e i dettagli dell'esclusione.
Elementi da
escludere
Criterio
Specifica il criterio con il quale eseguire le
esclusioni.
X
X
Se necessario, selezionare Escludi anche le
sottocartelle.
Tipo di file
Specifica i tipi di file (estensioni di file) da
escludere.
X
X
Data file
Specifica il tipo di accesso (Ultima modifica,
Ultimo accesso o Data creazione) dei file da
escludere e il Tempo minimo in giorni.
X
X
Specifica quando escludere l'elemento selezionato.
Quando
escludere
Durante la scrittura Esclude dalla scansione quando i file
o la lettura del disco vengono scritti o letti dal disco o da altri
dispositivi di memorizzazione dati.
X
Durante la lettura dal Esclude dalla scansione quando i file
disco
vengono letti dal computer o da altri
dispositivi di memorizzazione dati.
X
Durante la scrittura
sul disco
Esclude dalla scansione quando i file
vengono scritti o modificati dal disco o da
altri dispositivi di memorizzazione dati.
X
Vedere anche
118
Guida del prodotto
6
Consente di configurare le impostazioni applicabili alla funzionalità Threat Prevention, incluse
quarantena, programmi potenzialmente indesiderati ed esclusioni.
In questa sezione sono incluse solo opzioni avanzate.
Tabella 6-19
Sezione
Opzione
Gestore quarantena Directory di
quarantena
Definizione
Specifica il percorso per la cartella di quarantena o accetta il
percorso predefinito:
c:\Quarantena
Specifica il numero
massimo di giorni di
conservazione dei
dati in quarantena
Esclusioni in base Escludi questi nomi
al nome rilevamento rilevamento
Specifica il numero di giorni (1–999) in cui gli elementi
resteranno in quarantena prima di essere automaticamente
eliminati. Il valore predefinito è 30 giorni.
Specifica le esclusioni di rilevamento in base al nome
rilevamento.
Ad esempio, per specificare che il programma di scansione
all'accesso e su richiesta non rilevino le minacce di verifica
dell'installazione, immettere Installation Check.
Aggiungi Aggiunge un nome rilevamento all'elenco di esclusioni.
Fare clic su Aggiungi, quindi immettere il nome
rilevamento.
Elimina
Rimuove un nome rilevamento dall'elenco di
esclusioni.
Selezionare il nome, quindi fare clic su Elimina.
Rilevamenti di
programmi
potenzialmente
indesiderati
Escludere i
programmi
indesiderati
personalizzati
Consente di specificare singoli file o programmi da rilevare come
programmi potenzialmente indesiderati.
I programmi di scansione rilevano i programmi specificati
dall'utente e quelli specificati nei file AMCore content.
Il programma di scansione non rileva programmi indesiderati
definiti dall'utente di dimensioni pari a zero byte.
Aggiungi Definisce i programmi indesiderati personalizzati.
Fare clic su Aggiungi, immettere il nome, quindi
premere Tab per immettere la descrizione.
• Nome – Specifica il nome del file del programma
potenzialmente indesiderato.
• Descrizione – Specifica le informazioni da visualizzare
come nome rilevamento quando viene rilevato un
elemento.
Elimina
Rimuove un programma potenzialmente indesiderato
dall'elenco.
Selezionare il programma nella tabella, quindi fare clic
su Elimina.
Guida del prodotto
119
6
Vedere anche
Modifica di AMCore content a una versione precedente.
Opzione
Definizione
Selezionare la versione
da caricare
Specifica i numeri di versione di un file AMCore content precedente da caricare.
Endpoint Security conserva le due versioni precedenti sul sistema client.
Quando si torna a una versione precedente, Endpoint Security rimuove la
versione corrente di AMCore content dal sistema.
Vedere anche
Modifica della versione AMCore content a pagina 25
Consente di attivare e disattivare il modulo Firewall e di impostare le opzioni di protezione.
La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo
oppure è necessario essere registrati come amministratore.
Tabella 6-21
Sezione
Opzioni di
protezione
Opzione
Definizione
Attiva Firewall
Attiva e disattiva il modulo Firewall.
Consenti il traffico
per protocolli non
supportati
Consente tutto il traffico che utilizza protocolli non supportati. Quando
è disattivato, tutto il traffico che utilizza protocolli non supportati viene
bloccato.
Consenti solo
traffico in uscita fino
all'avvio dei servizi
firewall
Consente il traffico in uscita ma non quello in ingresso fino a che il
servizio Firewall non viene avviato.
Se questa opzione è disattivata, Firewall consente tutto il traffico prima
dell'avvio dei servizi.
Consenti traffico con Consente il traffico con un indirizzo MAC locale.
bridge
L'indirizzo MAC è un indirizzo nell'elenco di VM supportate da Firewall,
non l'indirizzo MAC del sistema locale. Utilizzare questa opzione per
consentire il traffico attraverso un ambiente con bridge con le
macchine virtuali.
Attiva protezione
spoofing IP
120
Blocca il traffico di rete dagli indirizzi IP host non locali o dai processi
locali che cercano di eseguire lo spoofing degli indirizzi IP.
Guida del prodotto
6
Tabella 6-21
Sezione
Blocco DNS
(segue)
Opzione
Definizione
Attiva avvisi
intrusione firewall
Mostra gli avvisi automaticamente quando Firewall rileva un potenziale
attacco.
Nome di dominio
Specifica i nomi di dominio da bloccare.
Quando applicata, questa impostazione aggiunge una regola nella
parte iniziale delle regole firewall che blocchi le connessioni agli
indirizzi IP risolvendo i nomi di dominio.
Aggiungi Aggiunge un nome di dominio all'elenco degli elementi
bloccati.
È possibile utilizzare i caratteri jolly * e ?. Ad esempio,
*domain.com.
Separare più domini con una virgola (,) o un a capo.
Eventuali voci duplicate saranno rimosse
automaticamente.
Elimina
Rimuove il nome di dominio selezionato dall'elenco degli
elementi bloccati.
Sezione
Opzione
Definizione
Opzioni
regolazione
Attiva modalità adattiva Crea automaticamente regole per consentire il traffico.
Attivare questa opzione temporaneamente durante la regolazione
di una distribuzione.
Registra tutto il traffico Registra tutto il traffico bloccato nel registro eventi Firewall
bloccato
(FirewallEventMonitor.log) in Endpoint Security Client.
(Attivato per impostazione predefinita)
Registra tutto il traffico Registra tutto il traffico consentito nel registro eventi Firewall
consentito
(FirewallEventMonitor.log) in Endpoint Security Client.
(Disattivato per impostazione predefinita)
L'attivazione di questa opzione potrebbe incidere negativamente
sulle prestazioni.
Reputazione di
rete di McAfee
GTI
Invia eventi McAfee GTI Invia eventi al server McAfee ePO se l'impostazione della soglia di
al server
blocco di McAfee GTI per il traffico in ingresso e in uscita
corrisponde.
(Disattivato per impostazione predefinita)
Qualsiasi indirizzo IP per una rete affidabile viene escluso dalla
ricerca McAfee GTI.
Guida del prodotto
121
6
Firewall – Regole
Sezione
Opzione
Definizione
Soglia reputazione rete Specifica la soglia di classificazione McAfee GTI per il blocco del
in ingresso/uscita
traffico in ingresso o in uscita da una connessione di rete.
Firewall con
stato
Non bloccare
Questo sito è una fonte o destinazione legittima di
contenuti/traffico.
Rischio elevato
Questa origine/destinazione invia o ospita
contenuti/traffico potenzialmente nocivi che McAfee
considera rischiosi.
Rischio medio
Questa origine/destinazione mostra il
comportamento che McAfee considera sospetto.
Qualsiasi contenuto/traffico da questo sito richiede
attenzione speciale.
Non verificato
Questo sito sembra essere una fonte o destinazione
legittima di contenuti/traffico, ma presenta anche
proprietà che suggeriscono la necessità di
un'ulteriore verifica.
Numero di secondi
(1-240) prima della
scadenza delle
connessioni TCP
Specifica il tempo, in secondi, in cui una connessione TCP non
stabilita rimane attiva se non vengono più inviati o ricevuti
pacchetti che corrispondono alla connessione. Il numero predefinito
è 30; l'intervallo valido è 1-240.
Numero di secondi
(1-300) prima della
scadenza delle
connessioni virtuali
UDP ed echo ICMP
Specifica il tempo, in secondi, in cui una connessione virtuale UDP
ed echo ICMP rimane attiva se non vengono più inviati o ricevuti
pacchetti che corrispondono alla connessione. Questa opzione viene
reimpostata al proprio valore predefinito ogni volta che viene
inviato o ricevuto un pacchetto che corrisponde alla connessione
virtuale. Il numero predefinito è 30; l'intervallo valido è 1-300.
Vedere anche
Firewall – Regole
Gestisce le regole e i gruppi firewall.
È possibile aggiungere ed eliminare regole e gruppi solo nel gruppo aggiunto dall'utente.
Tabella 6-23
Sezione Opzione
Definizione
Regola Gruppo
REGOLE
Aggiunge una regola firewall.
X
Aggiungi regola
Vedere Pagina Aggiungi o modifica regole e gruppi a
pagina 123 per informazioni.
Aggiungi gruppo Aggiunge un gruppo firewall.
X
Duplica
Crea una copia dell'elemento selezionato.
X
X
Elimina
Rimuove un elemento firewall selezionato.
X
X
Indica gli elementi che possono essere spostati
nell'elenco.
X
X
Selezionare degli elementi, quindi trascinarli e rilasciarli
nella nuova posizione. Viene visualizzata una riga blu tra
gli elementi dove è possibile rilasciare gli elementi
trascinati.
122
Guida del prodotto
6
Firewall – Regole
Vedere anche
Pagina Aggiungi o modifica regole e gruppi a pagina 123
Pagina Aggiungi o modifica regole e gruppi
Aggiunge o modifica le regole e i gruppi firewall.
Tabella 6-24
Sezione Opzione
Definizione
Descrizione Nome
Specifica il nome descrittivo dell'elemento (obbligatorio). X
X
Stato
Attiva o disattiva l'elemento.
X
X
Specifica azioni
Consenti – Consente il traffico tramite il firewall se
l'elemento corrisponde.
X
Blocca – Blocca il traffico tramite il firewall se l'elemento
corrisponde.
X
Gestisci corrispondenza come intrusione – Gestisce il traffico che
corrisponde alla regola come un attacco e genera un
evento che viene inviato al server McAfee ePO. L'azione
Blocca per la regola deve essere selezionata per la
generazione di un evento.
X
Registra traffico corrispondente – Conserva un archivio del
traffico corrispondente nel registro attività Firewall in
X
Specifica la direzione:
X
X
X
X
Direzione
Regola Gruppo
• Ingresso – Monitora il traffico in ingresso.
• Uscita – Monitora il traffico in uscita.
• Entrambe – Monitora il traffico in ingresso e quello in
uscita.
Posizione
Note
Fornisce ulteriori informazioni sull'elemento.
Attiva
riconoscimento
della posizione
Attiva o disattiva le informazioni di posizione per il
gruppo.
X
Nome
Specifica il nome della posizione (obbligatorio).
X
Guida del prodotto
123
6
Firewall – Regole
Tabella 6-24
(segue)
Sezione Opzione
Definizione
Regola Gruppo
Attiva isolamento Blocca il traffico su schede di rete che non corrispondono
connessione
al gruppo quando è presente una scheda non
corrispondente.
X
Le impostazioni per Trasporto ed Eseguibili non sono
disponibili per i gruppi di isolamento della
connessione.
Questa opzione blocca l'ingresso nella rete aziendale del
traffico generato da origini potenzialmente indesiderate
esterne alla rete. Questo tipo di blocco del traffico è
possibile solo se il traffico non è già stato consentito da
una regola che precede il gruppo nel firewall.
Quando l'isolamento connessione è attivato e una scheda
NIC corrisponde al gruppo, il traffico viene consentito
solo se si applica una delle seguenti condizioni:
• Il traffico corrisponde a una Regola di consenso prima del
gruppo.
• Il traffico che passa per la scheda NIC corrisponde al
gruppo ed è presente una regola nel gruppo o dopo di
esso che lo consente.
Se nessuna scheda NIC corrisponde al gruppo, questo
viene ignorato e prosegue il tentativo di far
corrispondere le regole.
Richiede la
raggiungibilità di
ePolicy
Orchestrator
124
Attiva la corrispondenza del gruppo solo se presente la
comunicazione con il server McAfee ePO e se l'FQDN del
server è stato risolto.
X
Guida del prodotto
6
Firewall – Regole
Tabella 6-24
(segue)
Sezione Opzione
Criteri posizione
Definizione
Regola Gruppo
Suffisso DNS
specifico per la
connessione
Indica un suffisso DNS specifico per
la connessione con formato:
esempio.com.
Gateway predefinito
Specifica un unico indirizzo IP per
un gateway predefinito con formato
IPv4 o IPv6.
Server DHCP
un server DHCP con formato IPv4 o
IPv6.
Server DNS
un server DNS con formato IPv4 o
IPv6.
WINS principale
un server WINS principale con
formato IPv4 o IPv6.
WINS secondario
un server WINS secondario con
formato IPv4 o IPv6.
Raggiungibilità
dominio
Controlla la raggiungibilità del
dominio specificato.
Ad esempio:
• IPv4 – 123.123.123.123
• IPv6 – 2001:db8:c0fa:f340:9219: bd20:9832:0ac7
Chiave di registro Specifica la chiave di registro e il relativo valore.
X
1 Nel primo campo, specificare la chiave di registro con il
formato:
<ROOT>\<KEY>\[VALUE_NAME]
• <ROOT> – Deve indicare il nome completo della
directory principale, come HKEY_LOCAL_MACHINE e
non l'HKLM abbreviato.
• <KEY> – È il nome chiave sotto la directory
principale.
• [VALUE_NAME] – È il nome del valore chiave. Se
non viene incluso il nome del valore, si presume sia il
valore predefinito.
2 Nel secondo campo dopo il segno di uguale, immettere
i dati del valore chiave.
Per copiare una chiave di registro per incollarla, fare
clic con il pulsante destro del mouse su una chiave nel
Registro di sistema (eseguire regedit) e selezionare
Copia Nome chiave.
Reti
Protocollo di rete
Specifica le opzioni host di rete applicabili all'elemento.
X
X
Specifica il protocollo di rete applicabile all'elemento.
X
X
Guida del prodotto
125
6
Firewall – Regole
Tabella 6-24
(segue)
Sezione Opzione
Qualsiasi
protocollo
Definizione
Regola Gruppo
Consente sia i protocolli IP sia quelli non IP.
X
X
X
X
X
X
Indica se uno o tutti i tipi di connessione sono applicabili: X
X
Se viene specificato un protocollo di trasporto o
un'applicazione, sono consentiti solo i protocolli IP.
Protocollo IP
Esclude i protocolli non IP.
• Protocollo IPv4
• Protocollo IPv6
Se nessuna casella di controllo è selezionata, è
applicabile qualsiasi protocollo IP. Possono essere
selezionati entrambi i protocolli: IPv4 e IPv6.
Protocollo non IP Include solo i protocolli non IP.
• Seleziona etherType da elenco – Specifica un etherType.
• Specifica etherType personalizzato – Specifica i quattro
caratteri del valore esadecimale etherType del
protocollo non IP. Vedere Numeri ethernet per i valori
etherType. Ad esempio, immettere 809B per AppleTalk,
8191 per NetBEUI o 8037 per IPX.
Tipi di
connessione
• Cablata
• Wireless
• Virtuale
Un tipo di connessione Virtuale consiste in un
adattatore presentato da una VPN o un'applicazione
macchina virtuale, come VMware, piuttosto che un
adattatore fisico.
Specifica reti
Specifica le reti applicabili all'elemento.
X
X
• Aggiungi – Crea e aggiunge una rete.
Vedere Aggiungi reti a pagina 128 per informazioni.
• Importa – Importa un elenco di nomi di rete da un file
XML.
• Elimina – Rimuove la rete dall'elenco.
Trasporto
126
Specifica le opzioni di trasporto applicabili all'elemento.
Guida del prodotto
6
Firewall – Regole
Tabella 6-24
(segue)
Sezione Opzione
Protocollo di
trasporto
Definizione
Regola Gruppo
Specifica il protocollo di trasporto associato all'elemento.
X
X
Selezionare il protocollo, quindi fare clic su Aggiungi per
aggiungere porte.
Tutti i
protocolli
Sono consentiti i protocolli IP, non IP e non
supportati.
TCP e UDP
Dal menu a discesa, selezionare:
• Porta locale – Specifica il servizio o la porta
del traffico locale ai quali è applicabile
l'elemento.
• Porta remota – Specifica il servizio o la
porta su un altro computer ai quali è
applicabile l'elemento.
Porta locale e Porta remota possono essere:
• Un singolo servizio. Ad esempio, 23.
• Un intervallo. Ad esempio, 1–1024.
• Un elenco separato da virgole di singole
porte e intervalli. Ad esempio, 80, 8080,
1–10, 8443 (fino a quattro elementi).
Per impostazione predefinita, le regole
sono applicabili a tutti i servizi e porte.
ICMP e
ICMPv6
Nel menu a discesa Tipo di messaggio,
specificare un tipo di messaggio ICMP:
• ICMP
• ICMPv6
Altro
Eseguibili
Esegue la selezione da un elenco di
protocolli meno comuni.
Specifica gli eseguibili applicabili alla regola.
• Aggiungi – Crea e aggiunge un eseguibile.
Per ulteriori informazioni vedere Eseguibili Aggiungi o
Modifica a pagina 128.
• Importa – Importa un elenco di nomi di eseguibili da un
file XML.
• Elimina – Rimuove un eseguibile dall'elenco.
Vedere anche
Aggiungi reti a pagina 128
Eseguibili Aggiungi o Modifica a pagina 128
Guida del prodotto
127
6
Firewall – Regole
Eseguibili Aggiungi o Modifica
Aggiunge e modifica un eseguibile associato a una regola o gruppo, oppure aggiunge un eseguibile al
Catalogo Firewall.
Tabella 6-25
Opzione
Definizione
Regola Gruppo
Nome
Specifica il nome assegnato all'eseguibile.
X
X
Percorso file
Specifica il percorso file per raggiungere l'eseguibile da
aggiungere o modificare.
X
X
X
X
X
X
X
X
Fare clic su Sfoglia per selezionare l'eseguibile.
Il percorso file può contenere caratteri jolly.
Descrizione del file
Indica la descrizione del file.
Questo campo viene compilato automaticamente quando si
seleziona un eseguibile.
Indica l'hash MD5 del processo.
Impronta
Questo campo viene compilato automaticamente quando si
seleziona un eseguibile.
Attiva controllo
firma digitale
Attiva o disattiva il controllo firma digitale che garantisce che il
codice non sia stato alterato o corrotto dalla sua firma con un
hash crittografico.
Se attivato, specificare:
• Consenti qualsiasi firma – Consente i file firmati da qualsiasi
firmatario di processo.
• Firmato da – Consente solo i file firmati dal firmatario del processo
specificato.
Aggiungi reti
Aggiunge o modifica una rete associata a una regola o gruppo, oppure aggiunge una rete al Catalogo
Firewall.
Tabella 6-26
Opzione Definizione
Regola Gruppo
Nome
Specifica il nome dell'indirizzo di rete (obbligatorio).
X
X
Tipo
Consente di selezionare:
X
X
• Rete locale – Crea e aggiunge una rete locale.
• Rete remota – Crea e aggiunge una rete remota.
Aggiungi
Aggiunge un tipo di rete all'elenco di reti.
X
X
Elimina
Elimina l'elemento selezionato.
X
X
X
X
X
X
Tipo di rete Specifica l'origine o la destinazione del traffico. Eseguire la selezione
dall'elenco a discesa Tipo di indirizzo.
Vedere Tipo di indirizzo a pagina 129 per un elenco dei tipi di indirizzo.
Indirizzo
Specifica l'indirizzo IP da aggiungere alla rete.
I caratteri jolly sono validi.
128
Guida del prodotto
6
Vedere anche
Tipo di indirizzo a pagina 129
Tipo di indirizzo
Specifica il tipo di indirizzo.
Tabella 6-27 Definizioni delle opzioni
Opzione
Definizione
IP singolo
Specifica un particolare indirizzo IP. Ad esempio:
• IPv4 – 123.123.123.123
• IPv6 – 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Specifica l'indirizzo della sottorete di qualsiasi adattatore nella rete. Ad esempio:
Sottorete
• IPv4 – 123.123.123.0/24
• IPv6 – 2001:db8::0/32
Sottorete locale
Specifica l'indirizzo della sottorete dell'adattatore locale.
Intervallo
Specifica un intervallo di indirizzi IP. Inserire il punto di inizio e il punto di fine
dell'intervallo. Ad esempio:
• IPv4 – 123.123.1.0 – 123.123.255.255
• IPv6 – 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff
Nome di dominio
completo
Specifica l'FQDN. Ad esempio, www.esempio.com.
Consente di configurare le impostazioni generali di Web Control, che includono l'attivazione, la
specifica dell'imposizione di azioni, la ricerca sicura, e le annotazioni email.
Tabella 6-28
Sezione
Opzione
Definizione
OPZIONI
Attiva Web Control
Disattiva o attiva Web Control. (Attivato per impostazione
predefinita)
Nascondi barra degli
strumenti nel browser del
client
Nasconde la barra degli strumenti di Web Control nel browser
senza disattivarne le funzionalità. (Disattivato per impostazione
predefinita)
Utilizzare questa opzione per risolvere tutti i problemi di
compatibilità con dispositivi di terze parti.
Registro
eventi
Registra categorie Web per
siti classificati come verdi
Registra le categorie di contenuti per tutti i siti classificati come
verdi.
La disattivazione di questa funzione può incidere negativamente
sulle performance del server McAfee ePO.
Registra eventi iFrame Web Registra il blocco dei siti pericolosi (rossi) e con avviso (gialli)
Control
visualizzati in un iframe HTML.
Guida del prodotto
129
6
Tabella 6-28
(segue)
Sezione
Opzione
Definizione
Imposizione
azione
Applica questa azione ai siti Specifica l'azione predefinita da applicare ai siti non ancora
non ancora verificati da
classificati da McAfee GTI.
McAfee GTI
Per personalizzare il messaggio, è possibile utilizzare le opzioni
in Messaggi di imposizione.
Attiva supporto di iFrame
HTML
Consenti
(predefinito)
Consente agli utenti di accedere al sito.
Avvisa
Mostra un avviso per informare gli utenti
delle potenziali minacce associate al sito. Gli
utenti dovranno chiudere l'avviso prima di
procedere.
Blocca
Impedisce agli utenti di accedere al sito e
mostra un messaggio che indica il blocco del
download dal sito.
Blocca l'accesso ai siti pericolosi (Rosso) e con avviso (Giallo )
visualizzati in un iframe HTML. (Attivato per impostazione
predefinita)
Blocca siti per
Blocca l'accesso ai siti Web per impostazione predefinita se Web
impostazione predefinita se Control non può raggiungere il server McAfee GTI.
il server delle
classificazioni McAfee GTI
non è raggiungibile
Blocca pagine di phishing
per tutti i siti
Blocca tutte le pagine di phishing, sovrascrivendo le azioni di
classificazione dei contenuti. (Attivato per impostazione
predefinita)
Attiva scansione file per il
download di file
Esegue la scansione di tutti i file, compresi i file .zip, prima di
scaricarli. (Attivato per impostazione predefinita)
Questa opzione impedisce agli utenti di accedere a un file
scaricato fino a quando Threat Prevention lo contrassegna come
non infetto.
I file scaricati vengono inviati a Threat Prevention per la
scansione. Threat Prevention esegue una ricerca McAfee GTI nel
file. Se un file scaricato viene rilevato come minaccia, Endpoint
Security non intraprende alcuna azione sul file e avvisa l'utente.
Specifica il livello di rischio Specifica il livello di rischio McAfee GTI per eseguire il blocco
McAfee GTI da bloccare
quando la funzione di scansione su richiesta di Threat Prevention
non è installata e attivata.
Web Control utilizza il livello di rischio per calcolare il punteggio
durante il recupero della reputazione checksum da McAfee GTI.
Intervallo IP privato
Configura Web Control per non eseguire classificazioni o azioni
sull'intervallo dell'indirizzo IP privato specificato.
Aggiungi Aggiunge un indirizzo IP privato all'elenco degli
indirizzi da escludere dalla classificazione o dal blocco.
Elimina
Ricerca sicura Attiva ricerca sicura
130
Elimina un indirizzo IP dall'elenco di indirizzi da
escludere dalla classificazione o dal blocco.
La ricerca sicura blocca automaticamente i siti dannosi nei
risultati di ricerca in base alla classificazione di sicurezza.
Guida del prodotto
Tabella 6-28
Sezione
6
(segue)
Opzione
Definizione
Imposta il motore di ricerca Specifica il motore di ricerca predefinito da utilizzare nei browser
predefinito nei browser
supportati:
supportati
• Yahoo
• Google
• Bing
• Ask
Blocca i link a siti rischiosi
nei risultati di ricerca
Impedisce agli utenti di fare clic su link a siti rischiosi nei risultati
di ricerca.
Sezione
Opzione
Definizione
Annotazioni email Attiva annotazioni nelle email basate su Prende nota degli URL nei client email basati su
browser
browser, come Yahoo Mail e Gmail.
Attiva annotazioni nelle email non
basate su browser
Prende nota degli URL negli strumenti di gestione
delle email a 32 bit, come Microsoft Outlook o
Outlook Express.
Vedere anche
Configurazione delle opzioni Web Control a pagina 82
Definisce le azioni da intraprendere per siti e categorie di contenuti Web classificati.
Per i siti e i download di file nelle categorie non bloccate, Web Control applica le azioni di classificazione.
Guida del prodotto
131
6
Tabella 6-31
Sezione
Opzione
Definizione
Azioni di
classificazione
Azioni di
classificazione per
siti
Specifica le azioni per i siti classificati come rossi, gialli oppure non
classificati.
Siti e download classificati come verdi vengono consentiti
automaticamente.
Consenti Consente agli utenti di accedere al sito. (Opzione
predefinita per i siti indicati come Non classificato)
Azioni di
classificazione per i
download di file
Avvisa
Mostra un avviso per informare gli utenti delle potenziali
minacce associate al sito. Gli utenti dovranno chiudere
l'avviso prima di annullare o procedere con l'accesso al
sito. (Opzione predefinita per i siti classificati come Giallo)
Blocca
Impedisce agli utenti di accedere al sito e mostra un
messaggio che indica il blocco del sito. (Opzione
predefinita per i siti classificati come Rosso)
Specifica le azioni per i download di file classificati come rossi, gialli
o non classificati.
Consenti Consente agli utenti di procedere con il download.
(Opzione predefinita per i siti indicati come Non classificato)
Avvisa
Visualizza un avviso per segnalare agli utenti i potenziali
pericoli associati al file di download. L'avviso va chiuso
prima di terminare o di procedere con il download.
(Opzione predefinita per i siti classificati come Giallo)
Blocca
Impedisce agli utenti di scaricare il file. Un messaggio
segnala il blocco del download. (Opzione predefinita per i
siti classificati come Rosso)
Per personalizzare il messaggio, è possibile utilizzare le opzioni in
Messaggi di imposizione.
Sezione
Opzione
Definizione
Blocco categoria
Web
Attiva blocco
categoria Web
Attiva il blocco dei siti in base alla categoria di contenuto.
Blocca
Impedisce agli utenti di accedere a qualsiasi sito che rientra in
questa categoria e mostra un messaggio che indica il blocco del
sito.
Categoria Web
Elenca le categorie Web, da quella con rischio più elevato a quella
con rischio più basso.
Le prime 7 categorie sono considerate come a rischio elevato e
sono attivate per impostazione predefinita. Le categorie seguenti
vengono visualizzate in ordine alfabetico e sono disattivate per
impostazione predefinita.
Vedere anche
Specificare azioni di classificazione e bloccare l'accesso ai siti in base a una categoria Web a
pagina 85
Uso delle classificazioni di sicurezza per controllare l'accesso a pagina 86
Uso delle categorie Web per controllare l'accesso a pagina 85
132
Guida del prodotto
Indice
A
account utente, controllo dell'accesso al client 30
adattatore di rete, consenso alla connessione 66
adware, informazioni 41
aggiornamenti
annullamento 20
configurazione siti per gli aggiornamenti 32
pulsante Aggiorna ora, Endpoint Security Client 20
aggiornamenti manuali, esecuzione 20
aggiornamenti prodotto
pianificazione 33
ricerca manuale 20
aggiornamenti software
pianificazione 33
ricerca manuale 20
aggiornamenti su richiesta, vedere aggiornamenti manuali,
esecuzione
aggiornamenti, componenti software client 8
aggiornamenti, Endpoint Security
comportamento di configurazione 31
pianificazione da client 33
aggiornamenti, Threat Prevention
Attività di aggiornamento client predefinito, informazioni 34
file di contenuto 8
file Extra.DAT 27
panoramica 9
pianificazione automatica 33
ricerca manuale 20
amministratori
accesso a Endpoint Security Client 24
definite 8
password 24
password predefinita 11
annullamento scansione 50
App di Windows Store, rilevamento minacce 50, 54
app, Windows Store 50, 54
archivi, specifica delle opzioni di scansione 49, 54
aree commenti, Web Control 80
attacchi basati su heap, exploit di overflow del buffer 49
attacchi basati su stack, exploit di overflow del buffer 49
attacchi, exploit di overflow del buffer 49
Attività di aggiornamento client predefinito
configurazione 31
Attività di aggiornamento client predefinito
informazioni 34
pianificazione con Endpoint Security Client 33
attività, Threat Prevention
Aggiornamento client predefinito, informazioni 34
Aggiornamento client predefinito, pianificazione 33
Scansione completa e scansione rapida, pianificazione 59
Scansioni completa e rapida, informazioni 35
autogestito, informazioni 20
autonomo, vedere autogestito, informazioni
Autoprotezione, configurazione 28
avvisi, Firewall 10
avvisi, Threat Prevention
panoramica della scansione all'accesso 50
panoramica della scansione su richiesta 54
azioni, Threat Prevention
consentire agli utenti di ripulire ed eliminare i file infetti 49,
54
esecuzione sugli elementi in quarantena 39
programmi indesiderati 45
specifica delle operazioni necessarie al rilevamento di una
minaccia 49, 54
B
backup, specifica delle opzioni di scansione 49, 54
browser
disattivazione del plug-in di Web Control 82
risoluzione dei problemi di comunicazione 81
supportati 75, 79
visualizzazione delle opzioni di menu Web Control 79
C
cache di scansione
scansioni all'accesso 50
scansioni su richiesta 54
cache di scansione globale
cache, scansione globale
caratteri jolly
uso nelle esclusioni dalla scansione 43
Guida del prodotto
133
Indice
caratteri jolly (segue)
uso nelle regole firewall 71
cartelle
caratteri jolly nelle esclusioni di scansione 43
configurazione per la quarantena 59
esecuzione di scansioni 38
gestione della quarantena 39
categorie di contenuto, vedere categorie Web
categorie Web, blocco o avviso in base a 85
Chrome
browser supportati 75, 79
Pulsanti Web Control 76
classificazioni di sicurezza
configurazione delle azioni per siti e download 85
controllo dell'accesso ai siti 86
icone di sicurezza 77
ottenimento delle classificazioni dei siti web 78
Web Control e 75
classificazioni, sicurezza, vedere classificazioni di sicurezza
classificazioni, Web Control, vedere classificazioni di sicurezza
client, vedere Endpoint Security Client
Client di protezione McAfee, vedere Endpoint Security Client
Client McAfee, vedere Endpoint Security Client
colori, pulsanti Web Control 76
credenziali, amministratore predefinito 11
D
Desktop remoto, e funzione di scansione quando il sistema è
inattivo 56
dialer, informazioni 41
domande frequenti, McAfee GTI 63
domini, blocco 62
download di file
blocco da siti Web sconosciuti 82
blocco o avviso in base alle classificazioni 85
scansione con Threat Prevention 84
E
Endpoint Security
gestione 24
accesso come amministratore 24
aggiornamento della protezione 20
apertura 10, 17
Attività di aggiornamento client predefinito, configurazione
31
Attività di aggiornamento client predefinito, informazioni 34
Attività di aggiornamento client predefinito, pianificazione
33
configurazione delle impostazioni di sicurezza 29
gestione dei rilevamenti di minacce 39
impostazioni della policy 13
134
informazioni 11
interazione con 9
moduli 14
protezione con una password 30
registri, informazioni 22
ricerca di malware 35
Riepilogo minacce 12
sblocco dell'interfaccia 24
Scansione completa e scansione rapida, pianificazione 59
scansioni di sistema 35
tipi di gestione 8, 19
visualizzazione del registro eventi 21
visualizzazione di informazioni sulla protezione 19
visualizzazione guida 18
Endpoint Security, modalità di protezione del computer 8
errori, aggiornamento 20
esclusioni
nome rilevamento 59
scansione all'accesso, specifica di file, cartelle e unità 49
scansione su richiesta, specifica 54
specifica di URL per ScriptScan 49
uso dei caratteri jolly 43
eventi, localizzazione eventi browser Web Control 82
exploit
blocco dell'overflow del buffer 48
modalità di esecuzione dell'exploit di overflow del buffer 49
exploit di overflow del buffer, informazioni 49
F
file
configurazione file di registro 29
configurazione per la quarantena 59
esclusione di specifici tipi dalle scansioni 42
file di registro 22
gestione della quarantena 39
impedire la modifica 28
registri Endpoint Security Client 21
file AMCore content
file Extra.DAT 26, 27
informazioni 8
informazioni su firme e aggiornamenti 9
modifica della versione 25
file di contenuto
aggiornamenti pianificazione 33
e rilevamenti 18
informazioni 8
modifica della versione AMCore 25
Guida del prodotto
Indice
file di contenuto (segue)
G
verifica manuale degli aggiornamenti 20
Google
file di definizione dei rilevamenti, vedere file di contenuto
Chrome 75
file di registro
configurazione 29
motori di ricerca supportati 77
errori aggiornamento 20
gruppi firewall
posizioni 22
Vedere anche gruppi regole firewall
visualizzazione 21
file Extra.DAT
configurazione 64
caricamento 27
gruppi in grado di riconoscere la posizione
download 27
creazione 72
file AMCore content 9
informazioni 66
informazioni 26
isolamento connessione 67
gruppi regole firewall
capacità di riconoscere la posizione, informazioni 66
utilizzo 26
e isolamento connessione 67
file, contenuto
funzionamento di Firewall 61
caricamento file Extra.DAT 27
priorità 66
Extra.DAT e AMCore 9
riconoscimento della posizione, creazione 72
gruppi regole, Firewall, vedere gruppi regole firewall
firme e aggiornamenti 9
gruppi, firewall, vedere gruppi regole firewall
modifica della versione AMCore content 25
Gruppo regole adattive 70
Guida, visualizzazione 11, 18
Prevenzione exploit 9
H
uso dei file Extra.DAT 26
hash, informazioni 31
Firefox
I
test dei problemi di comunicazione 81
icona della barra delle applicazioni, McAfee 9, 10, 29
apertura di Endpoint Security Client 17
Firewall
configurazione dell'accesso a Endpoint Security 29
attivazione e disattivazione protezione 62
definita 10
avvisi intrusione 10
Icona McAfee, vedere icona della barra delle applicazioni,
blocco traffico DNS 62
McAfee
Endpoint Security Client 14
icone, McAfee, vedere icona della barra delle applicazioni,
file di registro 22
McAfee
funzionamento 61
icone, Web Control 77
funzionamento delle regole firewall 64
Impostazione della priorità di Windows 58
gestione 61
impostazioni
gestione di regole e gruppi 70
aggiornamenti, configurazione per 31
gruppi in grado di riconoscere la posizione, creazione 72
siti di origine, configurazione per 32
gruppi in grado di riconoscere la posizione, informazioni 66
impostazioni Azioni contenuto
informazioni 7
Web Control 85, 86
modifica delle opzioni 62
impostazioni processo, scansioni su richiesta 58
registro attività 22
impostazioni, Threat Prevention
registro di debug 22
configurazione dei programmi potenzialmente indesiderati
44
regole, vedere regole firewall
funzionalità di protezione dell'accesso 46
firme, informazioni su minacce conosciute 9
funzionalità
Accesso a Endpoint Security Client basato su policy 13
impostazioni, Web Control
attivazione e disattivazione 25
controllo dell'accesso ai siti Web 85
funzione di scansione quando il sistema è inattivo 19, 56
controllo dell'accesso con categorie Web 85
controllo dell'accesso mediante classificazioni di sicurezza
86
Guida del prodotto
135
Indice
indirizzi IP
gruppi in grado di riconoscere la posizione 66
gruppi regole 66
informazioni, visualizzazione della protezione 19
Internet Explorer
e comportamento ScriptScan 50
test dei problemi di comunicazione 81
intrusioni, attivazione avvisi Firewall 62
J
joke, informazioni 41
K
keylogger, informazioni 41
L
L'utente ha aggiunto un gruppo di regole 70
La protezione dell'accesso
configurazione 46
esempi 47
file di registro 22
informazioni 46
limitazione delle richieste, configurazione 58
livello di sensibilità, McAfee GTI 31
logica di affidabilità, ottimizzazione delle scansione all'accesso
50
M
malware
ricerca di 35
rilevamento durante la scansione 36, 38
risposta ai rilevamenti 18
McAfee Endpoint Security Client, vedere Endpoint Security
Client
McAfee ePO
aggiornamento della protezione 8
e tipi di gestione 20
recupero file AMCore content 9
McAfee GTI
classificazioni sicurezza Web Control 78
configurazione del livello di sensibilità 59
domande frequenti 63
e categorie Web 85
errore di comunicazione Web Control 76
invio di eventi di blocco al server 62
opzioni firewall, configurazione 62
panoramica 31
rapporto sul sito Web Control 77
reputazione di rete per firewall, configurazione 62
scansione dei file prima del download 82, 84
scansioni all'accesso, configurazione 49
136
McAfee GTI
scansioni all'accesso, funzionamento 50
scansioni su richiesta, configurazione 54
scansioni su richiesta, funzionamento 54
specifica delle impostazioni del server proxy 30
McAfee Labs
aggiornamenti file AMCore content 9
download di Extra.DAT 26
e McAfee GTI 31
Extra.DAT 27
ottenere altre informazioni sulle minacce 39
McAfee SECURE, pulsante Web Control 76
McTray, avvio 56
menu
Azione 11, 25
Guida 11, 18
Impostazioni 11, 13, 14, 62, 70
Informazioni 19
Menu Azione, informazioni 11
Menu Start, apertura di Endpoint Security Client 17
messaggi di notifica
informazioni 10
interazione con Endpoint Security Client 9
Windows 8 10
messaggi errore, stati dell'icona della barra delle applicazioni 10
messaggi, Endpoint Security
informazioni 10
visualizzazione al rilevamento di una minaccia 49, 54
messaggi, Web Control 77
Microsoft Internet Explorer, vedere Internet Explorer
minacce
App di Windows Store 50, 54
Cartella di quarantena 39
e classificazioni di sicurezza 78
file AMCore content 9
gestione rilevamenti 39
ottenere altre informazioni da McAfee Labs 39
Processo di protezione dell'accesso 47
rilevamento durante la scansione 38
tipi 41
violazioni dei punti di accesso 47
Modalità adattiva
configurazione in Firewall 62
priorità regola 64
modalità Desktop, Windows 8
risposta a messaggi di rilevamento minaccia 18
Windows 8 10
Modalità di accesso completo
impostazioni della policy 13
modifica delle opzioni firewall 62
Modalità di accesso standard
accesso come amministratore 24
configurazione delle impostazioni di sicurezza del client 29
e impostazioni delle policy 13
Guida del prodotto
Indice
Modalità di accesso standard (segue)
effetti dell'impostazione di una password 30
gestione di regole e gruppi firewall 70
modalità di accesso, Endpoint Security Client 13
Modalità di blocco interfaccia client
all'apertura di Endpoint Security Client 17
e impostazioni delle policy 13
sblocco dell'interfaccia 24
modalità interfaccia
Accesso standard 24, 30
configurazione delle impostazioni di sicurezza del client 29
Modalità interfaccia client, opzioni 13
modalità Metro, Windows 8
messaggi di notifica 10
moduli
Accesso a Endpoint Security Client basato su policy 13
informazioni su Endpoint Security 7
installati in Endpoint Security Client 14
visualizzazione di informazioni su 19
moduli, Common
configurazione dei siti di origine per gli aggiornamenti
client 32
funzionamento di McAfee GTI 31
impostazioni aggiornamento client, configurazione 31
Impostazioni del server proxy McAfee GTI, configurazione
30
impostazioni di aggiornamento, configurazione 31
registrazione, configurazione 29
sicurezza dell'interfaccia client, configurazione 29
modulo Common, configurazione
siti di origine per aggiornamenti client 32
Modulo Common, configurazione
Autoprotezione 28
impostazioni 27
Impostazioni del server proxy McAfee GTI 30
impostazioni di aggiornamento 31
registrazione 29
sicurezza dell'interfaccia client 29
Modulo Common, Endpoint Security Client 7, 14
Motore di ricerca Ask e icone di sicurezza 77
Motore di ricerca Bing e icone di sicurezza 77
motori di scansione, panoramica file AMCore content 9
Mozilla Firefox, vedere Firefox
N
non gestito, vedere autogestito, informazioni
notifiche di tipo avviso popup, modalità Metro Windows 8 10, 18
O
opzione di utilizzo del sistema, panoramica 58
opzioni
configurazione delle scansioni all'accesso 49
configurazione delle scansioni su richiesta 54
opzioni
ricerca di malware 35
opzioni firewall
modifica 62
Opzioni, Common
configurazione 27
impostazioni del server proxy, configurazione 30
impostazioni di registrazione, configurazione 29
pianificazione delle scansioni su richiesta 35
siti di origine per aggiornamenti client, configurazione 32
Opzioni, Threat Prevention
impostazioni di scansione comuni 59
programmi indesiderati 44
P
Pagina di accesso amministratore
all'apertura di Endpoint Security Client 17
sblocco dell'interfaccia client 24
Pagina di aggiornamento 20
Pagina di Esegui scansione del sistema 36
Pagina di ripristino AMCore content 25
pagina di scansione, visualizzazione 18, 36
pagina Esegui scansione del sistema 39
pagina Impostazioni
siti di origine per aggiornamenti client, configurazione 32
Pagina Impostazioni
e modalità interfaccia client 13
gestione di regole e gruppi firewall 70
impostazioni del server proxy, configurazione 30
impostazioni di scansione all'accesso, configurazione 49
impostazioni di scansione su richiesta, configurazione 54
modifica delle opzioni firewall 62
registrazione, configurazione 29
Pagina Informazioni 8, 19
Pagina Quarantena 39
pagina Scansione all'accesso 39
pagina stato della sicurezza McAfee, visualizzazione 10
Pagina Stato, visualizzazione di Riepilogo minacce 12
pagine
Aggiorna 20
Esegui scansione del sistema 36, 39
Impostazioni 13, 28–32, 54, 62
Informazioni 8, 19
Quarantena 39
Registro eventi 21
Ricerca minacce 38
Ripristina AMCore content 25
Scansione all'accesso 18, 39
Guida del prodotto
137
Indice
pagine (segue)
scansione, visualizzazione 36
Stato della sicurezza McAfee 10
password
amministratore 24
amministratore predefinito 11
configurazione di sicurezza del client 29
controllo dell'accesso al client 30
password cracker, informazioni 41
password predefinita, Endpoint Security Client 11
phishing, rapporti inviati da utenti del sito 78
pianificazioni, scansione su richiesta, rinvio 56
policy
accesso a Endpoint Security Client 13
definite 8
funzionalità client 9
policy, Common
configurazione 27
policy, Threat Prevention
impostazioni di scansione comuni 59
scansioni su richiesta, rinvio 56
popup e classificazioni di sicurezza 78
porte, connessioni FTP 72
Prevenzione exploit
aggiornamenti file contenuto 9
configurazione 48
file di registro 22
informazioni 48
priorità
gruppi firewall 66
regole firewall 64
priorità, scansioni all'accesso 58
problemi di comunicazione, Web Control 81
processi a rischio basso, specifica 49
processi a rischio elevato, specifica 49
processi, Threat Prevention
inclusione ed esclusione nella protezione dell'accesso 46
scansione 49, 50
specifica di rischio basso ed elevato 49
programmi di installazione affidabili, scansione 49
programmi di installazione, scansione affidabili 49
programmi potenzialmente indesiderati
attivazione rilevamento 45, 49, 54
configurazione del rilevamento 44
informazioni 41
specifica 44
specificare i programmi da rilevare 59
programmi, abilitare il rilevamento di potenzialmente
indesiderati 49, 54
protezione
configurazione autoprotezione 28
interazione con 9
138
protezione
mantenimento dell'aggiornamento 8
visualizzazione di informazioni su 19
processi, inclusione ed esclusione 46
protocollo FTP 72
protocollo FTP modalità attiva 72
protocollo FTP modalità passiva 72
pulsante Avvia scansione 36
pulsante Visualizza rilevamenti 39
pulsante Visualizza scansione 36
pulsanti
Avvia scansione 36
Visualizza rilevamenti 39
Visualizza scansione 36
pulsanti, Web Control 76
Q
Quarantena, Threat Prevention
configurazione del percorso e delle impostazioni di
conservazione 59
R
rapporti sul sito, vedere report, Web Control
rapporti sulla sicurezza, vedere report, Web Control
registrazione client, configurazione 29
registri attività, Endpoint Security Client 22
registri di debug, Endpoint Security Client 22
registri errori, Endpoint Security Client 22
registri eventi
errori aggiornamento 20
visualizzazione della pagina Registro eventi 21
registri eventi, Endpoint Security Client 22
regole firewall
configurazione 64
consentire e bloccare 64
funzionamento 64
funzionamento di Firewall 61
ordini e priorità 64
per l'autorizzazione delle connessioni FTP 72
uso dei caratteri jolly 71
regole, firewall, vedere Firewall
regole, Threat Prevention
configurazione 46
modalità di funzionamento della protezione dell'accesso 47
report, Web Control 77, 78
sicurezza 75
sicurezza siti web 77
visualizzazione 80
Ricerca pagina minacce 38
Ricerca sicura, configurazione di Web Control 82
ricerche
blocco dei siti rischiosi nei risultati 82
Guida del prodotto
Indice
richieste di download, vedere download di file
richieste, Endpoint Security
informazioni 10
risposta a una scansione 19
Windows 8 18
Riepilogo minacce, informazioni 12
rilevamenti
esclusione per nome 59
gestione 36, 39
nomi 41
risposta a 18
segnalazione al server di gestione 8
tipi 36, 38
visualizzazione dei messaggi agli utenti 49, 54
rinvio scansione, panoramica 56
risposte, configurazione del rilevamento di programmi
indesiderati 45
S
Scansione completa
configurazione 54
esecuzione da Endpoint Security Client 36
informazioni 35
pianificazione nel client 59
Scansione di scelta rapida
configurazione 54
esecuzione da Windows Explorer 38
informazioni 35
Scansione rapida
configurazione 54
tipi di scansioni 35
scansioni
esecuzione scansione di scelta rapida 38
impostazioni comuni per le scansioni all'accesso e su
richiesta 59
pianificazione con Endpoint Security Client 59
rinvio, sospensione, ripresa e annullamento 19
risposta a richieste 19
tipi 35
uso dei caratteri jolly nelle esclusioni 43
Web Control 84
scansioni a impatto zero 56
scansioni all'accesso
configurazione 49, 59
esclusione di elementi 42
file di registro 22
fra scrittura sul disco e lettura dal disco 50
informazioni 35
numero di policy di scansione 53
ottimizzazione mediante logica di affidabilità 50
panoramica 50
scansioni all'accesso
programmi potenzialmente indesiderati, attivazione
rilevamento 45
rilevamenti delle minacce 18
scansione degli script 50
ScriptScan 50
Scansioni dell'archivio remoto, panoramica 58
scansioni di sistema, tipi 35
scansioni incrementali 56
scansioni manuali
esecuzione da Endpoint Security Client 36, 38
informazioni sui tipi di scansione 35
scansioni recuperabili, vedere scansioni incrementali
scansioni su richiesta
configurazione 59
esecuzione di una scansione completa o di una scansione
rapida 36
esecuzione scansione di scelta rapida 38
file di registro 22
impatto zero 56
informazioni 35
panoramica 54
programmi potenzialmente indesiderati, attivazione
rilevamento 45
rinvio 56
risposta a richieste 19
scansione di file o cartelle 38
Scansioni dell'archivio remoto 58
utilizzo del sistema 58
scansioni, all'accesso
configurazione 49
numero di policy 53
ottimizzazione mediante logica di affidabilità 50
panoramica 50
rilevamenti delle minacce, risposta a 18
rilevamento minacce nelle app di Windows Store 50
ScriptScan 50
scansioni, su richiesta
configurazione 54
esecuzione solo quando il sistema è inattivo 56
impatto zero 56
panoramica 56
rilevamento minacce nelle app di Windows Store 54
rinvio 56
Scansioni dell'archivio remoto 58
utilizzo del sistema 58
ScriptScan
attivazione 49
informazioni 50
server proxy
configurazione per McAfee GTI 30
funzionamento di McAfee GTI 31
Guida del prodotto
139
Indice
settori di avvio, scansione 49, 54
sicurezza
configurazione della sicurezza dell'interfaccia client 29
sistemi server, e funzione di scansione quando il sistema è
inattivo 56
siti
classificazioni di sicurezza 78
protezione della navigazione 76
protezione durante le ricerche 77
visualizzazione rapporti sul sito Web Control 80
siti di origine, configurazione per aggiornamenti client 32
siti web
protezione della navigazione 76
siti Web
classificazioni di sicurezza 78
protezione durante le ricerche 77
visualizzazione rapporti sul sito Web Control 80
siti Web, avviso
in base alle classificazioni 85
in base alle classificazioni di sicurezza 86
siti Web, blocco
in base alla categoria Web 85
non classificato o sconosciuto 82
siti rischiosi nei risultati di ricerca 82
siti Web, controllo dell'accesso
con categorie Web 85
con classificazioni di sicurezza 86
siti, avviso
siti, blocco
in base alla categoria Web 85
siti, controllo dell'accesso
con categorie Web 85
con classificazioni di sicurezza 86
software client, definito 8
spyware, informazioni 41
stato, Endpoint Security, visualizzazione con l'icona della barra
delle applicazioni McAfee 10
stealth, informazioni 41
strumenti di amministrazione remota, informazioni 41
T
tempo CPU, scansioni su richiesta 58
thread, priorità 58
Threat Prevention
Funzionalità di prevenzione exploit 48
funzionalità di protezione dell'accesso 46
gestione 42
informazioni 7
140
Threat Prevention
Opzioni, programmi indesiderati 44
programmi potenzialmente indesiderati, rilevamento 44
scansione dei file prima del download 82, 84
scansioni all'accesso, configurazione 49
scansioni all'accesso, informazioni 50
scansioni su richiesta, configurazione 54
scansioni su richiesta, informazioni 54
tipi di gestione
informazioni 20
visualizzazione 19
tipo di gestione di McAfee ePO Cloud 20
tipo gestione di SecurityCenter 20
traffico
autorizzazione in uscita fino all'avvio dei servizi firewall 62
esaminati da Firewall 61
traffico DNS, blocco 62
trojan
informazioni 41
U
unità di rete, specifica delle opzioni di scansione 49
URL
blocco sconosciuto 82
esclusione dalla scansione script 49
V
virus
firme 9
informazioni 41
vulnerabilità, vedere minacce
W
Web Control
aree commenti e icone 80
attivazione 82
come viene eseguita la scansione dei download di file 84
configurazione 82
file di registro 22
funzionalità 75
gestione 81
icone, descrizione 77
informazioni 7
menu 76
motori di ricerca e icone di sicurezza 77
pulsanti, descrizione 76
rapporti sul sito 77
registro attività 22
registro di debug 22
Guida del prodotto
Indice
Web Control (segue)
visualizzazione delle opzioni di menu nel browser 79
visualizzazione di rapporti sul sito 80
Windows 8
apertura di Endpoint Security Client 17
informazioni sui messaggi di notifica 10
Y
Yahoo
motore di ricerca predefinito 82
motore di ricerca supportato 77
Guida del prodotto
141
0-04

McAfee Endpoint Security

Transcript

Documenti analoghi

McAfee

Cod. Articolo 11.665 CX042B - 0886112492632

Gli IP della rete

protocollo simplant per doppia scansione

McAfee Complete Endpoint Protection — Business

PLANON PRESENTA IL NUOVO SCANNER PORTATILE A TUTTA

McAfee AntiVirus 2010

Configurazione Porte - eMule-Wiki

McAfee Complete Endpoint Protection — Enterprise

GlobalTrust RMS