McAfee Endpoint Security
Transcript
McAfee Endpoint Security
Guida del prodotto McAfee Endpoint Security 10 COPYRIGHT Copyright © 2014 McAfee, Inc. Copia non consentita senza autorizzazione. ATTRIBUZIONI DEI MARCHI McAfee, il logo McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure sono marchi o marchi registrati di McAfee, Inc. o sue filiali negli Stati Uniti e altre nazioni. Altri nomi e marchi possono essere rivendicati come proprietà di terzi. I nomi di prodotti e funzionalità sono soggetti a modifiche senza preavviso. Per consultare le versioni più recenti di prodotti e funzionalità consultare la pagina mcafee.com. INFORMAZIONI SULLA LICENZA Contratto di licenza AVVISO AGLI UTENTI: LEGGERE ATTENTAMENTE IL TESTO DEL CONTRATTO RELATIVO ALLA LICENZA ACQUISTATA, CHE STABILISCE LE CONDIZIONI GENERALI PER L'USO DEL SOFTWARE CONCESSO IN LICENZA. NEL CASO IN CUI NON SI SAPPIA CON ESATTEZZA QUALE TIPO DI LICENZA È STATO ACQUISTATO, CONSULTARE I DOCUMENTI DI VENDITA E ALTRI DOCUMENTI RELATIVI ALLA CONCESSIONE DELLA LICENZA O ALL'ORDINE DI ACQUISTO ACCLUSI ALLA CONFEZIONE DEL SOFTWARE O RICEVUTI SEPARATAMENTE IN RELAZIONE ALL'ACQUISTO MEDESIMO (SOTTO FORMA DI OPUSCOLO, FILE CONTENUTO NEL CD DEL PRODOTTO O FILE DISPONIBILE SUL SITO WEB DAL QUALE È STATO SCARICATO IL SOFTWARE). SE NON SI ACCETTANO INTEGRALMENTE I TERMINI DEL CONTRATTO, NON INSTALLARE IL SOFTWARE. SE PREVISTO DAL CONTRATTO, L'UTENTE POTRÀ RESTITUIRE IL PRODOTTO A MCAFEE O AL PUNTO VENDITA DA CUI È STATO ACQUISTATO ED ESSERE INTERAMENTE RIMBORSATO. 2 McAfee Endpoint Security 10 Guida del prodotto Sommario 1 McAfee Endpoint Security 5 Introduzione 7 Moduli Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Modalità di protezione del computer da parte di Endpoint Security . . . . . . . . . . . . . . 8 Mantenimento dell'aggiornamento della protezione . . . . . . . . . . . . . . . . . . 8 Interazione con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Informazioni sull'icona della barra delle applicazioni McAfee . . . . . . . . . . . . . . 10 Informazioni sui messaggi di notifica . . . . . . . . . . . . . . . . . . . . . . . 10 Informazioni su Endpoint Security Client . . . . . . . . . . . . . . . . . . . . . 11 2 Uso di Endpoint Security Client 17 Apertura di Endpoint Security Client . . . . . . . . . . . . . . . . . . . . . . . . . . Richiesta di assistenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Risposta a richieste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Risposta a un messaggio di rilevamento minaccia . . . . . . . . . . . . . . . . . . Risposta a richiesta di scansione . . . . . . . . . . . . . . . . . . . . . . . . Informazioni sulla protezione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipi di gestione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aggiornamento manuale di protezione e software . . . . . . . . . . . . . . . . . . . . . Visualizzazione del Registro eventi . . . . . . . . . . . . . . . . . . . . . . . . . . Informazioni sui file di registro . . . . . . . . . . . . . . . . . . . . . . . . . Gestione di Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Accesso come amministratore . . . . . . . . . . . . . . . . . . . . . . . . . Sblocco dell'interfaccia client . . . . . . . . . . . . . . . . . . . . . . . . . . Disattivazione e attivazione di funzioni . . . . . . . . . . . . . . . . . . . . . . Modifica della versione AMCore content . . . . . . . . . . . . . . . . . . . . . Uso dei file Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurazione delle impostazioni comuni . . . . . . . . . . . . . . . . . . . . . 3 Uso di Threat Prevention 35 Scansione del computer per individuare malware . . . . . . . . . . . . . . . . . . . . . Tipi di scansioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Esecuzione di una scansione completa o di una scansione rapida . . . . . . . . . . . Scansione di un file o una cartella . . . . . . . . . . . . . . . . . . . . . . . . Gestione dei rilevamenti di minacce . . . . . . . . . . . . . . . . . . . . . . . . . . Gestione degli elementi in quarantena . . . . . . . . . . . . . . . . . . . . . . . . . Nomi rilevamenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestione di Threat Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Esclusione di elementi dalla scansione . . . . . . . . . . . . . . . . . . . . . . Rilevamento di programmi potenzialmente indesiderati . . . . . . . . . . . . . . . Configurare le impostazioni della policy di protezione dell'accesso . . . . . . . . . . . Configurare le impostazioni della policy di prevenzione exploit . . . . . . . . . . . . . Configurare le impostazioni della policy di scansione all'accesso . . . . . . . . . . . . Configurare le impostazioni della policy di scansione su richiesta . . . . . . . . . . . McAfee Endpoint Security 10 17 18 18 18 19 19 20 20 21 22 24 24 24 25 25 26 27 35 35 36 38 39 39 41 42 42 44 46 48 49 54 Guida del prodotto 3 Sommario Pianificazione delle attività di scansione completa e scansione rapida . . . . . . . . . 59 Configurazione delle impostazioni di scansione comuni . . . . . . . . . . . . . . . . 59 4 Utilizzo del Firewall Funzionamento di Firewall . . . . . . . . . . Gestione di Firewall . . . . . . . . . . . . . Modifica delle opzioni Firewall . . . . . . Configurazione di gruppi e regole Firewall . 5 61 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Utilizzo di Web Control 75 Informazioni sulle funzioni di Web Control . . . . . . . . . . . . . . . . . . . . . . . Identificazione delle minacce durante la navigazione tramite il pulsante Web Control . . . Identificazione delle minacce durante la ricerca mediante le icone di sicurezza . . . . . . Fornitura di dettagli da parte dei rapporti sul sito . . . . . . . . . . . . . . . . . . Compilazione delle classificazioni di sicurezza . . . . . . . . . . . . . . . . . . . Accesso alle funzioni di Web Control . . . . . . . . . . . . . . . . . . . . . . . . . . Accesso alle funzioni durante la navigazione . . . . . . . . . . . . . . . . . . . . Visualizzazione del rapporto sul sito durante le ricerche . . . . . . . . . . . . . . . Visualizzazione di rapporti sul sito . . . . . . . . . . . . . . . . . . . . . . . . Risoluzione dei problemi di comunicazione . . . . . . . . . . . . . . . . . . . . Gestione di Web Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurazione delle opzioni Web Control . . . . . . . . . . . . . . . . . . . . . Specificare azioni di classificazione e bloccare l'accesso ai siti in base a una categoria Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Indice 4 McAfee Endpoint Security 10 61 61 62 64 75 76 77 77 78 79 79 80 80 81 81 82 85 133 Guida del prodotto McAfee Endpoint Security ® McAfee Endpoint Security è una soluzione di gestione della sicurezza completa che viene eseguita sui computer di rete per identificare e arrestare le minacce automaticamente. Questa guida spiega come utilizzare le funzioni di sicurezza di base e risolvere i principali errori. Guida introduttiva • Moduli Endpoint Security a pagina 7 • Modalità di protezione del computer da parte di Endpoint Security a pagina 8 • Interazione con Endpoint Security a pagina 9 Attività eseguite di frequente • Apertura di Endpoint Security Client a pagina 17 • Aggiornamento manuale di protezione e software a pagina 20 • Scansione del computer per individuare malware a pagina 35 • Sblocco dell'interfaccia client a pagina 24 Ulteriori informazioni Per accedere a ulteriori informazioni su questo prodotto, vedere: • Guida all'installazione McAfee Endpoint Security • Guida Endpoint Security Firewall • Note di rilascio McAfee Endpoint Security • Guida Endpoint Security Web Control • Guida Endpoint Security Threat Prevention • Assistenza McAfee McAfee Endpoint Security 10 Guida del prodotto 5 McAfee Endpoint Security 6 McAfee Endpoint Security 10 Guida del prodotto 1 Introduzione Endpoint Security è una soluzione di gestione della sicurezza completa che viene eseguita sui computer di rete per identificare e arrestare le minacce automaticamente. Questa guida spiega come utilizzare le funzioni di sicurezza di base e risolvere i principali errori. Se il computer è gestito, un amministratore imposta e configura Endpoint Security utilizzando uno dei seguenti server di gestione: • McAfee ePolicy Orchestrator (McAfee ePO ) • McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud) • McAfee SecurityCenter ® ® ® ® ™ ™ ® Se il computer è autogestito, l'utente (o l'amministratore) può configurare il software utilizzando Endpoint Security Client. Sommario Moduli Endpoint Security Modalità di protezione del computer da parte di Endpoint Security Interazione con Endpoint Security Moduli Endpoint Security L'amministratore configura e installa uno o più moduli Endpoint Security sui computer client. • Threat Prevention – Verifica la presenza di virus, spyware, programmi indesiderati e altre minacce in modo automatico (attraverso la scansione degli elementi ogni volta che vi si accede) o in modo manuale (in qualsiasi momento venga richiesto dall'utente). • Firewall – Monitora la comunicazione tra il computer e le risorse sulla rete e in Internet. Intercetta le comunicazioni sospette. • Web Control – Mostra le classificazioni di sicurezza e i report per i siti Web durante la navigazione e la ricerca online. Web Control consente all'amministratore del sito di bloccare l'accesso ai siti Web in base alle classificazioni di sicurezza o al contenuto. Inoltre, il modulo Common fornisce impostazioni per funzioni comuni, come sicurezza e registrazione dell'interfaccia. Questo modulo viene installato automaticamente se è installato qualsiasi altro modulo. McAfee Endpoint Security 10 Guida del prodotto 7 1 Introduzione Modalità di protezione del computer da parte di Endpoint Security Modalità di protezione del computer da parte di Endpoint Security Generalmente, un amministratore imposta Endpoint Security, installa il software sui computer client, monitora lo stato della sicurezza e imposta le regole di sicurezza, definite policy. L'utente di un computer client può interagire con Endpoint Security attraverso il software client installato nel computer. Le policy impostate dall'amministratore determinano il modo in cui le funzioni e i moduli operano sul computer e la possibilità di modificarli. Se Endpoint Security è autogestito, è possibile specificare il funzionamento di moduli e funzioni. Per stabilire il tipo di gestione, visualizzare la pagina Informazioni. A intervalli regolari, il software client del computer si connette a un sito Internet per aggiornare i propri componenti. Contemporaneamente, invia i dati relativi ai rilevamenti sul computer al server di gestione. Questi dati vengono utilizzati per generare i report per l'amministratore relativi ai rilevamenti e ai problemi di sicurezza del computer. In genere, il software client funziona in background senza interazione dell'utente. Talvolta, tuttavia, può essere necessario interagire con esso. Ad esempio quando si intende controllare la disponibilità di aggiornamenti software o eseguire la scansione anti-malware manualmente. A seconda delle policy impostate dall'amministratore, potrebbe essere possibile personalizzare le impostazioni di sicurezza. L'amministratore può gestire e configurare centralmente il software client utilizzando McAfee ePO, McAfee ePO Cloud o SecurityCenter. Vedere anche Informazioni sulla protezione a pagina 19 Mantenimento dell'aggiornamento della protezione Aggiornamenti regolari di Endpoint Security garantiscono una protezione costante del computer dalle più recenti minacce. Per eseguire gli aggiornamenti, il software client si connette a un server McAfee ePO locale o remoto o direttamente a un sito in Internet. Endpoint Security cerca: • Aggiorna i file di contenuto utilizzati per rilevare le minacce. I file di contenuto contengono le definizioni per le minacce quali virus e spyware e tali definizioni vengono aggiornate non appena vengono rilevate nuove minacce. • Gli upgrade dei componenti software, quali patch e hotfix. Sui sistemi autogestiti, l'attività Aggiornamento client predefinito aggiorna tutti i contenuti e il software. Sui sistemi gestiti, questa attività aggiorna solo i contenuti. Per semplificare la terminologia, la presente guida fa riferimento sia agli aggiornamenti sia agli upgrade come aggiornamenti. Gli aggiornamenti in genere vengono eseguiti automaticamente in background. Potrebbe essere inoltre necessario controllare manualmente la disponibilità di aggiornamenti. A seconda delle impostazioni, è possibile aggiornare manualmente la protezione da Endpoint Security Client facendo clic su . Vedere anche Aggiornamento manuale di protezione e software a pagina 20 8 McAfee Endpoint Security 10 Guida del prodotto Introduzione Interazione con Endpoint Security 1 Funzionamento dei file di contenuto La ricerca delle minacce tra i file effettuata dal motore di scansione avviene sulla base del confronto del contenuto dei file sottoposti a scansione con le informazioni di minacce note memorizzate nei file AMCore content. La prevenzione exploit utilizza i propri file di contenuto per proteggersi dagli exploit. AMCore content McAfee Labs rileva e aggiunge informazioni sulle minacce note (firme) ai file di contenuto. Insieme alla firme, i file di contenuto includono informazioni su pulizia e metodo di contrasto del danno che potrebbe causare il virus. Se la firma di un virus non si trova in nessuno dei file di contenuto installati, il motore di scansione non può rilevare e ripulire quel virus. Nuove minacce appaiono continuamente. McAfee Labs rilascia aggiornamenti del motore e nuovi file di contenuto che includono i risultati delle ricerche sulle minacce in corso quasi ogni giorno, circa alle 18:00 (GMT). Endpoint Security archivia il file di contenuto attualmente caricato e le due versioni precedenti nella cartella Program Files\Common Files\McAfee\Engine\content. Se necessario, è possibile tornare a una versione precedente. Quando viene scoperto un nuovo malware ed è necessario effettuare ulteriori rilevamenti, McAfee Labs rende disponibile un file Extra.DAT fino al rilascio dell'aggiornamento dei contenuti successivo. Contenuto prevenzione exploit Il contenuto di prevenzione exploit include: • Firme di protezione della memoria – Protezione da overflow del buffer generica (GBOP) e Kevlar. • Elenco protezione applicazioni – Processi protetti dalla prevenzione exploit. McAfee rilascia nuovi file di contenuto di prevenzione exploit una volta al mese. Interazione con Endpoint Security Endpoint Security fornisce componenti visivi per l'interazione con Endpoint Security Client. • Icona McAfee nella barra delle applicazioni di Windows – Consente di avviare Endpoint Security Client e visualizzare gli stati di sicurezza. • Messaggi di notifica – Avvisano l'utente di eseguire la scansione e il rilevamento delle intrusioni firewall; richiedono un input. • Pagina Scansione all'accesso – Mostra l'elenco dei rilevamenti di minacce quando il programma di scansione all'accesso rileva una minaccia. • Endpoint Security Client – Mostra lo stato di protezione attuale e fornisce accesso alle funzioni. Per i sistemi gestiti, l'amministratore configura e assegna le policy per specificare quali componenti sono visualizzati. Vedere anche Informazioni sull'icona della barra delle applicazioni McAfee a pagina 10 Informazioni sui messaggi di notifica a pagina 10 Gestione dei rilevamenti di minacce a pagina 39 Informazioni su Endpoint Security Client a pagina 11 McAfee Endpoint Security 10 Guida del prodotto 9 1 Introduzione Interazione con Endpoint Security Informazioni sull'icona della barra delle applicazioni McAfee L'icona McAfee nella barra delle applicazioni di Windows consente di accedere a Endpoint Security Client. L'icona McAfee potrebbe non essere disponibile, in base alla modalità di configurazione delle impostazioni. Utilizzare l'icona della barra delle applicazioni per: • Controllare lo stato della sicurezza – Fare clic con il pulsante destro del mouse sull'icona e selezionare Mostra stato sicurezza per visualizzare la pagina Stato della sicurezza McAfee. • Aprire Endpoint Security Client – Fare clic con il pulsante destro del mouse sull'icona e selezionare McAfee Endpoint Security. Modalità di indicazione dello stato di Endpoint Security da parte dell'icona L'aspetto dell'icona cambia per indicare lo stato di Endpoint Security. Mantenere il cursore sull'icona per visualizzare un messaggio che descrive lo stato. Icona Indica... Endpoint Security protegge il sistema e non è presente alcun problema. Endpoint Security rileva un problema di sicurezza, ad esempio una tecnologia o un modulo disattivato. • Firewall è disattivato. • Threat Prevention – prevenzione exploit, scansione all'accesso o ScriptScan sono disattivati. Endpoint Security riporta i problemi in modo diverso, in base al tipo di gestione. Autogestito Una o più tecnologie sono disattivate. Gestito Una o più tecnologie sono state disattivate manualmente, non come risultato di un'imposizione delle policy dal server di gestione. Quando viene rilevato un problema, la pagina Stato della sicurezza McAfee indica quale modulo o tecnologia sono disattivati. Informazioni sui messaggi di notifica Endpoint Security utilizza due tipi di messaggi per informare l'utente a proposito dei problemi di protezione o per richiedere un input. Alcuni messaggi potrebbero non essere visualizzati, in base alla modalità di configurazione delle impostazioni. Endpoint Security invia due tipi di notifiche: • Popup di avviso dall'icona McAfee, visualizzato per cinque secondi. Gli avvisi informano l'utente a proposito dei rilevamenti di minacce, come gli eventi di intrusione Firewall, o quando una scansione su richiesta viene sospesa o ripristinata. Non è necessaria alcuna azione da parte dell'utente. • 10 Richieste apre una pagina nella parte inferiore dello schermo e resta visibile fino a quando si seleziona un'opzione. McAfee Endpoint Security 10 Guida del prodotto 1 Introduzione Interazione con Endpoint Security Ad esempio: • Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe richiedere all'utente di rinviare la scansione. • Quando il programma di scansione all'accesso rileva una minaccia, Endpoint Security potrebbe richiedere all'utente di rispondere al rilevamento. In modalità Metro di Windows 8, le notifiche di tipo avviso popup vengono visualizzate nell'angolo in alto a destra dello schermo per comunicare all'utente avvisi e richieste. Fare clic sulla notifica di tipo avviso popup per visualizzare la notifica in modalità Desktop. Il processo McTray.exe deve essere in esecuzione affinché Endpoint Security possa visualizzare avvisi e richieste. Vedere anche Risposta a un messaggio di rilevamento minaccia a pagina 18 Risposta a richiesta di scansione a pagina 19 Informazioni su Endpoint Security Client Endpoint Security Client consente di verificare le funzioni di accesso e stato di protezione sul computer. • Le opzioni del menu Azione Impostazioni consentono di accedere alle funzioni. Configura le impostazioni delle funzioni. Questa opzione di menu è disponibile se una delle affermazioni seguenti è vera: • La Modalità interfaccia client è impostata su Accesso completo. • L'utente è collegato come amministratore. Carica Extra.DAT Consente di installare un file Extra.DAT scaricato. Ripristina AMCore content Ripristina una versione precedente di AMCore content. Questa opzione di menu è disponibile se una versione precedente di AMCore content esiste sul sistema e se una delle seguenti affermazioni è vera: • La Modalità interfaccia client è impostata su Accesso completo. • L'utente è collegato come amministratore. Guida Mostra la guida. Link assistenza Consente di visualizzare una pagina con collegamenti a pagine utili, come McAfee ServicePortal e il Centro informazioni. Accesso amministratore Consente di accedere come amministratore del sito. (Richiede le credenziali di amministratore.) La password predefinita è mcafee. Questa opzione di menu è disponibile se la Modalità interfaccia client non è impostata su Accesso completo. Se è stato effettuato l'accesso come amministratore, questa opzione è Disconnetti amministratore. Informazioni Mostra informazioni su Endpoint Security. Esci Esce da Endpoint Security Client. McAfee Endpoint Security 10 Guida del prodotto 11 1 Introduzione Interazione con Endpoint Security • I pulsanti nella parte superiore destra della pagina forniscono un accesso rapido alle attività frequenti. Verifica la presenza di malware con una scansione completa o una scansione rapida del sistema. Questo pulsante è disponibile solo se il modulo Threat Prevention è installato. Aggiorna i file di contenuto e i componenti software sul computer. Questo pulsante potrebbe non essere visualizzato, in base alla modalità di configurazione delle impostazioni. • I pulsanti sul lato sinistro della pagina forniscono informazioni sulla protezione. Stato Torna alla pagina Stato principale. Registro eventi Mostra il registro di tutti gli eventi di protezione e minaccia sul computer. Quarantena Apre il Gestore quarantena. Questo pulsante è disponibile solo se il modulo Threat Prevention è installato. • Riepilogo minacce fornisce informazioni sulle minacce rilevate da Endpoint Security sul sistema negli ultimi 30 giorni. Vedere anche Caricamento di un file Extra.DAT a pagina 27 Accesso come amministratore a pagina 24 Scansione del computer per individuare malware a pagina 35 Aggiornamento manuale di protezione e software a pagina 20 Visualizzazione del Registro eventi a pagina 21 Gestione degli elementi in quarantena a pagina 39 Gestione di Endpoint Security a pagina 24 Informazioni su Riepilogo minacce a pagina 12 Informazioni su Riepilogo minacce La pagina Stato di Endpoint Security Client fornisce un riepilogo in tempo reale delle minacce rilevate sul sistema negli ultimi 30 giorni. Quando vengono rilevate nuove minacce, la pagina Stato aggiorna in modo dinamico i dati nell'area Riepilogo minacce, nel riquadro inferiore. 12 McAfee Endpoint Security 10 Guida del prodotto Introduzione Interazione con Endpoint Security 1 Il Riepilogo minacce include: • Data dell'ultima minaccia eliminata • I due vettori principali di minaccia, per categoria: • Web Minacce da pagine Web o download. Dispositivi o supporti esterni Minacce da dispositivi esterni, come USB, firewire 1394, eSATA, unità nastro, CD, DVD o dischi. Rete Minacce dalla rete (condivisione di file non in rete). Sistema locale Minacce dall'unità di sistema file di boot locale (solitamente C:) o da unità diverse da quelle classificate come Dispositivi o supporti esterni. Condivisione file Minacce da una condivisione di file in rete. Email Minacce dai messaggi email. Messaggio immediato Minacce da messaggistica immediata. Sconosciuto Minacce per le quale il vettore di attacco non è stabilito (a causa di una condizione di errore o di altri errori). Numero di minacce per vettore di minaccia Se Endpoint Security Client non riesce a stabilire una connessione con Event ManagerEndpoint Security Client, viene visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il proprio sistema per visualizzare il Riepilogo minacce. Influenza delle impostazioni sull'accesso al client Le impostazioni Modalità interfaccia client assegnate al computer determinano a quali moduli e funzioni è possibile accedere. Modificare la Modalità interfaccia client nelle impostazioni Common. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO, McAfee ePO Cloud o da SecurityCenter potrebbero sovrascrivere le modifiche apportate dalla pagina Impostazioni. Le opzioni Modalità interfaccia client per il client sono: McAfee Endpoint Security 10 Guida del prodotto 13 1 Introduzione Interazione con Endpoint Security Consente di accedere a tutte le funzionalità, tra cui: Accesso completo • Attivazione e disattivazione di singoli moduli e funzioni. • Accesso alla pagina Impostazioni per visualizzare o modificare tutte le impostazioni di Endpoint Security Client. Questa modalità è l'impostazione predefinita per i sistemi autogestiti. Visualizza lo stato di protezione e consente di accedere alla maggior parte delle funzionalità: Accesso standard • Aggiorna i file di contenuto e i componenti software sul computer (se attivato dall'amministratore). • Esecuzione di un controllo approfondito di tutte le zone del sistema (consigliato se si sospetta che il computer sia infetto). • Esecuzione di un controllo rapido (2 minuti) delle zone del sistema più soggette alle infezioni. • Accesso al registro eventi. • Gestione di elementi in quarantena. Questa modalità è l'impostazione predefinita per i sistemi gestiti. Dalla modalità interfaccia Accesso standard, è possibile eseguire l'accesso come amministratore e accedere a tutte le funzioni, comprese tutte le impostazioni. Richiede una password per accedere al client. Blocca interfaccia client La password predefinita è mcafee. Una volta sbloccata l'interfaccia client, è possibile accedere a tutte le funzioni. Se non è possibile accedere a Endpoint Security Client o ad attività e funzioni specifiche necessarie per il proprio lavoro, contattare l'amministratore. Vedere anche Configurazione delle impostazioni per la sicurezza dell'interfaccia client a pagina 29 Come influiscono i moduli installati sul client Alcuni aspetti del client potrebbero non essere disponibili, a seconda dei moduli installati sul computer. Le seguenti funzionalità sono disponibili solo se Threat Prevention è installato: • pulsante • Pulsante Quarantena Le funzioni installate sul sistema determinano le funzionalità visualizzate: • Nel menu a discesa del Registro eventi, Filtra per modulo. • Nella pagina Impostazioni. Common Viene visualizzato se è installato un modulo. Threat Prevention Viene visualizzato solo se Threat Prevention è installato. Firewall Viene visualizzato solo se Firewall è installato. Web Control Viene visualizzato solo se Web Control è installato. In base alla Modalità interfaccia client e al tipo di configurazione dell'accesso da parte dell'amministratore, alcune o tutte queste funzioni potrebbero non essere disponibili. 14 McAfee Endpoint Security 10 Guida del prodotto Introduzione Interazione con Endpoint Security 1 Vedere anche Influenza delle impostazioni sull'accesso al client a pagina 13 McAfee Endpoint Security 10 Guida del prodotto 15 1 Introduzione Interazione con Endpoint Security 16 McAfee Endpoint Security 10 Guida del prodotto 2 Uso di Endpoint Security Client Utilizzare il client in modalità di accesso Standard per eseguire la maggior parte delle funzioni, incluse le scansioni di sistema e la gestione degli elementi in quarantena. Sommario Apertura di Endpoint Security Client Richiesta di assistenza Risposta a richieste Informazioni sulla protezione Aggiornamento manuale di protezione e software Visualizzazione del Registro eventi Gestione di Endpoint Security Apertura di Endpoint Security Client Aprire Endpoint Security Client per visualizzare lo stato delle funzioni di protezione installate sul computer. Se la modalità interfaccia è impostata su Blocca interfaccia client, inserire la password amministratore per aprire Endpoint Security Client. Attività 1 Utilizzare uno di questi metodi per visualizzare Endpoint Security Client: • Fare clic con il pulsante destro del mouse sull'icona della barra delle applicazioni, quindi selezionare McAfee Endpoint Security. • Selezionare Start | Tutti i programmi | McAfee | McAfee Endpoint Security. • 2 In Windows 8, avviare l'app McAfee Endpoint Security. 1 Premere il tasto Windows per visualizzare la schermata Start. 2 Accedere a McAfee Endpoint Security, quindi fare doppio clic o toccare l'app McAfee Endpoint Security. Se richiesto, immettere la password amministratore nella pagina Accesso amministratore, quindi fare clic su Accedi. Endpoint Security Client si apre nella modalità interfaccia configurata dall'amministratore. Vedere anche Sblocco dell'interfaccia client a pagina 24 McAfee Endpoint Security 10 Guida del prodotto 17 2 Uso di Endpoint Security Client Richiesta di assistenza Richiesta di assistenza I due metodi di richiesta di assistenza durante l'uso del client sono l'opzione di menu Guida e l'icona ?. Attività 1 Aprire Endpoint Security Client. 2 A seconda della pagina in cui ci si trova: • Pagine Stato, Registro eventi e Quarantena: dal menu Azione • Pagine Impostazioni, Aggiorna, Esegui scansione del sistema, Ripristina AMCore content e Carica Extra.DAT: fare clic su ? nell'interfaccia. , selezionare Guida. Risposta a richieste A seconda della configurazione delle impostazioni, Endpoint Security può richiedere all'utente un input quando sta per iniziare una scansione su richiesta pianificata. Attività • Risposta a un messaggio di rilevamento minaccia a pagina 18 Quando il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere all'utente un input per procedere, in base alla modalità di configurazione delle impostazioni. • Risposta a richiesta di scansione a pagina 19 Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe richiedere all'utente un input per procedere. La richiesta viene visualizzata solo se la scansione è configurata per consentire all'utente di rinviare, sospendere, riprendere o annullare la scansione. Risposta a un messaggio di rilevamento minaccia Quando il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere all'utente un input per procedere, in base alla modalità di configurazione delle impostazioni. In modalità Metro di Windows 8, le notifiche di tipo avviso popup vengono visualizzate nell'angolo in alto a destra dello schermo per comunicare all'utente i rilevamenti di minacce. Fare clic sulla notifica di tipo avviso popup per visualizzare la richiesta in modalità Desktop. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. • Dalla pagina Scansione all'accesso, selezionare le opzioni per gestire i rilevamenti di minacce. È possibile aprire nuovamente e in qualsiasi momento la pagina di scansione per gestire i rilevamenti. L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security o del sistema. Vedere anche Gestione dei rilevamenti di minacce a pagina 39 18 McAfee Endpoint Security 10 Guida del prodotto Uso di Endpoint Security Client Informazioni sulla protezione 2 Risposta a richiesta di scansione Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe richiedere all'utente un input per procedere. La richiesta viene visualizzata solo se la scansione è configurata per consentire all'utente di rinviare, sospendere, riprendere o annullare la scansione. Se non si seleziona un'opzione, la scansione viene avviata automaticamente. Esclusivamente per i sistemi gestiti, se la scansione è configurata per essere eseguita solo quando il computer è inattivo, Endpoint Security mostra una finestra di dialogo quando la scansione viene sospesa. Se configurato, è inoltre possibile riprendere le scansioni sospese o reimpostarle per l'esecuzione solo quando il sistema è inattivo. In modalità Metro di Windows 8, le notifiche di tipo avviso popup vengono visualizzate nell'angolo in alto a destra dello schermo per richiedere un input all'utente. Fare clic sulla notifica di tipo avviso popup per visualizzare la richiesta in modalità Desktop. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. • Quando viene visualizzata la richiesta, selezionare una delle seguenti opzioni. Le opzioni visualizzate dipendono dal tipo di configurazione della scansione. Avvia scansione Avvia immediatamente la scansione. Visualizza scansione Visualizza i rilevamenti per una scansione in corso. Sospendi scansione Sospende la scansione. A seconda della configurazione, se si fa clic su Sospendi scansione la scansione potrebbe essere reimpostata per l'esecuzione solamente quando il sistema è inattivo. Fare clic su Riprendi scansione per riprendere la scansione da dove è stata sospesa. Riprendi scansione Riprende una scansione sospesa. Annulla scansione Annulla la scansione. Rinvia scansione Ritarda la scansione per il numero di ore specificato. Le opzioni della scansione pianificata determinano quante volte è possibile rinviare la scansione per un'ora. Potrebbe essere possibile rinviare la scansione più di una volta. Chiudi Chiude la pagina di scansione. Se il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere all'utente un input per procedere, in base alla modalità di configurazione delle impostazioni. Vedere anche Risposta a un messaggio di rilevamento minaccia a pagina 18 Informazioni sulla protezione È possibile ottenere informazioni sulla protezione Endpoint Security, inclusi tipo di gestione, moduli, funzioni, stato, numeri di versione e licenze della protezione. Attività 1 Aprire Endpoint Security Client. 2 Dal menu Azione , selezionare Informazioni. McAfee Endpoint Security 10 Guida del prodotto 19 2 Uso di Endpoint Security Client Aggiornamento manuale di protezione e software 3 Fare clic sul nome di un modulo o di una funzione a sinistra per passare alle informazioni su quell'elemento. 4 Fare clic sul pulsante Chiudi del browser per chiudere la pagina Informazioni. Vedere anche Tipi di gestione a pagina 20 Apertura di Endpoint Security Client a pagina 17 Tipi di gestione Il tipo di gestione indica la modalità di gestione di Endpoint Security. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO, McAfee ePO Cloud o da SecurityCenter potrebbero sovrascrivere le modifiche apportate dalla pagina Impostazioni. Tipo gestione Descrizione McAfee ePolicy Orchestrator Un amministratore gestisce Endpoint Security utilizzando McAfee ePO (in sede). McAfee ePolicy Orchestrator Cloud Un amministratore gestisce Endpoint Security utilizzando McAfee ePO Cloud. McAfee SecurityCenter Un amministratore gestisce Endpoint Security utilizzando SecurityCenter. Autogestito Endpoint Security è gestito localmente utilizzando Endpoint Security Client. Questa modalità è anche definita non gestito o autonomo. Aggiornamento manuale di protezione e software In base al tipo di configurazione delle impostazioni, è possibile eseguire la ricerca e scaricare gli aggiornamenti manualmente per i file di contenuto e i componenti software sul computer. non viene visualizzato nel client, è possibile attivarlo nelle impostazioni della . Se Per ulteriori informazioni vedere Configurare il comportamento di aggiornamento del a pagina 31. Gli aggiornamenti manuali vengono anche definiti aggiornamenti su richiesta. Sui sistemi autogestiti, l'attività Aggiornamento client predefinito aggiorna tutti i contenuti e il software. Sui sistemi gestiti, questa attività aggiorna solo i contenuti. Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. Attività 1 Aprire Endpoint Security Client. 2 Fare clic su . Endpoint Security Client verifica la disponibilità di aggiornamenti. • Per annullare l'aggiornamento, fare clic su Annulla. Questa opzione è disponibile solamente sui sistemi autogestiti e gestiti da McAfee ePO. 20 McAfee Endpoint Security 10 Guida del prodotto Uso di Endpoint Security Client Visualizzazione del Registro eventi 2 • Se il sistema è aggiornato, la pagina mostra l'opzione Nessun aggiornamento disponibile e la data e l'ora dell'ultimo aggiornamento. • Se l'aggiornamento viene eseguito correttamente, la pagina mostra data e ora attuali dell'ultimo aggiornamento. Tutti i messaggi o errori vengono visualizzati nell'area Messaggi. Per maggiori informazioni consultare il file PackageManager_Activity.log o PackageManager_Debug.log. 3 Fare clic su Chiudi per chiudere la pagina di aggiornamento. Vedere anche Mantenimento dell'aggiornamento della protezione a pagina 8 Informazioni sui file di registro a pagina 22 Apertura di Endpoint Security Client a pagina 17 Configurare il comportamento di aggiornamento del a pagina 31 Visualizzazione del Registro eventi Nei registri delle attività e di debug vengono registrati gli eventi che si verificano sul proprio sistema protetto da McAfee. È possibile visualizzare il registro eventi da Endpoint Security Client. Per assistenza, nel menu Azione , selezionare Guida. Attività 1 Aprire Endpoint Security Client. 2 Fare clic su Registro eventi nella parte sinistra della pagina. La pagina mostra tutti gli eventi registrati da Endpoint Security sul proprio sistema negli ultimi 30 giorni. Se Endpoint Security Client non riesce a stabilire una connessione con il gestore quarantena, viene visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il proprio sistema per visualizzare il Registro eventi. 3 Selezionare un evento dal riquadro superiore per visualizzare i dettagli nel riquadro inferiore. Per modificare le dimensioni relative dei riquadri, fare clic e trascinare il widget scorrevole tra i riquadri. McAfee Endpoint Security 10 Guida del prodotto 21 2 Uso di Endpoint Security Client Visualizzazione del Registro eventi 4 Nella pagina Registro eventi, ordinare, cercare, filtrare o ricaricare eventi. Le opzioni visualizzate dipendono dal tipo di configurazione della scansione. Ordinare gli eventi per data, funzioni, azione intrapresa e gravità Fare clic sull'intestazione colonna della tabella. Eseguire ricerche nel registro eventi Inserire il testo da cercare nel campo Cerca e premere Invio o fare clic su Cerca. La ricerca distingue tra minuscole e maiuscole e cerca il testo inserito in tutti i campi del registro eventi. L'elenco eventi mostra tutti gli elementi con testo corrispondente. Per annullare la ricerca e visualizzare tutti gli eventi, fare clic su x nel campo Cerca. 5 Filtrare gli eventi per gravità o modulo Selezionare un'opzione dall'elenco a discesa del filtro. Aggiornare la visualizzazione del Registro eventi con eventuali nuovi eventi Fare clic su Aprire la cartella contenente i file di registro Fare clic su Visualizza cartella registri. Per rimuovere il filtro e visualizzare tutti gli eventi, selezionare Mostra tutti gli eventi dall'elenco a discesa. . Sfogliare il Registro eventi. Visualizzare la pagina di eventi precedente Fare clic su Pagina precedente. Visualizzare la pagina di eventi successiva Fare clic su Pagina successiva. Visualizzare una pagina specifica nel registro Immettere un numero di pagina e premere Invio o fare clic su Vai. Per impostazione predefinita, il registro eventi mostra 20 eventi per pagina. Per visualizzare più eventi per pagina, selezionare un'opzione dall'elenco a discesa Eventi per pagina. Vedere anche Informazioni sui file di registro a pagina 22 Apertura di Endpoint Security Client a pagina 17 Informazioni sui file di registro I file dei registri delle attività e di debug registrano eventi che si verificano nei sistemi con Endpoint Security attivato. Configurare la registrazione nelle impostazioni Common. I file di registro vengono visualizzati nella lingua specificata dalle impostazioni locali predefinite del sistema. Per impostazione predefinita, tutti i file di registro attività e di debug vengono memorizzati in uno dei seguenti percorsi, a seconda del sistema operativo. Sistema operativo Percorso predefinito Microsoft Windows 8.1 (Blue) %ProgramData%\McAfee\Endpoint Security\Logs %ProgramData%\McAfee\Endpoint Security\Installer\Logs Microsoft Windows 8 Microsoft Windows 7 22 McAfee Endpoint Security 10 Guida del prodotto Uso di Endpoint Security Client Visualizzazione del Registro eventi 2 Sistema operativo Percorso predefinito Microsoft Vista C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs Microsoft Windows XP Cartella McAfee\Endpoint Security\Logs nella cartella dei dati dell'applicazione Ogni modulo, funzione o tecnologia posiziona registrazioni di attività o debug in un file separato. Tutti i moduli posizionano registrazioni di errore in un singolo file denominato EndpointSecurityPlatform_Errors.log. L'attivazione della registrazione debug per ogni modulo consente inoltre la registrazione di debug per le funzioni del modulo Common, come l'autoprotezione. Tabella 2-1 File di registro Modulo Funzionalità o tecnologia Common Nome file EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log Autoprotezione SelfProtection_Activity.log SelfProtection_Debug.log Aggiornamenti PackageManager_Activity.log PackageManager_Debug.log Errori Threat Prevention EndpointSecurityPlatform_Errors.log L'attivazione della registrazione debug per ogni tecnologia Threat Prevention consente di eseguire la registrazione debug per Endpoint Security Client. Protezione dell'accesso ThreatPrevention_Activity.log ThreatPrevention_Debug.log AccessProtection_Activity.log AccessProtection_Debug.log Prevenzione exploit ExploitPrevention_Activity.log ExploitPrevention_Debug.log Programma di scansione all'accesso OnAccessScan_Activity.log OnAccessScan_Debug.log Programma di scansione su richiesta • Scansione rapida OnDemandScan_Activity.log OnDemandScan_Debug.log • Scansione completa • Scansione di scelta rapida Endpoint Security Client Firewall MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log Registra gli eventi di traffico bloccati e consentiti, se configurato. McAfee Endpoint Security 10 Guida del prodotto 23 2 Uso di Endpoint Security Client Gestione di Endpoint Security Tabella 2-1 File di registro (segue) Modulo Funzionalità o tecnologia Web Control Nome file WebControl_Activity.log WebControl_Debug.log Gestione di Endpoint Security In qualità di amministratore, è possibile gestire Endpoint Security da Endpoint Security Client e ciò include la disattivazione e l'attivazione di funzioni, la gestione di file di contenuto, la specifica della modalità di comportamento dell'interfaccia client e la configurazione delle impostazioni di Common. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO, McAfee ePO Cloud o da SecurityCenter potrebbero sovrascrivere le modifiche apportate dalla pagina Impostazioni. Vedere anche Accesso come amministratore a pagina 24 Sblocco dell'interfaccia client a pagina 24 Disattivazione e attivazione di funzioni a pagina 25 Modifica della versione AMCore content a pagina 25 Uso dei file Extra.DAT a pagina 26 Configurazione delle impostazioni comuni a pagina 27 Accesso come amministratore Se la modalità interfaccia per Endpoint Security Client è impostata su Accesso standard, è possibile accedere come amministratore per avere accesso a tutte le impostazioni. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso standard. Per assistenza, nel menu Azione , selezionare Guida. Attività 1 Aprire Endpoint Security Client. 2 Dal menu Azione 3 Nel campo Password, immettere la password amministratore, quindi fare clic su Accedi. , selezionare Accesso amministratore. È ora possibile accedere a tutte le funzioni di Endpoint Security Client. Per disconnettersi, selezionare Azione | Disconnetti amministratore. Il client ritorna alla modalità interfaccia Accesso standard. Sblocco dell'interfaccia client Se l'interfaccia di Endpoint Security Client è bloccata, sbloccarla con la password amministratore per accedere a tutte le impostazioni. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Blocca interfaccia client. 24 McAfee Endpoint Security 10 Guida del prodotto Uso di Endpoint Security Client Gestione di Endpoint Security 2 Attività 1 Aprire Endpoint Security Client. 2 Nella pagina Accesso amministratore, immettere la password amministratore nel campo Password, quindi fare clic su Accedi. Viene visualizzato Endpoint Security Client ed è quindi possibile accedere a tutte le funzioni del client. Per uscire e chiudere il client, dal menu Azione , selezionare Disconnetti amministratore. Disattivazione e attivazione di funzioni In qualità di amministratore, è possibile disattivare e attivare le funzioni di Endpoint Security da Endpoint Security Client. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. La pagina Stato mostra lo stato attivato del modulo di funzioni, che potrebbe non riflettere lo stato reale della funzione. È possibile visualizzare lo stato di ciascuna funzione nella pagina Impostazioni. Ad esempio, se l'impostazione Attiva ScriptScan non è applicata correttamente, lo stato potrebbe essere (Stato: disattivato). Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic sul nome del modulo (come Threat Prevention o Firewall) nella pagina Stato principale. In alternativa, dal menu Azione pagina Impostazioni. 3 , selezionare Impostazioni, quindi fare clic sul nome del modulo nella Selezionare o deselezionare l'opzione Attiva modulo o funzione. Attivando una delle funzioni di Threat Prevention verrà attivato il modulo Threat Prevention. Vedere anche Accesso come amministratore a pagina 24 Modifica della versione AMCore content Utilizzare Endpoint Security Client per modificare la versione di AMCore content sul sistema. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Endpoint Security archivia il file di contenuto attualmente caricato e le due versioni precedenti nella cartella Program Files\Common Files\McAfee\Engine\content. Se necessario, è possibile tornare a una versione precedente. McAfee Endpoint Security 10 Guida del prodotto 25 2 Uso di Endpoint Security Client Gestione di Endpoint Security Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Dal menu Azione 3 Dall'elenco a discesa, selezionare la versione da caricare. 4 Fare clic su Applica. , selezionare Ripristina AMCore content. I rilevamenti nel file AMCore content caricato vengono applicati immediatamente. Vedere anche Funzionamento dei file di contenuto a pagina 9 Accesso come amministratore a pagina 24 Uso dei file Extra.DAT È possibile installare un file Extra.DAT per proteggere il sistema da infezioni malware significative fino al rilascio dell'aggiornamento AMCore content successivo. Attività • Download di file Extra.DAT a pagina 27 Per scaricare un file Extra.DAT fare clic sul link di download fornito da McAfee Labs. • Caricamento di un file Extra.DAT a pagina 27 Per installare il file Extra.DAT scaricato, utilizzare Endpoint Security Client. Vedere anche Informazioni sui file Extra.DAT a pagina 26 Informazioni sui file Extra.DAT Quando viene scoperto un nuovo malware ed è necessario effettuare ulteriori rilevamenti, McAfee Labs rende disponibile un file Extra.DAT. I file Extra.DAT contengono informazioni utilizzate da Threat Prevention per gestire i nuovi malware. È possibile scaricare file Extra.DAT per minacce specifiche dalla pagina di richiesta file Extra.DAT McAfee Labs. Threat Prevention supporta l'utilizzo di un solo file Extra.DAT. Ogni file Extra.DAT include una data di scadenza. Quando il file Extra.DAT viene caricato, questa data di scadenza viene confrontata con la data di creazione di AMCore content installato sul sistema. Se la data di creazione del contenuto AMCore è più recente rispetto alla data di scadenza del file Extra.DAT, quest'ultimo viene considerato scaduto e non viene più caricato e utilizzato dal motore. Durante l'aggiornamento successivo, il file Extra.DAT viene rimosso dal sistema. Se il successivo aggiornamento di AMCore content include la firma Extra.DAT, il file Extra.DAT viene rimosso. Endpoint Security archivia i file Extra.DAT nella cartella al seguente percorso: c:\Program Files \Common Files\McAfee\Engine\content\avengine\extradat. 26 McAfee Endpoint Security 10 Guida del prodotto Uso di Endpoint Security Client Gestione di Endpoint Security 2 Download di file Extra.DAT Per scaricare un file Extra.DAT fare clic sul link di download fornito da McAfee Labs. Attività 1 Fare clic sul link di download, specificare un percorso in cui salvare il file Extra.DAT, quindi fare clic su Salva. 2 Se necessario, estrarre il file EXTRA.ZIP. 3 Caricare il file Extra.DAT con Endpoint Security Client. Caricamento di un file Extra.DAT Per installare il file Extra.DAT scaricato, utilizzare Endpoint Security Client. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Nel menu Azione 3 Fare clic su Sfoglia, individuare il percorso in cui è stato scaricato il file Extra.DAT, quindi fare clic su Apri. 4 Fare clic su Applica. , selezionare Carica Extra.DAT. I nuovi rilevamenti nel file Extra.DAT hanno effetto immediato. Vedere anche Accesso come amministratore a pagina 24 Configurazione delle impostazioni comuni Configurare le impostazioni applicabili a tutti i moduli e le funzionalità di Endpoint Security nel modulo Common. Queste impostazioni includono le impostazioni della lingua e della sicurezza McAfee Endpoint Security 10 Guida del prodotto 27 2 Uso di Endpoint Security Client Gestione di Endpoint Security dell'interfacciaEndpoint Security Client, la registrazione, le impostazioni del server proxy per McAfee GTI e la configurazione degli aggiornamenti. Attività • Protezione di risorse Endpoint Security a pagina 28 Una delle prime operazioni che i malware cercano di eseguire durante un attacco è la disattivazione del software di sicurezza del sistema. Configurare le impostazioni di autoprotezione di Endpoint Security nelle impostazioni del Common per impedire l'arresto o la modifica dei servizi e i file Endpoint Security. • Configurazione delle impostazioni di registrazione a pagina 29 Configurare la registrazione Endpoint Security nelle impostazioni del modulo Common. • Configurazione delle impostazioni per la sicurezza dell'interfaccia client a pagina 29 Configurare la password dell'interfaccia e le opzioni di visualizzazione per Endpoint Security Client nelle impostazioni del modulo Common. • Configurazione delle impostazioni del server proxy per McAfee GTI a pagina 30 Specificare le opzioni server proxy per recuperare la reputazione McAfee GTI nelle impostazioni del modulo Common. • Configurare il comportamento di aggiornamento del a pagina 31 Specificare il comportamento per gli aggiornamenti avviati da Endpoint Security Client nelle impostazioni del modulo Common. • Configurazione dei siti di origine per gli aggiornamenti client a pagina 32 Per i sistemi autogestiti, è possibile configurare i siti dai quali Endpoint Security Client ottiene file di sicurezza aggiornati nelle impostazioni del modulo Common. • Pianificazione dell'attività Aggiornamento client predefinito a pagina 33 È possibile modificare o pianificare l'attività Aggiornamento client predefinito dalle impostazioni di Endpoint Security Client, contenute nel modulo Common. Protezione di risorse Endpoint Security Una delle prime operazioni che i malware cercano di eseguire durante un attacco è la disattivazione del software di sicurezza del sistema. Configurare le impostazioni di autoprotezione di Endpoint Security nelle impostazioni del Common per impedire l'arresto o la modifica dei servizi e i file Endpoint Security. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Utenti, amministratori, sviluppatori o professionisti della sicurezza non dovrebbero mai disattivare la protezione Endpoint Security sui sistemi. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 28 1 Aprire Endpoint Security Client. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Da Autoprotezione, verificare che Autoprotezione sia attivata. , selezionare Impostazioni. McAfee Endpoint Security 10 Guida del prodotto Uso di Endpoint Security Client Gestione di Endpoint Security 5 6 2 Specificare l'azione per ciascuna delle seguenti risorse Endpoint Security: • File e cartelle – Impedisce agli utenti di modificare il database McAfee, i file binari, i file di ricerche sicure e i file di configurazione. • Registro – Impedisce agli utenti di modificare l'hive del registro McAfee, i componenti COM e di eseguire disinstallazioni utilizzando il valore di registro. • Processi - Impedisce l'arresto dei processi McAfee. Fare clic su Applica per salvare le modifiche o fare clic su Annulla. Vedere anche Accesso come amministratore a pagina 24 Configurazione delle impostazioni di registrazione Configurare la registrazione Endpoint Security nelle impostazioni del modulo Common. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Configurare le impostazioni Registrazione client nella pagina. 5 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. , selezionare Impostazioni. Vedere anche Informazioni sui file di registro a pagina 22 Accesso come amministratore a pagina 24 Configurazione delle impostazioni per la sicurezza dell'interfaccia client Configurare la password dell'interfaccia e le opzioni di visualizzazione per Endpoint Security Client nelle impostazioni del modulo Common. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Modificare queste impostazioni con attenzione in quanto possono consentire agli utenti di modificare la configurazione di sicurezza, lasciando quindi il sistema non protetto dagli attacchi malware. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Dal menu Azione , selezionare Impostazioni. McAfee Endpoint Security 10 Guida del prodotto 29 2 Uso di Endpoint Security Client Gestione di Endpoint Security 3 Configurare le impostazioni Modalità interfaccia client nella pagina. 4 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. Vedere anche Effetti dell'impostazione di una password amministratore a pagina 30 Accesso come amministratore a pagina 24 Effetti dell'impostazione di una password amministratore Quando si imposta la modalità dell'interfaccia su Accesso standard, è inoltre necessario impostare una password amministratore. L'impostazione di una password amministratore in Endpoint Security Client ha effetto per i seguenti utenti: Non amministratori Gli utenti non amministratori possono: (utenti privi di diritti di amministratore) • Visualizzare alcuni parametri di configurazione. • Eseguire scansioni. • Verificare la disponibilità di aggiornamenti (se attivato). • Visualizzare la quarantena. • Visualizzare il registro eventi. • Accedere alla pagina Impostazioni per visualizzare o modificare le regole Firewall (se attivate). Gli utenti non amministratori non possono: • Modificare i parametri di configurazione. • Visualizzare, creare, eliminare o modificare le impostazioni delle . Un'eccezione è la possibilità di visualizzare o modificare le regole Firewall (se attivate). Amministratori Gli amministratori devono immettere la password per accedere alle aree (utenti che dispongono dei protette e modificare le impostazioni. privilegi amministrativi) Configurazione delle impostazioni del server proxy per McAfee GTI Specificare le opzioni server proxy per recuperare la reputazione McAfee GTI nelle impostazioni del modulo Common. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 30 1 Aprire Endpoint Security Client. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. , selezionare Impostazioni. McAfee Endpoint Security 10 Guida del prodotto Uso di Endpoint Security Client Gestione di Endpoint Security 4 Configurare le impostazioni Server proxy per McAfee GTI nella pagina. 5 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. 2 Vedere anche Funzionamento di McAfee GTI a pagina 31 Accesso come amministratore a pagina 24 Funzionamento di McAfee GTI Se si attiva McAfee GTI per il programma di scansione all'accesso o su richiesta, il programma di scansione utilizza l'euristica per verificare i file sospetti. Il server McAfee GTI archivia le classificazioni sito e i report per Web Control. Se si configura Web Control per eseguire la scansione dei file scaricati, il programma di scansione utilizza l'euristica per verificare la presenza di file sospetti. Il programma di scansione invia impronte digitali degli esempi o hash, a un server database centrale ospitato da McAfee Labs per stabilire se si tratta di malware. Inviando gli hash, il rilevamento potrebbe essere reso disponibile prima del successivo aggiornamento dei file di contenuto, quando McAfee Labs pubblica l'aggiornamento. È possibile configurare il livello di sensibilità utilizzato da McAfee GTI per stabilire se un esempio rilevato è un malware. Un livello di sensibilità più elevato comporta un maggior numero di rilevamenti di malware. Tuttavia, consentendo l'esecuzione di un elevato numero di rilevamenti è possibile ottenere un maggior numero di risultati falsi positivi. Il livello di sensibilità di McAfee GTI è impostato su Medio per impostazione predefinita. Configurare il livello di sensibilità per ciascun programma di scansione nelle impostazioni del modulo Threat Prevention. Configurare il livello di sensibilità per la scansione dei download di file nelle impostazioni della policy Opzioni . È possibile configurare Endpoint Security per utilizzare un server proxy per recuperare le informazioni di reputazione di McAfee GTI nelle impostazioni del modulo Common. Configurare il comportamento di aggiornamento del Specificare il comportamento per gli aggiornamenti avviati da Endpoint Security Client nelle impostazioni del modulo Common. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. È possibile configurare queste impostazioni solamente nei sistemi autogestiti e gestiti da McAfee ePO. Utilizzare queste impostazioni per configurare se visualizzare o meno il pulsante nel client e cosa aggiornare quando l'utente fa clic sul pulsante o esegue l'attività Aggiornamento client predefinito. Sui sistemi autogestiti, l'attività Aggiornamento client predefinito aggiorna tutti i contenuti e il software. Sui sistemi gestiti, questa attività aggiorna solo i contenuti. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. , selezionare Impostazioni. McAfee Endpoint Security 10 Guida del prodotto 31 2 Uso di Endpoint Security Client Gestione di Endpoint Security 4 Configurare le impostazioni di Aggiornamento client predefinito nella pagina. 5 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. Vedere anche Accesso come amministratore a pagina 24 Configurazione dei siti di origine per gli aggiornamenti client a pagina 32 Pianificazione dell'attività Aggiornamento client predefinito a pagina 33 Configurazione dei siti di origine per gli aggiornamenti client Per i sistemi autogestiti, è possibile configurare i siti dai quali Endpoint Security Client ottiene file di sicurezza aggiornati nelle impostazioni del modulo Common. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. È possibile configurare queste impostazioni solamente nei sistemi autogestiti. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Configurare le impostazioni Siti di origine per gli aggiornamenti nella pagina. , selezionare Impostazioni. È possibile attivare e disattivare i due siti di origine backup predefiniti (NAIFtp e NAIHttp), ma non modificarli, eliminarli o spostarli nell'elenco. Per... Attenersi alla seguente procedura Aggiungere un sito all'elenco. 1 Fare clic su Aggiungi. 2 Specificare le impostazioni del sito. 3 Per salvare le modifiche, fare clic su OK. La regola viene visualizzata all'inizio dell'elenco di regole. Eliminare un sito. 32 McAfee Endpoint Security 10 Selezionare il sito, quindi fare clic su Elimina. Guida del prodotto Uso di Endpoint Security Client Gestione di Endpoint Security Per... Attenersi alla seguente procedura Modificare una regola esistente. 1 Fare doppio clic sul nome del sito. 2 2 Modificare le impostazioni. 3 Per salvare le modifiche, fare clic su OK. Riordinare i siti nell'elenco. Per spostare gli elementi: 1 Selezionare gli elementi da spostare. Il simbolo di spostamento viene visualizzato a sinistra degli elementi che possono essere spostati. 2 Trascinare e rilasciare gli elementi nella nuova posizione. Viene visualizzata una riga blu tra gli elementi dove è possibile rilasciare gli elementi trascinati. L'ordine determina l'ordine utilizzato da Endpoint Security per cercare il sito di aggiornamento. 5 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. Vedere anche Funzionamento dell'attività Aggiornamento client predefinito a pagina 34 Accesso come amministratore a pagina 24 Configurare il comportamento di aggiornamento del a pagina 31 Pianificazione dell'attività Aggiornamento client predefinito a pagina 33 Pianificazione dell'attività Aggiornamento client predefinito È possibile modificare o pianificare l'attività Aggiornamento client predefinito dalle impostazioni di Endpoint Security Client, contenute nel modulo Common. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. È possibile configurare queste impostazioni solamente nei sistemi autogestiti. Utilizzare queste impostazioni per configurare l'esecuzione dell'attività Aggiornamento client predefinito. Vedere Configurare il comportamento di aggiornamento del a pagina 31 per configurare il comportamento predefinito per gli aggiornamenti client avviati da Endpoint Security Client. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Fare clic su Attività. 5 Fare doppio clic su Aggiornamento client predefinito, modificare la pianificazione, quindi fare clic su OK per salvare le modifiche oppure su Annulla. 6 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. , selezionare Impostazioni. McAfee Endpoint Security 10 Guida del prodotto 33 2 Uso di Endpoint Security Client Gestione di Endpoint Security Vedere anche Funzionamento dell'attività Aggiornamento client predefinito a pagina 34 Configurare il comportamento di aggiornamento del a pagina 31 Configurazione dei siti di origine per gli aggiornamenti client a pagina 32 Funzionamento dell'attività Aggiornamento client predefinito L'attività Aggiornamento client predefinito esegue il download della protezione più recente in Endpoint Security Client. Endpoint Security include l'attività Aggiornamento client predefinito che viene eseguita ogni giorno alle 01:00 e ripetuta ogni quattro ore fino alle 23:59. L'attività Aggiornamento client predefinito: 1 Esegue la connessione al primo sito di origine attivato nell'elenco. Se questo sito non è disponibile, l'attività contatta il sito successivo fino a stabilire la connessione o a raggiungere la fine dell'elenco. 2 Scarica un file CATALOG.Z crittografato dal sito. Il file contiene le informazioni necessarie per eseguire l'aggiornamento, compresi i file e gli aggiornamenti disponibili. 3 Verifica le versioni del software contenute nel file confrontandole con quelle presenti nel computer e scarica eventuali nuovi aggiornamenti software disponibili. Se l'attività Aggiornamento client predefinito viene interrotta durante l'aggiornamento: Aggiornamenti da Download interrotto HTTP, UNC o un sito locale All'avvio successivo la scansione verrà ripresa dal punto in cui era stata sospesa. Sito FTP (download di un singolo file) Non riprende se viene interrotta. Sito FTP (download di più file) Riprende prima del file che si trovava in fase di download al momento dell'interruzione. Vedere anche Configurazione dei siti di origine per gli aggiornamenti client a pagina 32 Pianificazione dell'attività Aggiornamento client predefinito a pagina 33 34 McAfee Endpoint Security 10 Guida del prodotto 3 Uso di Threat Prevention Threat Prevention verifica la presenza di virus, spyware, programmi indesiderati e altre minacce eseguendo la scansione degli elementi del computer. Sommario Scansione del computer per individuare malware Gestione dei rilevamenti di minacce Gestione degli elementi in quarantena Gestione di Threat Prevention Scansione del computer per individuare malware Scansione per rilevare malware sul computer selezionando opzioni in Endpoint Security Client o Windows Explorer. Attività • Esecuzione di una scansione completa o di una scansione rapida a pagina 36 Utilizzare Endpoint Security Client per eseguire una scansione completa o una scansione rapida manuale sul computer. • Scansione di un file o una cartella a pagina 38 Fare clic con il pulsante destro del mouse in Windows Explorer per eseguire immediatamente la scansione di un singolo file o cartella che si ritiene possano contenere minacce. Vedere anche Tipi di scansioni a pagina 35 Tipi di scansioni Endpoint Security fornisce due tipi di scansione: scansioni all'accesso e su richiesta. • Scansione all'accesso – L'amministratore configura le scansioni all'accesso per l'esecuzione sui computer gestiti. Per i computer autogestiti, configurare il programma di scansione all'accesso nella pagina Impostazioni. Quando si accede a file, cartelle e programmi, il programma di scansione all'accesso intercetta l'operazione ed esegue la scansione dell'elemento, sulla base dei criteri definiti dall'amministratore. • Scansione su richiesta McAfee Endpoint Security 10 Guida del prodotto 35 3 Uso di Threat Prevention Scansione del computer per individuare malware Manuale L'amministratore (o utente, per i sistemi autogestiti) configura scansioni su richiesta predefinite che gli utenti possono eseguire sui computer gestiti. • Eseguire una scansione su richiesta predefinita in qualsiasi momento da Endpoint Security Client facendo clic su scansione: e selezionando un tipo di Scansione rapida esegue un rapido controllo delle zone del sistema più soggette a infezione. Scansione completa esegue un controllo approfondito di tutte le zone del sistema. (consigliato se si teme che il computer sia infetto.) • Eseguire la scansione di un file o una cartella individuale in qualsiasi momento da Windows Explorer facendo clic con il pulsante destro del mouse su file o cartelle e selezionando Ricerca minacce dal menu popup. Pianificata L'amministratore (o utente, per i sistemi autogestiti) configura e pianifica le scansioni su richiesta per l'esecuzione sui computer. Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security mostra una richiesta di scansione nella parte bassa della schermata. È possibile avviare la scansione immediatamente o ritardarla, se configurato. Per configurare e pianificare le scansioni su richiesta predefinite, rapide e complete: 1 Impostazioni | Scansione su richiesta, scheda Scansione completa o Scansione rapida – Configura scansioni su richiesta. 2 Impostazioni | Common | Attività – Pianifica scansioni su richiesta. Vedere anche Pianificazione delle attività di scansione completa e scansione rapida a pagina 59 Risposta a richiesta di scansione a pagina 19 Esecuzione di una scansione completa o di una scansione rapida Utilizzare Endpoint Security Client per eseguire una scansione completa o una scansione rapida manuale sul computer. Prima di iniziare Il modulo Threat Prevention deve essere installato. Il comportamento della scansione completa e scansione rapida dipende dalla modalità di configurazione delle impostazioni. È possibile modificare e pianificare queste scansioni nelle impostazioni della Scansione su richiesta con le credenziali di amministratore. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su 36 McAfee Endpoint Security 10 . Guida del prodotto Uso di Threat Prevention Scansione del computer per individuare malware 3 3 Nella pagina Esegui scansione del sistema, fare clic su Avvia scansione per la scansione che si desidera eseguire. Scansione completa Esegue un controllo approfondito di tutte le zone del sistema (consigliato se si sospetta che il computer sia infetto). Scansione rapida Esegue un controllo rapido delle zone del sistema più soggette alle infezioni. Se è già in corso una scansione, il pulsante Avvia scansione diventa Visualizza scansione. È inoltre possibile visualizzare il pulsante Visualizza rilevamenti per il programma di scansione all'accesso, in base alla configurazione delle impostazioni e al rilevamento o meno di una minaccia. Fare clic su questo pulsante per aprire la pagina Scansione all'accesso e gestire i rilevamenti in qualsiasi momento. Vedere Gestione dei rilevamenti di minacce a pagina 39. Endpoint Security Client mostra lo stato della scansione su una nuova pagina. La Data creazione AMCore content indica l'ultimo orario di aggiornamento del contenuto. Se la data del contenuto risale a più di due giorni prima, McAfee consiglia di aggiornare la protezione prima di eseguire la scansione. 4 5 Fare clic sui pulsanti nella parte superiore della pagina di stato per controllare la scansione. Sospendi scansione Sospende la scansione prima di terminarla. Riprendi scansione Riprende una scansione sospesa. Annulla scansione Annulla una scansione in esecuzione. Al termine della scansione, nella pagina vengono visualizzati gli eventuali rilevamenti. Nome rilevamento Identifica il nome del malware rilevato. Tipo Mostra il tipo di minaccia. Nome file Identifica il file infetto. Azione Descrive l'ultima azione di sicurezza intrapresa sul file infetto: • Accesso negato • Ripulito • Eliminato • Nessuna L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione su richiesta successiva. 6 Selezionare un rilevamento nella tabella, quindi fare clic su Ripulisci o Elimina per ripulire o eliminare il file infetto. A seconda del tipo di minaccia e delle impostazioni di scansione, queste azioni potrebbero non essere disponibili. 7 Fare clic su Chiudi per chiudere la pagina. Vedere anche Tipi di scansioni a pagina 35 Configurare le impostazioni della policy di scansione su richiesta a pagina 54 Pianificazione delle attività di scansione completa e scansione rapida a pagina 59 Nomi rilevamenti a pagina 41 Aggiornamento manuale di protezione e software a pagina 20 Gestione dei rilevamenti di minacce a pagina 39 McAfee Endpoint Security 10 Guida del prodotto 37 3 Uso di Threat Prevention Scansione del computer per individuare malware Scansione di un file o una cartella Fare clic con il pulsante destro del mouse in Windows Explorer per eseguire immediatamente la scansione di un singolo file o cartella che si ritiene possano contenere minacce. Prima di iniziare Il modulo Threat Prevention deve essere installato. Il comportamento della scansione di scelta rapida dipende dalla modalità di configurazione delle impostazioni. È possibile modificare queste scansioni nelle impostazioni della Scansione su richiesta con le credenziali di amministratore. Attività 1 In Windows Explorer, fare clic con il pulsante destro del mouse sul file o sulla cartella e selezionare Ricerca minacce dal menu popup. Endpoint Security Client mostra lo stato della scansione nella pagina Ricerca minacce. 2 3 Fare clic sui pulsanti nella parte superiore della pagina per controllare la scansione. Sospendi scansione Sospende la scansione prima di terminarla. Riprendi scansione Riprende una scansione sospesa. Annulla scansione Annulla una scansione in esecuzione. Al termine della scansione, nella pagina vengono visualizzati gli eventuali rilevamenti. Nome rilevamento Identifica il nome del malware rilevato. Tipo Mostra il tipo di minaccia. Nome file Identifica il file infetto. Azione Descrive l'ultima azione di sicurezza intrapresa sul file infetto: • Accesso negato • Ripulito • Eliminato • Nessuna L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione su richiesta successiva. 4 Selezionare un rilevamento nella tabella, quindi fare clic su Ripulisci o Elimina per ripulire o eliminare il file infetto. A seconda del tipo di minaccia e delle impostazioni di scansione, queste azioni potrebbero non essere disponibili. 5 Fare clic su Chiudi per chiudere la pagina. Vedere anche Tipi di scansioni a pagina 35 Configurare le impostazioni della policy di scansione su richiesta a pagina 54 Nomi rilevamenti a pagina 41 38 McAfee Endpoint Security 10 Guida del prodotto Uso di Threat Prevention Gestione dei rilevamenti di minacce 3 Gestione dei rilevamenti di minacce In base al tipo di configurazione delle impostazioni, è possibile gestire i rilevamenti di minacce da Endpoint Security Client. Prima di iniziare Il modulo Threat Prevention deve essere installato. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Avvia scansione per aprire la pagina Esegui scansione del sistema. 3 In Scansione all'accesso, fare clic su Visualizza rilevamenti. Questa opzione non è disponibile se l'elenco non contiene rilevamenti o se l'opzione di messaggistica utente è disattivata. L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security o del sistema. 4 Nella pagina Scansione all'accesso, selezionare una di queste opzioni. Pulisci Cerca di ripulire l'elemento (file, voce di registro) e di posizionarlo in quarantena. Endpoint Security utilizza le informazioni del file di contenuto per pulire i file. Se il file di contenuto non dispone di uno strumento di pulizia o il file è stato danneggiato oltre la riparazione, il programma di scansione vi nega l'accesso. In questo caso, McAfee consiglia di eliminare il file dalla quarantena e di ripristinarlo da una copia di backup pulita. Elimina Elimina l'elemento che contiene la minaccia. Rimuovi voce Rimuove la voce dall'elenco di rilevamenti. Chiudi Chiude la pagina di scansione. Se per la minaccia non è disponibile alcuna azione, l'opzione corrispondente è disattivata. Ad esempio, Pulisci non è disponibile se il file è già stato eliminato. L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security o del sistema. Gestione degli elementi in quarantena Endpoint Security salva gli elementi rilevati come minacce nella quarantena. Sugli elementi in quarantena è possibile eseguire azioni. Prima di iniziare Il modulo Threat Prevention deve essere installato. McAfee Endpoint Security 10 Guida del prodotto 39 3 Uso di Threat Prevention Gestione degli elementi in quarantena Ad esempio, è possibile ripristinare un elemento dopo aver scaricato una versione successiva del contenuto, che contiene informazioni in grado di eliminare la minaccia. Gli elementi in quarantena possono includere diversi tipi di oggetti sottoposti a scansione, come file, registri o qualsiasi elemento per il quale Endpoint Security ha eseguito una scansione per rilevare malware. Per assistenza, nel menu Azione , selezionare Guida. Attività 1 Aprire Endpoint Security Client. 2 Fare clic su Quarantena nella parte sinistra della pagina. La pagina mostra tutti gli elementi in quarantena. Se Endpoint Security Client non riesce a stabilire una connessione con il gestore quarantena, viene visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il proprio sistema per visualizzare la pagina Quarantena. 3 4 Selezionare un elemento dal riquadro superiore per visualizzare i dettagli nel riquadro inferiore. Modifica dimensioni relative dei riquadri Fare clic e trascinare il widget scorrevole tra i riquadri. Ordina elementi nella tabella per nome o tipo minaccia Fare clic sull'intestazione colonna della tabella. Nella pagina Quarantena, eseguire azioni sugli elementi selezionati. Elimina elementi dalla quarantena Selezionare gli elementi, fare clic su Elimina, quindi ancora su Elimina per confermare. Gli elementi eliminati non possono essere ripristinati. Ripristina elementi dalla quarantena Selezionare gli elementi, fare clic su Ripristina, quindi ancora su Ripristina per confermare. Endpoint Security ripristina gli elementi nella posizione originale e li rimuove dalla quarantena. Se un elemento costituisce ancora una minaccia valida, Endpoint Security lo reinserisce in quarantena al successivo accesso. 40 Ripeti scansione elementi Selezionare gli elementi, quindi fare clic su Ripeti scansione. Visualizza un elemento nel registro eventi Selezionare un elemento, quindi fare clic sul link Visualizza in registro eventi nel riquadro dei dettagli. Ottieni ulteriori informazioni su una minaccia Selezionare un elemento, quindi fare clic sul link Ulteriori informazioni su questa minaccia nel riquadro dei dettagli. McAfee Endpoint Security 10 Ad esempio, è possibile ripetere la scansione di un elemento dopo aver aggiornato la protezione. Se l'elemento non costituisce più una minaccia, è possibile ripristinarlo nella posizione originale e rimuoverlo dalla quarantena. Viene visualizzata la pagina del registro eventi con l'evento relativo all'elemento selezionato evidenziato. Si apre una nuova finestra del browser nella pagina del sito Web McAfee Labs che riporta ulteriori informazioni sulla minaccia che ha causato l'inserimento in quarantena dell'elemento. Guida del prodotto Uso di Threat Prevention Gestione degli elementi in quarantena 3 Vedere anche Nomi rilevamenti a pagina 41 Apertura di Endpoint Security Client a pagina 17 Aggiornamento manuale di protezione e software a pagina 20 Nomi rilevamenti Minacce riportate dalla quarantena per nome rilevamento. Nome rilevamento Descrizione Adware Genera fatturato visualizzando messaggi pubblicitari indirizzati all'utente. L'adware acquisisce guadagni dal fornitore o dai relativi partner. Alcuni tipi di adware possono acquisire o trasmettere dati personali. Dialer Reindirizza le connessioni Internet verso un corrispondente diverso dall'ISP predefinito dell'utente. Il reindirizzamento è finalizzato a provocare addebiti per la connessione a un fornitore di contenuti, fornitore o terza parte. Joke Finto danneggiamento di un computer, senza addebiti o usi nocivi. I joke non recano danno alla sicurezza o alla privacy, ma potrebbero allarmare o infastidire un utente. Keylogger Intercetta i dati tra l'inserimento da parte dell'utente e l'applicazione di destinazione prevista. I keylogger di trojan horse o programmi potenzialmente indesiderati potrebbero presentare un funzionamento identico. Il software McAfee rileva entrambi i tipi per prevenire violazioni della privacy. Password cracker Consente a un utente o amministratore di recuperare le password smarrite o dimenticate di account o file dati. In mano agli autori di attacchi, questi strumenti consentono di accedere a informazioni riservate e rappresentano una minaccia alla sicurezza e alla privacy. Programma potenzialmente indesiderato Software spesso legittimi (non malware) che possono alterare lo stato di sicurezza o la privacy del sistema. Questo software può essere scaricato insieme a un programma desiderato. Può includere spyware, adware, keylogger, password cracker, strumenti di hacking e dialer. Strumento di amministrazione remota Fornisce a un amministratore il controllo remoto di un sistema. Questi strumenti possono costituire una minaccia significativa per la sicurezza se controllati da un autore di attacchi. Spyware Trasmette informazioni personali a una terza parte senza che l'utente ne sia a conoscenza o fornisca il consenso. Uno spyware sfrutta i computer infetti per acquisire vantaggi commerciali: • Fornendo contenuti pubblicitari pop-up non richiesti • Carpendo i dati personali, comprese le informazioni finanziarie come i numeri delle carte di credito • Monitorando l'attività di navigazione sul Web a scopo di marketing • Indirizzando le richieste HTTP a siti di contenuti pubblicitari Vedere anche Programmi potenzialmente indesiderati. Stealth Si tratta di un tipo di virus che cerca di evitare il rilevamento da parte dei software antivirus. Noto anche come intercettatore di interrupt. Molti virus stealth intercettano le richieste di accesso al disco. In questo modo, quando un'applicazione antivirus cerca di leggere i file o settori di boot per individuare il virus, il virus invia al programma un'immagine "pulita" dell'elemento richiesto. Altri virus nascondono le dimensioni reale di un file infetto e mostrano le dimensioni del file prima dell'infezione. McAfee Endpoint Security 10 Guida del prodotto 41 3 Uso di Threat Prevention Gestione di Threat Prevention Nome rilevamento Descrizione Trojan horse Si tratta di un programma dannoso che finge di essere un'applicazione innocua. Un trojan non esegue repliche ma danneggia o compromette la sicurezza del computer. Generalmente, un computer diventa infetto: • Quando un utente apre un allegato contenente un trojan in un'email. • Quando un utente scarica un trojan da un sito Web. • Networking peer-to-peer. Poiché non eseguono repliche di sé stessi, i trojan non sono considerati virus. Virus Si unisce ai dischi o ad altri file e si replica ripetutamente, generalmente a insaputa o senza il permesso dell'utente. Alcuni virus si uniscono ai file in modo che quando il file infetto viene eseguito, anche il virus va in esecuzione. Altri virus risiedono nella memoria del computer e infettano i file nel momento in cui il computer li apre, modifica o crea. Alcuni virus presentano sintomi, mentre altri danneggiano file e sistemi del computer. Gestione di Threat Prevention In qualità di amministratore, è possibile specificare le impostazioni Threat Prevention per impedire l'accesso di minacce e configurare le scansioni. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO, McAfee ePO Cloud o da SecurityCenter potrebbero sovrascrivere le modifiche apportate dalla pagina Impostazioni. Vedere anche Esclusione di elementi dalla scansione a pagina 42 Rilevamento di programmi potenzialmente indesiderati a pagina 44 Configurare le impostazioni della policy di protezione dell'accesso a pagina 46 Configurare le impostazioni della policy di prevenzione exploit a pagina 48 Configurare le impostazioni della policy di scansione all'accesso a pagina 49 Configurare le impostazioni della policy di scansione su richiesta a pagina 54 Pianificazione delle attività di scansione completa e scansione rapida a pagina 59 Configurazione delle impostazioni di scansione comuni a pagina 59 Esclusione di elementi dalla scansione Threat Prevention consente di selezionare l'elenco di elementi sottoposti a scansione specificando gli elementi da escludere. Ad esempio, potrebbe essere necessario escludere alcuni tipi di file per impedire al programma di scansione di bloccare un file utilizzato da un database o un server. (un file bloccato può causare problemi al database o al server o produrre errori.) 42 Per questa funzione... Specificare gli elementi da escludere Dove eseguire la configurazione Escludi elementi per Utilizzare caratteri jolly? Protezione dell'accesso Processi (per tutte le regole o una regola specificata) Protezione dell'accesso impostazioni Nome processo No Prevenzione exploit Processi Prevenzione exploit impostazioni Nome processo No McAfee Endpoint Security 10 Guida del prodotto 3 Uso di Threat Prevention Gestione di Threat Prevention Per questa funzione... Specificare gli elementi da escludere Dove eseguire la configurazione Escludi elementi per Scansione all'accesso File, tipi di file e cartelle Scansione all'accesso impostazioni Criterio, tipo di Sì file o data del file URL ScriptScan Scansione all'accesso impostazioni Nome URL No Nomi rilevamenti Opzioni impostazioni Nome rilevamento (distinzione tra maiuscole e minuscole) No Programmi potenzialmente indesiderati Opzioni impostazioni Nome Sì File, cartelle e unità Scansione su richiesta impostazioni Criterio, tipo di Sì file o data del file (* e ?) Nomi rilevamenti Opzioni impostazioni Nome rilevamento (distinzione tra maiuscole e minuscole) No Programmi potenzialmente indesiderati Opzioni impostazioni Nome Sì • Predefinito • Rischio elevato • Rischio basso Scansione su richiesta • Scansione rapida • Scansione completa • Scansione di scelta rapida Utilizzare caratteri jolly? Vedere anche Caratteri jolly nelle esclusioni di scansione a pagina 43 Caratteri jolly nelle esclusioni di scansione È possibile utilizzare caratteri jolly per rappresentare i caratteri nelle esclusioni per le scansioni di file, cartelle e programmi potenzialmente indesiderati. Tabella 3-1 Caratteri jolly validi Carattere jolly Nome ? Rappresenta Punto interrogativo Singolo carattere. Questo carattere jolly verrà applicato solo se il numero di caratteri corrisponde alla lunghezza del nome del file o della cartella. Ad esempio: L'esclusione W?? esclude WWW, ma non WW o WWWW. * Asterisco Caratteri multipli. ** Doppio asterisco Zero o più caratteri qualsiasi, inclusa la barra rovesciata (\). Questo carattere jolly corrisponde a zero o più caratteri. Ad esempio: C:\ABC\**\XYZ corrisponde a C:\ABC\DEF\XYZ e C: \ABC\XYZ. I caratteri jolly possono essere visualizzati davanti a barre rovesciate (\) nei percorsi. Ad esempio, il percorso C:\ABC\*\XYZ corrisponde a C:\ABC\DEF\XYZ. McAfee Endpoint Security 10 Guida del prodotto 43 3 Uso di Threat Prevention Gestione di Threat Prevention Rilevamento di programmi potenzialmente indesiderati Per proteggere il computer gestito da programmi potenzialmente indesiderati, è necessario configurare i file e i programmi da rilevare nell'ambiente, quindi attivare il rilevamento. I programmi potenzialmente indesiderati sono programmi software fastidiosi o in grado di alterare lo stato di protezione oppure i criteri di riservatezza del sistema. I programmi potenzialmente indesiderati possono essere contenuti in programmi scaricati intenzionalmente dall'utente. I programmi potenzialmente indesiderati possono includere spyware, adware e dialer. 1 Specificare i programmi indesiderati personalizzati che i programmi di scansione all'accesso e su richiesta dovranno rilevare nelle impostazioni della policy Opzioni. 2 Attivare il rilevamento dei programmi indesiderati e specificare quali azioni intraprendere quando si verificano dei rilevamenti nelle seguenti impostazioni: • Impostazioni della policy di scansione all'accesso • Impostazioni della policy di scansione su richiesta Vedere anche Specificare programmi potenzialmente indesiderati personalizzati da rilevare a pagina 44 Attivazione e configurazione di rilevamenti di programmi potenzialmente indesiderati e risposte a pagina 45 Configurare le impostazioni della policy di scansione all'accesso a pagina 49 Configurare le impostazioni della policy di scansione su richiesta a pagina 54 Specificare programmi potenzialmente indesiderati personalizzati da rilevare Specificare i programmi aggiuntivi che i programmi di scansione all'accesso e su richiesta dovranno gestire come indesiderati nelle impostazioni della policy Opzioni. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. I programmi di scansione rilevano i programmi specificati dall'utente e quelli specificati nei file AMCore content. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Threat Prevention nella pagina Stato principale. In alternativa, dal menu Azione pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Threat Prevention nella 3 Fare clic su Mostra Avanzate. 4 Fare clic su Opzioni. 5 Da Rilevamenti di programmi potenzialmente indesiderati: • Fare clic su Aggiungi per specificare il nome e la descrizione facoltativa di singoli file o programmi da rilevare come programmi potenzialmente indesiderati. Quando viene effettuato un rilevamento, la descrizione compare come nome rilevamento. 44 McAfee Endpoint Security 10 Guida del prodotto Uso di Threat Prevention Gestione di Threat Prevention 3 • Fare doppio clic sul nome o la descrizione di un programma potenzialmente indesiderato esistente per modificarli. • Selezionare un programma potenzialmente indesiderato esistente, quindi fare clic su Elimina per rimuoverlo dall'elenco. Vedere anche Accesso come amministratore a pagina 24 Attivazione e configurazione di rilevamenti di programmi potenzialmente indesiderati e risposte Attivare il rilevamento di programmi potenzialmente indesiderati e specificare le risposte in caso di rilevamento da parte dei programmi di scansione all'accesso e su richiesta. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Configurare le impostazioni della policy di scansione all'accesso. a Aprire Endpoint Security Client. b Fare clic su Threat Prevention nella pagina Stato principale. In alternativa, dal menu Azione pagina Impostazioni. 2 , selezionare Impostazioni, quindi fare clic su Threat Prevention nella c Fare clic su Mostra Avanzate. d Fare clic su Scansione all'accesso. e In Impostazioni per i processi, per ciascun tipo di scansione all'accesso, selezionare Rileva programmi indesiderati. f In Azioni, configurare le risposte a programmi indesiderati. Configurare le impostazioni della policy di scansione su richiesta. a Aprire Endpoint Security Client. b Fare clic su Threat Prevention nella pagina Stato principale. In alternativa, dal menu Azione pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Threat Prevention nella c Fare clic su Mostra Avanzate. d Fare clic su Scansione su richiesta. e Per ciascun tipo di scansione (scansione completa, scansione rapida e scansione di scelta rapida): • Selezionare Rileva programmi indesiderati. • In Azioni, configurare le risposte a programmi indesiderati. Vedere anche Configurare le impostazioni della policy di scansione all'accesso a pagina 49 Configurare le impostazioni della policy di scansione su richiesta a pagina 54 Accesso come amministratore a pagina 24 McAfee Endpoint Security 10 Guida del prodotto 45 3 Uso di Threat Prevention Gestione di Threat Prevention Configurare le impostazioni della policy di protezione dell'accesso Utilizzare le regole delle impostazioni della policy di protezione dell'accesso per proteggere i punti di accesso del sistema. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. È possibile attivare, disattivare e modificare queste regole, ma non è possibile eliminarle. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Threat Prevention nella pagina Stato principale. In alternativa, dal menu Azione pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Threat Prevention nella 3 Fare clic su Mostra Avanzate. 4 Fare clic su Protezione dell'accesso. 5 Verificare che la protezione dell'accesso sia attivata. La protezione dell'accesso viene attivata per impostazione predefinita. 6 Nella sezione Esclusioni, aggiungere processi da escludere da tutte le regole. Utilizzare il nome esatto del processo. Ad esempio, specificare le seguenti esclusioni: avtask.exe, cfgwiz.exe, fssm32.exe, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe. La protezione dell'accesso consente di accedere ai processi specificati. 7 Nella sezione Regole, selezionare Blocca, Segnala o entrambe le opzioni per ogni regola. Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga. Per disattivare una regola, deselezionare entrambe le azioni Blocca e Segnala. 8 Selezionare una regola, fare clic su Aggiungi, quindi immettere un processo da escludere dalla regola selezionata. 9 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. Vedere anche Accesso come amministratore a pagina 24 Protezione dei punti di accesso al sistema La prima linea di difesa contro i malware consiste nella protezione dei punti di accesso al sistema dall'ingresso di minacce. La protezione dell'accesso impedisce che il computer gestito subisca 46 McAfee Endpoint Security 10 Guida del prodotto 3 Uso di Threat Prevention Gestione di Threat Prevention modifiche indesiderate mediante la limitazione dell'accesso a porte, file, condivisioni, nonché chiavi e valori di registro specificati. La protezione dell'accesso utilizza regole per riportare o bloccare l'accesso agli elementi. Il programma di scansione all'accesso confronta un'azione richiesta con l'elenco di regole configurate e agisce secondo la regola. Il programma di scansione all'accesso deve essere attivato per rilevare tentativi di accesso a porte, file, condivisioni e chiavi e valori di registro. Modalità di accesso delle minacce Le minacce accedono al sistema tramite diversi punti di accesso. Punto di accesso Descrizione Macro Come parte dei documenti di elaboratori di testo e delle applicazioni di fogli elettronici. File eseguibili Programmi apparentemente innocui che insieme al programma previsto possono contenere virus. Alcune estensioni di file comuni sono .EXE, .COM, .VBS, .BAT, .HLP e .DLL. Script Associati a pagine Web ed email, gli script, come ad esempio ActiveX e JavaScript, se eseguiti possono contenere virus. Messaggi Internet Relay Chat (IRC) File inviati con questi messaggi possono facilmente contenere malware. Ad esempio, i processi ad avvio automatico possono contenere minacce quali worm e cavalli di Troia. File della guida del browser e delle applicazioni Il download di questi file della Guida espone il sistema a virus ed eseguibili incorporati. Email Scherzi, giochi e immagini vengono inviati come parte di messaggi email con allegati. Combinazione di tutti questi punti di accesso Autori di programmi malware sofisticati combinano tutti questi metodi di invio delle minacce e incorporano persino programmi malware uno dentro l'altro per tentare di accedere al computer gestito. Modalità di arresto delle minacce da parte della protezione dell'accesso La protezione dell'accesso arresta le potenziali minacce gestendo le azioni in base alle regole di protezione predefinite . Threat Prevention segue questo processo di base per fornire la protezione dell'accesso. Quando si verifica una minaccia Quando un utente o un processo agisce: 1 La protezione dell'accesso esamina l'azione in base a regole definite. 2 Se l'azione viola una regola, la protezione dell'accesso gestisce l'azione utilizzando le informazioni nelle regole configurate. 3 La protezione dell'accesso aggiorna il file di registro e genera e invia un evento al server gestito, se gestito. Esempio di minaccia all'accesso 1 Un utente scarica un programma legittimo (non malware), ad esempio MyProgram.exe, da Internet. 2 L'utente avvia il programma MyProgram.exe che sembra partire nel modo previsto. McAfee Endpoint Security 10 Guida del prodotto 47 3 Uso di Threat Prevention Gestione di Threat Prevention 3 MyProgram.exe avvia un processo figlio, denominato AnnoyMe.exe. 4 AnnoyMe.exe tenta di modificare il sistema operativo per assicurarsi che venga sempre caricato all'avvio. 5 La protezione dell'accesso elabora la richiesta e la confronta con una regola esistente che è configurata per bloccare le minacce e inviare un report. 6 La protezione dell'accesso impedisce ad AnnoyMe.exe di modificare il sistema operativo e registra i dettagli del tentativo. La protezione dell'accesso, inoltre, genera e invia un avviso al server di gestione. Configurare le impostazioni della policy di prevenzione exploit Per impedire l'esecuzione di codice arbitrario da parte delle applicazioni sul computer personale, configurare le impostazioni della policy di prevenzione exploit. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Threat Prevention nella pagina Stato principale. In alternativa, dal menu Azione pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Threat Prevention nella 3 Fare clic su Mostra Avanzate. 4 Fare clic su Prevenzione exploit. 5 Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su Annulla. Vedere anche Accesso come amministratore a pagina 24 Blocco degli exploit da overflow del buffer Prevenzione exploit impedisce l'esecuzione di codici arbitrari da parte di overflow del buffer interessati da exploit. La funzione controlla le chiamate all'API della modalità utente e riconosce se sono il risultato di un overflow del buffer. Al verificarsi di un rilevamento, le informazioni vengono memorizzate nel registro attività, visualizzate nel sistema client e inviate al server di gestione, se configurato. Threat Prevention si serve dei file di contenuto di prevenzione degli exploit per proteggere applicazioni come Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word e MSN Messenger. 48 McAfee Endpoint Security 10 Guida del prodotto Uso di Threat Prevention Gestione di Threat Prevention 3 Modalità di verifica dell'exploit di overflow del buffer Gli autori dell'attacco sfruttano gli exploit di overflow del buffer per avviare codice eseguibile tramite l'overflow dei buffer di memoria di dimensioni fisse per un processo di input. Tale codice consente all'autore dell'attacco di assumere il controllo del computer bersaglio o di comprometterne i dati. Oltre il 25% degli attacchi malware è costituito da attacchi di overflow del buffer che cercano di sovrascrivere la memoria adiacente nello stack frame. Esistono due tipologie di exploit di overflow del buffer: • Gli attacchi basati su stack utilizzano gli oggetti della memoria stack per memorizzare l'input dell'utente e sono i più comuni. • Gli attacchi basati su heap occupano lo spazio di memoria riservato a un programma, ma sono rari. L'oggetto della memoria stack di dimensioni fisse è in genere vuoto e in attesa dell'input dell'utente. Quando un programma riceve l'input dell'utente, i dati vengono memorizzati nella parte superiore dello stack e viene loro assegnato un indirizzo di memoria di restituzione. Quando lo stack viene elaborato, l'input dell'utente viene inviato all'indirizzo di restituzione specificato dal programma. Di seguito viene fornita una descrizione degli attacchi tramite overflow del buffer basati su stack: 1 Overflow dello stack. Quando il programma viene compilato, una quantità di spazio di memoria specifica viene riservata ai dati. Gli overflow dello stack si verificano se la quantità di dati scritti supera lo spazio a essi riservato nello stack della memoria. Questo rappresenta un problema solo quando è presente un input pericoloso. 2 Exploit dell'overflow. Il programma attende l'input dell'utente. Se l'autore dell'attacco digita un comando eseguibile che supera la dimensione dello stack, tale comando viene salvato al di fuori dello spazio riservato. 3 Esecuzione del malware. Il comando non viene eseguito automaticamente perché supera la quantità di spazio disponibile nel buffer dello stack. Prima il programma inizia ad arrestarsi in modo anomalo a causa dell'overflow del buffer. Se l'autore dell'attacco ha fornito un indirizzo di memoria di restituzione che fa riferimento al comando dannoso, il programma cerca di recuperarlo utilizzando l'indirizzo di restituzione. Se l'indirizzo di restituzione è un indirizzo valido, il comando dannoso viene eseguito. 4 Exploit delle autorizzazioni. Il malware viene ora eseguito con le stesse autorizzazioni dell'applicazione compromessa. Poiché i programmi vengono in genere eseguiti in modalità kernel o con autorizzazioni ereditate da un account di servizio, l'autore dell'attacco ora è in grado di controllare completamente il sistema operativo. Configurare le impostazioni della policy di scansione all'accesso Queste impostazioni attivano e configurano la scansione all'accesso e ciò include la specifica di messaggi da inviare al rilevamento di una minaccia e diverse impostazioni basate sul tipo di processo. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Consultare le impostazioni Common per maggiori opzioni di configurazione. McAfee Endpoint Security 10 Guida del prodotto 49 3 Uso di Threat Prevention Gestione di Threat Prevention Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Threat Prevention nella pagina Stato principale. In alternativa, dal menu Azione pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Threat Prevention nella 3 Fare clic su Mostra Avanzate. 4 Fare clic su Scansione all'accesso. 5 Selezionare Attiva scansione all'accesso per attivare il programma di scansione all'accesso e modificare le opzioni. 6 Specificare se utilizzare le impostazioni Standard per tutti i processi o diverse impostazioni per i processi con rischio basso ed elevato. 7 • Impostazioni standard – Configurare le impostazioni di scansione nella scheda Standard. • Diverse policy basate sul tipo di processo – Selezionare la scheda (Standard, Rischio elevato o Rischio basso) e configurare le impostazioni di scansione per ciascun tipo di processo. Fare clic su Applica per salvare le modifiche o fare clic su Annulla. Vedere anche Accesso come amministratore a pagina 24 Configurazione delle impostazioni di scansione comuni a pagina 59 Funzionamento della scansione all'accesso Il programma di scansione all'accesso si integra con i livelli più bassi del sistema (driver di filtro del file system) ed esegue la scansione dei file nel punto in cui entrano nel sistema. Il programma di scansione all'accesso consegna notifiche all'interfaccia del servizio di sistema in caso di rilevamenti. Quando viene eseguito un tentativo di apertura o chiusura di un file, il programma di scansione intercetta l'operazione e intraprende le azioni seguenti: 1 Il programma di scansione determina se sottoporre l'elemento a scansione in base ai criteri seguenti: • L'estensione del file corrisponde a quanto indicato nella configurazione. • Il file non è stato memorizzato nella cache, escluso o esaminato in precedenza. Se si configura McAfee GTI, il programma di scansione utilizza l'euristica per verificare la presenza di file sospetti. 2 50 Se il file soddisfa il criterio di scansione, ne viene eseguita la scansione confrontando le firme contenute nell'elemento con le firme dei file AMCore content correntemente caricati. • Se il file non è infetto, il risultato viene memorizzato nella cache e l'accesso viene consentito in lettura o scrittura. • Se il file contiene una minaccia, l'operazione viene negata e viene intrapresa l'azione configurata. McAfee Endpoint Security 10 Guida del prodotto Uso di Threat Prevention Gestione di Threat Prevention 3 Ad esempio, se l'azione è quella di ripulire il file, il programma di scansione: 1 Utilizza le informazioni del file AMCore content correntemente caricato per ripulire il file. 2 Registra i risultati nel registro attività. 3 Invia una notifica all'utente a proposito del rilevamento di una minaccia nel file e include l'azione intrapresa (pulizia o eliminazione del file). Windows 8 – Se il programma di scansione rileva una minaccia nel percorso di un'app Windows Store, il programma di scansione la contrassegna come alterata. Windows 8 aggiunge il contrassegno di alterazione al riquadro dell'app. Quando si cerca di eseguirla, Windows informa l'utente del problema e lo reindirizza a Windows Store per la reinstallazione. 3 Se il file non soddisfa i requisiti di scansione, il programma di scansione lo memorizza nella cache e approva l'operazione. L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security o del sistema. McAfee Endpoint Security 10 Guida del prodotto 51 3 Uso di Threat Prevention Gestione di Threat Prevention Threat Prevention scarica la cache di scansione globale ed esegue nuovamente la scansione di tutti i file quando: • La configurazione della scansione all'accesso subisce modifiche. • È stato aggiunto un file Extra.DAT. Scansione durante la scrittura su disco, la lettura dal disco o consentire a McAfee di decidere È possibile specificare quando il programma di scansione all'accesso deve eseguire la scansione dei file: durante la scrittura su disco, durante la lettura dal disco o consentire a McAfee di decidere quando eseguire la scansione. Quando i file vengono scritti sul disco, il programma di scansione all'accesso esegue la scansione di questi file: • File in ingresso che vengono scritti sul disco rigido locale. • File creati sul disco rigido locale o su un'unità di rete mappata, se attivata (compresi i file nuovi, modificati o copiati/spostati da un'unità all'altra). Quando i file vengono letti dal disco, il programma di scansione esegue la scansione di questi file: • File in uscita che vengono letti dal disco rigido locale o dalle unità di rete mappate (se attivate). • Qualsiasi file che tenta di eseguire un processo sul disco rigido locale. • File aperti sul disco rigido locale. Se si consente a McAfee di decidere se un file deve essere sottoposto a scansione, il programma di scansione all'accesso utilizza la logica di affidabilità per ottimizzare la scansione. La logica di affidabilità migliora la sicurezza e le prestazioni evitando scansioni non necessarie. Ad esempio, McAfee analizza e considera alcuni programmi come affidabili. Se McAfee verifica che questi programmi non sono stati alterati, il programma di scansione potrebbe eseguire una scansione ridotta o ottimizzata. Scansione degli script Il programma di scansione script di Threat Prevention agisce come componente proxy nel Windows Script Host nativo, intercettando ed eseguendo la scansione di script prima della loro esecuzione. Ad esempio: • Se lo script è pulito, il programma di scansione script passa lo script al Windows Script Host nativo. • Se invece contiene una minaccia potenziale, lo script non viene eseguito. Se ScriptScan è disattivato all'avvio di Internet Explorer e viene attivato in seguito, non rileva gli script dannosi nell'istanza di Internet Explorer. È necessario riavviare Internet Explorer dopo aver attivato ScriptScan affinché rilevi gli script dannosi. Deselezionare questa opzione per consentire al computer client di utilizzare le esclusioni specificate in questa attività e le esclusioni specificate localmente sul client. 52 McAfee Endpoint Security 10 Guida del prodotto Uso di Threat Prevention Gestione di Threat Prevention 3 È possibile specificare siti Web da escludere dall'ispezione se questi utilizzano degli script. Sui sistemi Windows Server 2008, le esclusioni degli URL ScriptScan non funzionano con Windows Internet Explorer, a meno che non si selezionino estensioni di browser di terze parti e si riavvii il sistema. Consultare l'articolo della KnowledgeBase KB69526. Come stabilire le impostazioni di scansione per i processi Seguire questa procedura per determinare se configurare diverse impostazioni in base al tipo di processo. McAfee Endpoint Security 10 Guida del prodotto 53 3 Uso di Threat Prevention Gestione di Threat Prevention Configurare le impostazioni della policy di scansione su richiesta Queste impostazioni consentono di configurare il comportamento di tre scansioni su richiesta predefinite: Scansione completa, Scansione rapida e Scansione di scelta rapida. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Consultare le impostazioni Common per maggiori opzioni di configurazione. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Threat Prevention nella pagina Stato principale. In alternativa, dal menu Azione pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Threat Prevention nella 3 Fare clic su Mostra Avanzate. 4 Fare clic su Scansione su richiesta. 5 Fare clic su una scheda per configurare le impostazioni per la scansione specificata. 6 • Scansione completa • Scansione rapida • Scansione di scelta rapida Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su Annulla. Vedere anche Accesso come amministratore a pagina 24 Configurazione delle impostazioni di scansione comuni a pagina 59 Pianificazione delle attività di scansione completa e scansione rapida a pagina 59 Modalità di funzionamento della scansione su richiesta Il programma di scansione su richiesta esamina file, cartelle, memoria e registro del sistema alla ricerca di eventuali malware che avrebbero potuto infettare il sistema. Il momento e la frequenza di esecuzione delle scansioni su richiesta vengono stabiliti dall'utente. È possibile eseguire la scansione del sistema manualmente, a un orario pianificato o all'avvio. 1 Il programma di scansione su richiesta applica i seguenti criteri per stabilire se l'elemento deve essere sottoposto a scansione: • L'estensione del file corrisponde a quanto indicato nella configurazione. • Il file non è stato memorizzato nella cache, escluso o esaminato in precedenza (se il programma di scansione utilizza una cache di scansione). Se si configura McAfee GTI, il programma di scansione utilizza l'euristica per verificare la presenza di file sospetti. 54 McAfee Endpoint Security 10 Guida del prodotto Uso di Threat Prevention Gestione di Threat Prevention 2 3 Se il file soddisfa il criterio di scansione, ne viene eseguita la scansione confrontando le informazioni contenute nell'elemento con le firme di malware note nei file AMCore content correntemente caricati. • Se il file è pulito, il risultato viene inserito nella cache e viene eseguita la verifica del successivo elemento. • Se il file contiene una minaccia, il programma di scansione applica l'azione configurata. Ad esempio, se l'azione è quella di ripulire il file, il programma di scansione: 1 Utilizza le informazioni del file AMCore content correntemente caricato per ripulire il file. 2 Registra i risultati nel registro attività. 3 Invia una notifica all'utente a proposito del rilevamento di una minaccia nel file e include il nome dell'elemento e l'azione intrapresa. Windows 8 – Se il programma di scansione rileva una minaccia nel percorso di un'app Windows Store, il programma di scansione la contrassegna come alterata. Windows 8 aggiunge il contrassegno di alterazione al riquadro dell'app. Quando si cerca di eseguirla, Windows informa l'utente del problema e lo reindirizza a Windows Store per la reinstallazione. 3 Se l'elemento non soddisfa i requisiti di scansione, il programma di scansione non lo controlla. Anzi, il programma continua fino ad aver eseguito la scansione di tutti i dati. McAfee Endpoint Security 10 Guida del prodotto 55 3 Uso di Threat Prevention Gestione di Threat Prevention L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione su richiesta successiva. Threat Prevention scarica la cache di scansione globale ed esegue nuovamente la scansione di tutti i file al caricamento di un Extra.DAT. Riduzione dell'impatto delle scansioni sugli utenti Per minimizzare l'impatto delle scansioni su richiesta su un sistema, specificare le opzioni delle prestazioni durante la configurazione delle scansioni. Esegui scansione solo quando il sistema è inattivo Il modo più semplice per accertarsi che la scansione non abbia effetti sugli utenti e quello di eseguire una scansione su richiesta solo quando il computer è inattivo. Quando questa opzione è selezionata, Threat Prevention mette in pausa la scansione quando rileva attività del disco o dell'utente, come l'accesso mediante tastiera o mouse. Threat Prevention riprende la scansione dopo tre minuti dall'ultimo accesso al sistema da parte dell'utente. 56 McAfee Endpoint Security 10 Guida del prodotto 3 Uso di Threat Prevention Gestione di Threat Prevention È inoltre possibile: • Consentire agli utenti di riprendere le scansioni messe in pausa a causa di attività dell'utente. • Ripristinare l'esecuzione della scansione solo quando il sistema è inattivo. McAfee consiglia di disattivare questa opzione sui sistemi server e i sistemi ai quali gli utenti accedono solamente tramite connessione desktop remota (RDP). Threat Prevention dipende da McTray per stabilire se il sistema è inattivo. Sui sistemi ai quali si accede solamente tramite RDP, McTray non viene avviato e il programma di scansione su richiesta non viene mai eseguito. Per aggirare questo problema, gli utenti possono avviare McTray (in C:\Program Files \McAfee\Agent\mctray.exe, per impostazione predefinita) manualmente quando accedono tramite RDP. Selezionare Scansiona solo quando il sistema è inattivo nella sezione Prestazioni delle impostazioni attività client di scansione su richiesta. Mettere in pausa le scansioni automaticamente Per migliorare le prestazioni, è possibile mettere in pausa le scansioni su richiesta quando la batteria è quasi esaurita. È inoltre possibile mettere in pausa la scansione quando un'applicazione, come un browser, programma di riproduzione multimediale o una presentazione, vengono eseguiti in modalità a schermo intero. La scansione riprende immediatamente quando il sistema viene connesso all'alimentazione o non si trova più in modalità a schermo intero. Selezionare queste opzioni nella sezione Prestazioni delle impostazioni attività client di scansione su richiesta: • Non eseguire la scansione quando il sistema è alimentato a batteria • Non eseguire la scansione quando il sistema è in modalità presentazione (disponibile quando Scansiona in qualsiasi momento è selezionato) Consentire agli utenti di rinviare le scansioni Se si sceglie Scansiona in qualsiasi momento, è possibile consentire agli utenti di rinviare le scansioni pianificate in incrementi di un'ora, fino a 24 ore, o per sempre. Ciascun rinvio dell'utente può durare un'ora. Ad esempio, se l'opzione Numero massimo di ore di rinvio da parte dell'utente è impostata su 2, l'utente può rinviare l'attività di scansione per due volte (due ore). Quando il numero di ore massimo specificato scade, la scansione riprende. Se si consente di configurare rinvii illimitati impostando l'opzione sul valore zero, l'utente potrà continuare a rinviare la scansione a tempo indeterminato. Selezionare L'utente può rinviare le scansioni nella sezione Prestazioni delle impostazioni attività client di scansione su richiesta. Limitazione dell'attività di scansione con scansioni incrementali Utilizzare scansioni incrementale o recuperabiliper impostare un limite di tempo per il verificarsi dell'attività di scansione su richiesta e di eseguire la scansione dell'intero sistema in più sessioni. Per utilizzare la scansione incrementale aggiungere un limite di tempo alla scansione pianificata. La scansione si interrompe quando viene raggiunto il limite. Al successivo avvio, questa attività riprenderà dal punto nel file e nella struttura della cartella in cui la scansione precedente si era interrotta. Selezionare Termina l'attività se eseguita per oltre nella categoria Timeout per l'attività di scansione su richiesta. Vedere Pianificazione delle attività di scansione completa e scansione rapida a pagina 59. McAfee Endpoint Security 10 Guida del prodotto 57 3 Uso di Threat Prevention Gestione di Threat Prevention Configurazione dell'utilizzo del sistema L'utilizzo del sistema specifica la quantità di tempo della CPU che il programma di scansione riceve durante la scansione. Per i sistemi con attività dell'utente finale, impostare l'utilizzo del sistema su Basso. Selezionare Utilizzo del sistema nella sezione Prestazioni delle impostazioni attività client di scansione su richiesta. Vedere anche Configurare le impostazioni della policy di scansione su richiesta a pagina 54 Pianificazione delle attività di scansione completa e scansione rapida a pagina 59 Modalità di funzionamento dell'utilizzo del sistema Il programma di scansione su richiesta utilizza l'impostazione di priorità di Windows per la priorità dei processi di scansione e dei thread. L'impostazione di utilizzo del sistema (limitazione delle richieste) consente al sistema operativo di impostare la quantità di tempo della CPU che il programma di scansione su richiesta riceve durante il processo di scansione. Se si imposta l'utilizzo del sistema per la scansione su un valore basso, aumentano le prestazioni delle altre applicazioni in esecuzione. L'impostazione sul livello basso è utile per i sistemi con attività dell'utente finale. Di contro, impostando l'utilizzo del sistema su un valore normale, la scansione viene eseguita più rapidamente. L'impostazione normale è utile per i sistemi che dispongono di grandi volumi e una minima attività dell'utente finale. Ogni attività viene eseguita in maniera indipendente e senza considerare i limiti impostati per le altre attività. Tabella 3-2 Impostazioni processo predefinite Impostazione processo Questa opzione... Threat Prevention Impostazione della priorità di Windows Basso Fornisce prestazioni migliori per le altre Basso applicazioni in uso. Selezionare questa opzione per i sistemi con attività dell'utente finale. Al di sotto del normale Imposta l'utilizzo di sistema per la scansione sul valore McAfee ePO predefinito. Al di sotto del normale Normale (predefinito) Consente di completare la scansione più rapidamente. Selezionare questa opzione per i sistemi che dispongono di grandi volumi e una minima attività dell'utente finale. Normale Modalità di funzionamento della scansione dell'archivio remoto È possibile configurare il programma di scansione su richiesta per eseguire la scansione del contenuto dei file gestiti dall'archivio remoto. L'archivio remoto monitora la quantità di spazio disponibile nel sistema locale. Quando necessario, l'archivio remoto esegue una migrazione automatica del contenuto (dati) da file qualificati del sistema client a un dispositivo di archiviazione, come una libreria di nastri. Quando un utente apre un file i cui dati sono stati migrati, l'archivio remoto recupera automaticamente i dati dal dispositivo di archiviazione. Selezionare l'opzione Esegui la scansione di file migrati in archivio per configurare il programma di scansione su richiesta per eseguire la scansione di file gestiti dall'archivio remoto. Quando il programma di scansione incontra un file il cui contenuto è stato migrato, il file viene ripristinato nel sistema locale prima della scansione. Per ulteriori informazioni, vedere What is Remote Storage. 58 McAfee Endpoint Security 10 Guida del prodotto Uso di Threat Prevention Gestione di Threat Prevention 3 Pianificazione delle attività di scansione completa e scansione rapida È possibile pianificare le attività di scansione completa e scansione rapida predefinite da Endpoint Security Client nel modulo Common. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Utilizzare queste impostazioni per configurare l'esecuzione delle attività di scansione completa e scansione rapida. Vedere Configurare le impostazioni della policy di scansione su richiesta a pagina 54 per configurare il comportamento predefinito delle scansioni avviate da Endpoint Security Client. È possibile configurare queste impostazioni solamente nei sistemi autogestiti. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Fare clic su Attività. 5 Fare doppio clic su Scansione completa o Scansione rapida, modificare la pianificazione, quindi fare clic su OK per salvare le modifiche oppure su Annulla. 6 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. , selezionare Impostazioni. Vedere anche Accesso come amministratore a pagina 24 Configurare le impostazioni della policy di scansione su richiesta a pagina 54 Configurazione delle impostazioni di scansione comuni Per specificare le impostazioni che si applicano sia alle scansioni all'accesso sia su richiesta, configurare le impostazioni della policy delle Opzioni . Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Queste impostazioni si applicano a tutte le scansioni: • Posizione di quarantena e numero di giorni in cui gli elementi resteranno in quarantena prima di essere automaticamente eliminati • Nomi dei rilevamenti da escludere dalle scansioni • Programmi potenzialmente indesiderati da rilevare, come spyware e adware McAfee Endpoint Security 10 Guida del prodotto 59 3 Uso di Threat Prevention Gestione di Threat Prevention Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Threat Prevention nella pagina Stato principale. In alternativa, dal menu Azione pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Threat Prevention nella 3 Fare clic su Mostra Avanzate. 4 Fare clic su Opzioni. 5 Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su Annulla. Vedere anche Accesso come amministratore a pagina 24 Configurare le impostazioni della policy di scansione all'accesso a pagina 49 Configurare le impostazioni della policy di scansione su richiesta a pagina 54 60 McAfee Endpoint Security 10 Guida del prodotto 4 Utilizzo del Firewall Il Firewall agisce come filtro tra il computer e la rete o Internet. Sommario Funzionamento di Firewall Gestione di Firewall Funzionamento di Firewall Firewall esegue la scansione di tutto il traffico in ingresso e in uscita. Poiché esamina il traffico in ingresso e in uscita, Firewall controlla i relativi elenchi di regole, che sono costituiti da una serie di criteri con azioni associate. Se il traffico corrisponde a tutti i criteri di una regola, Firewall agisce secondo la regola, bloccando o consentendo il traffico attraverso Firewall. Le informazioni sui rilevamenti delle minacce vengono salvate nei rapporti inviati all'amministratore per la notifica di qualsiasi problema di sicurezza per il computer. Le regole e opzioni Firewall definiscono il funzionamento del Firewall. I gruppi di regole organizzano le regole firewall per una gestione semplificata. Se la Modalità interfaccia client è impostata su Accesso completo oppure è stato effettuato l'accesso come amministratore, è possibile configurare regole e gruppi utilizzando Endpoint Security Client. Per i sistemi gestiti, le regole e i gruppi creati potrebbero essere sovrascritti quando l'amministratore distribuisce una policy aggiornata. Vedere anche Configurazione delle opzioni Firewall a pagina 62 Funzionamento delle regole firewall a pagina 64 Funzionamento dei gruppi di regole firewall a pagina 66 Gestione di Firewall In qualità di amministratore, è possibile configurare opzioni Firewall e creare regole e gruppi in Endpoint Security Client. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO, McAfee ePO Cloud o da SecurityCenter potrebbero sovrascrivere le modifiche apportate dalla pagina Impostazioni. Vedere anche Modifica delle opzioni Firewall a pagina 62 Creazione e gestione di regole e gruppi Firewall a pagina 70 McAfee Endpoint Security 10 Guida del prodotto 61 4 Utilizzo del Firewall Gestione di Firewall Modifica delle opzioni Firewall In qualità di amministratore, è possibile modificare le opzioni Firewall da Endpoint Security Client. Attività • Configurazione delle opzioni Firewall a pagina 62 Configurare le impostazioni nella Opzioni di disattivare e attivare la protezione firewall, attivare la modalità adattiva e configurare altre opzioni Firewall. • Blocco del traffico DNS a pagina 62 Per affinare la protezione firewall, creare un elenco di FQDN da bloccare. Firewall blocca le connessioni agli indirizzi IP spostandole ai nomi di dominio. Vedere anche FAQ – McAfee GTI e Firewall a pagina 63 Configurazione delle opzioni Firewall Configurare le impostazioni nella Opzioni di disattivare e attivare la protezione firewall, attivare la modalità adattiva e configurare altre opzioni Firewall. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. , selezionare Impostazioni, quindi fare clic su Firewall nella pagina 3 Selezionare Attiva Firewall per attivare il Firewall e modificarne le opzioni. 4 Fare clic su Mostra Avanzate. 5 Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su Annulla. Vedere anche Accesso come amministratore a pagina 24 Blocco del traffico DNS Per affinare la protezione firewall, creare un elenco di FQDN da bloccare. Firewall blocca le connessioni agli indirizzi IP spostandole ai nomi di dominio. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. 62 McAfee Endpoint Security 10 Guida del prodotto Utilizzo del Firewall Gestione di Firewall 4 Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. , selezionare Impostazioni, quindi fare clic su Firewall nella pagina 3 In Blocco DNS, fare clic su Aggiungi. 4 Immettere l'FQDN dei domini da bloccare. È possibile utilizzare i caratteri jolly * e ?. Ad esempio, *domain.com. Eventuali voci duplicate saranno rimosse automaticamente. 5 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. FAQ – McAfee GTI e Firewall Di seguito sono riportate le risposte alle domande più frequenti. Le impostazioni delle Opzioni Firewall consentono di bloccare il traffico in ingresso e in uscita da una connessione di rete valutata come a rischio elevato da McAfee GTI. Queste domande frequenti spiegano la funzione di McAfee GTI e come influisce sul firewall. Che cos'è McAfee GTI? McAfee GTI è un sistema informativo globale della reputazione su Internet che determina quali sono i comportamenti corretti e dannosi sul Web. McAfee GTI si serve dell'analisi in tempo reale dei criteri globali di comportamento e invio relativi a email, attività Web, malware e comportamento tra i sistemi. Tramite i dati ottenuti dall'analisi, McAfee GTI calcola dinamicamente il punteggio reputazione che rappresenta il livello di rischio per la rete posto da una determinata pagina Web. Il risultato è un database di punteggi reputazione per indirizzi IP, domini, messaggi specifici, URL e immagini. Come funziona? Quando le opzioni McAfee GTI sono selezionate, vengono create due regole firewall: McAfee GTI – Consenti il servizio Endpoint Security Firewall e McAfee GTI – Ottieni classificazione. La prima regola consente un collegamento a McAfee GTI e la seconda blocca o consente il traffico basato sulla reputazione della connessione e la soglia di blocco impostata. Cosa significa "reputazione"? Per ogni indirizzo IP su Internet, McAfee GTI calcola un valore di reputazione. McAfee GTI basa il valore sui comportamenti di invio o hosting e su vari dati di ambiente raccolti da clienti e partner sullo stato delle minacce su Internet. La reputazione viene espressa in quattro classi, basate sulla nostra analisi: • Non bloccare (rischio minimo) – Questo sito è una fonte o destinazione legittima di contenuti/ traffico. • Non verificato – Questo sito è una fonte o destinazione legittima di contenuti/traffico. Tuttavia, presenta anche proprietà che necessitano di un'ulteriore verifica. • Rischio medio – Questa origine/destinazione mostra comportamenti ritenuti sospetti e contenuti/traffico che richiedono un'osservazione speciale. • Rischio elevato – Questa origine/destinazione invia o potrebbe effettuare l'invio o l'hosting di contenuti/traffico potenzialmente dannosi. Presenta un rischio elevato. McAfee GTI provoca tempi di latenza? Quanto durano? McAfee Endpoint Security 10 Guida del prodotto 63 4 Utilizzo del Firewall Gestione di Firewall Quando McAfee GTI viene contattato per una ricerca della reputazione è inevitabile che si verifichi una latenza. McAfee ha adottato tutte le misure necessarie per minimizzarla. McAfee GTI: • Verifica le reputazioni solo se le opzioni sono state selezionate. • Utilizza un'architettura intelligente di memorizzazione nella cache. Nei normali criteri di utilizzo della rete, la cache risolve le connessioni più richieste senza una query di reputazione in tempo reale. Se il firewall non può contattare i server McAfee GTI, il traffico si interrompe? Se il firewall non riesce a contattare i server, McAfee GTI assegna automaticamente a tutte le connessioni applicabili una reputazione consentita predefinita. Il firewall quindi continua ad analizzare le regole che seguono. Configurazione di gruppi e regole Firewall In qualità di amministratore, è possibile configurare gruppi e regole Firewall da Endpoint Security Client. Attività • Creazione e gestione di regole e gruppi Firewall a pagina 70 Per i sistemi gestiti, le regole e i gruppi configurati da Endpoint Security Client potrebbero essere sovrascritti quando l'amministratore distribuisce una policy aggiornata. • Creazione di gruppi di isolamento connessione a pagina 72 Creare un gruppo di regole firewall di isolamento connessione per stabilire un set di regole che si applicano solo in caso di connessione a una rete con particolari parametri. Vedere anche Funzionamento delle regole firewall a pagina 64 Funzionamento dei gruppi di regole firewall a pagina 66 Funzionamento delle regole firewall Le regole Firewall consentono di stabilire come gestire il traffico di rete. Ogni regola fornisce una serie di condizioni alle quali il traffico deve risultare conforme e un'azione per consentire o bloccare il traffico. Quando Firewall rileva del traffico corrispondente alle condizioni di una regola, esegue l'azione associata. È possibile definire le regole in modo ampio (ad esempio, tutto il traffico IP) o singolarmente (ad esempio, identificando una specifica applicazione o servizio) e specificare le opzioni. È possibile raggruppare le regole in base a una funzione operativa, a un servizio o a un'applicazione per una gestione più semplice. Come le regole, è possibile definire gruppi di regole per rete, trasporto, applicazione, pianificazione e opzioni di posizione. 64 McAfee Endpoint Security 10 Guida del prodotto 4 Utilizzo del Firewall Gestione di Firewall Firewall applica le regole in base alla priorità: 1 Firewall applica la regola nella parte iniziale dell'elenco regole firewall. Se il traffico è conforme alle condizioni di questa regola, Firewall consente o blocca il traffico. Non cerca di applicare nessun'altra regola all'elenco. 2 Se il traffico non è conforme alle condizioni della prima regola, Firewall cerca la regola successiva nell'elenco e così via fino a trovare una regola che corrisponda al traffico. 3 Se nessuna regola corrisponde, il firewall blocca automaticamente il traffico. Figura 4-1 Priorità regola Se la modalità adattiva è attivata, viene creata una regola di consenso per il traffico. A volte il traffico intercettato corrisponde a più di una regola nell'elenco. In questo caso, priorità significa che Firewall applica solo la prima regola che corrisponde nell'elenco. Procedure consigliate Posizionare le regole più specifiche all'inizio dell'elenco e le più generali alla fine. Questo ordine garantisce che Firewall filtri correttamente il traffico. Ad esempio, per consentire tutte le richieste HTTP eccetto quelle provenienti da un indirizzo specifico (ad esempio, indirizzo IP 10.10.10.1), creare due regole: • Regola di blocco – Blocca il traffico HTTP dall'indirizzo IP 10.10.10.1. Questa regola è specifica. • Regola di consenso – Consente tutto il traffico tramite il servizio HTTP. Questa regola è generale. McAfee Endpoint Security 10 Guida del prodotto 65 4 Utilizzo del Firewall Gestione di Firewall Posizionare la regola di blocco più in alto nell'elenco delle regole firewall rispetto alla regola di consenso. Quando il firewall intercetta la richiesta HTTP dall'indirizzo 10.10.10.1, la prima regola corrispondente trovata è quella che blocca questo traffico attraverso il firewall. Se la regola di consenso si trova in una posizione più elevata rispetto alla specifica regola di blocco, Firewall esegue la corrispondenza delle richieste nei confronti della regola di consenso prima di trovare la regola di blocco. Consente il traffico, anche se si voleva bloccare la richiesta HTTP da un indirizzo specifico. Funzionamento dei gruppi di regole firewall Utilizzare i gruppi di regole Firewall per organizzare le regole firewall per una gestione semplificata. I gruppi di regole Firewall non influenzano il modo in cui Firewall gestisce le regole al loro interno; Firewall elabora comunque le regole dalla prima all'ultima. Firewall elabora le impostazioni per il gruppo prima di elaborare quelle per le regole che contiene. Se è presente un conflitto tra queste impostazioni, le impostazioni del gruppo hanno la priorità. Impostazione dei gruppi come in grado di riconoscere la posizione Firewall consente di creare un gruppo e le relative regole in grado di riconoscere la posizione e di creare un isolamento della connessione. La Posizione e le Opzioni di rete del gruppo consentono di creare i gruppi in modo che siano in grado di riconoscere l'adattatore di rete. Utilizzare i gruppi dell'adattatore di rete per applicare le regole specifiche della scheda per i computer con interfacce di rete multiple. Dopo aver attivato lo stato e aver assegnato un nome alla posizione, i parametri per le connessioni consentite possono includere quanto segue, per ciascun adattatore di rete: Posizione: • Richiede la raggiungibilità di McAfee ePO • Indirizzo IP server WINS principale • Suffisso DNS specifico per la connessione • Indirizzo IP server WINS secondario • Indirizzo IP gateway predefinito • Raggiungibilità dominio • Indirizzo IP del server DHCP • Chiave di registro • Server DNS interrogato per risolvere URL Rete: • Indirizzo IP locale • Tipo di supporto Se due gruppi in grado di riconoscere la posizione sono applicabili a una connessione, Firewall utilizza la priorità normale, elaborando il primo gruppo applicabile nel suo elenco delle regole. Se nessuna delle regole nel primo gruppo corrisponde, l'elaborazione delle regole prosegue. Quando Firewall esegue una corrispondenza tra i parametri di un gruppo in grado di riconoscere la posizione e una connessione attiva, applica le regole all'interno di un gruppo. Gestisce le regole come piccoli set di regole e applica una priorità normale. Se alcune regole non corrispondono al traffico intercettato, il firewall le ignora. 66 Se questa opzione è selezionata... Allora... Attiva riconoscimento della posizione Un nome posizione è obbligatorio. Richiede la raggiungibilità di McAfee ePO McAfee ePO è raggiungibile e l'FQDN del server è stato risolto. McAfee Endpoint Security 10 Guida del prodotto Utilizzo del Firewall Gestione di Firewall 4 Se questa opzione è selezionata... Allora... Rete locale L'indirizzo IP dell'adattatore deve corrispondere a una delle voci dell'elenco. Suffisso DNS specifico per la connessione Il suffisso DNS dell'adattatore deve corrispondere a una delle voci dell'elenco. Gateway predefinito L'indirizzo IP dell'adattatore predefinito deve corrispondere a una delle voci dell'elenco. Server DHCP L'indirizzo IP del server dell'adattatore DHCP deve corrispondere a una delle voci dell'elenco. Server DNS L'indirizzo IP della scheda del server DNS deve corrispondere a una delle voci dell'elenco. Server WINS principale L'indirizzo IP del server WINS principale deve corrispondere a una delle voci dell'elenco. Server WINS secondario L'indirizzo IP del server WINS secondario deve corrispondere a una delle voci dell'elenco. Raggiungibilità dominio (HTTPS) Il dominio specificato deve essere raggiungibile mediante HTTPS. Gruppi di regole Firewall e isolamento della connessione Utilizzare l'isolamento della connessione per i gruppi per impedire l'accesso di traffico indesiderato alla rete designata. Quando l'isolamento della connessione è attivato per un gruppo e una scheda d'interfaccia di rete (NIC o Network Interface Card) attiva corrisponde ai criteri del gruppo, Firewall elabora solo il traffico che corrisponde: • Alle regole di assenso sopra il gruppo nell'elenco delle regole firewall • Ai criteri gruppo McAfee Endpoint Security 10 Guida del prodotto 67 4 Utilizzo del Firewall Gestione di Firewall Tutto il resto del traffico viene bloccato. Qualsiasi gruppo con un isolamento della connessione attivato non può avere eseguibili o opzioni di trasporto associate. Figura 4-2 Isolamento connessione di rete 68 McAfee Endpoint Security 10 Guida del prodotto Utilizzo del Firewall Gestione di Firewall 4 Come esempi dell'uso dell'isolamento della connessione, considerare due impostazioni: un ambiente aziendale e un hotel. L'elenco delle regole firewall attive contiene regole e gruppi in questo ordine: 1 Regole per la connessione di base 2 Regole di connessione VPN 3 Gruppo con regole di connessione LAN aziendali 4 Gruppo con regole di connessione VPN Esempio: isolamento connessione nella rete aziendale Le regole di connessione vengono elaborate fino a quando viene incontrato il gruppo con regole di connessione LAN aziendali. Questo gruppo contiene le impostazioni seguenti: • Tipo di supporto = cablato • Suffisso DNS specifico per la connessione = mycompany.com • Gateway predefinito • Isolamento connessione = attivato Il computer dispone di adattatori di rete wireless e LAN. Il collegamento alla rete aziendale viene effettuato tramite connessione cablata. Tuttavia, l'interfaccia wireless è ancora attiva, quindi si collega a un hotspot fuori dall'ufficio. Il computer esegue la connessione a entrambe le reti in quanto le regole per l'accesso di base sono in alto nell'elenco delle regole firewall. La connessione LAN cablata è attiva e soddisfa i criteri del gruppo LAN aziendale. Il firewall elabora il traffico attraverso la LAN ma poiché l'isolamento della connessione è attivato, tutto il resto del traffico che non passa per la LAN viene bloccato. Esempio: isolamento connessione in un hotel Le regole di connessione vengono elaborate fino a quando viene incontrato il gruppo con regole di connessione VPN. Questo gruppo contiene le impostazioni seguenti: • Tipo di supporto = virtuale • Suffisso DNS specifico per la connessione = vpn.mycompany.com • Indirizzo IP = un indirizzo in un intervallo specifico per il concentratore VPN • Isolamento connessione = attivato Le regole di connessione generali consentono di impostare un account a tempo nell'hotel per poter accedere a Internet. Le regole di connessione VPN consentono la connessione e l'uso di un tunnel VPN. Dopo aver stabilito il tunnel, il client VPN crea un adattatore virtuale che corrisponde ai criteri del gruppo VPN. Il solo traffico consentito dal firewall si trova dentro il tunnel VPN e il traffico di base sull'adattatore reale. I tentativi di accesso al computer tramite la rete da parte di altri ospiti dell'hotel, sia di tipo cablato che wireless, vengono bloccati. McAfee Endpoint Security 10 Guida del prodotto 69 4 Utilizzo del Firewall Gestione di Firewall Creazione e gestione di regole e gruppi Firewall Per i sistemi gestiti, le regole e i gruppi configurati da Endpoint Security Client potrebbero essere sovrascritti quando l'amministratore distribuisce una policy aggiornata. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. I gruppi e le regole vengono visualizzati in ordine di priorità nella tabella Regole Firewall. Non è possibile ordinare le regole per colonna. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. 3 , selezionare Impostazioni, quindi fare clic su Firewall nella pagina Utilizzare queste attività per gestire le regole e i gruppi firewall, quindi fare clic su Applica per salvare le modifiche apportate a Regole Firewall. Per eseguire queste operazioni... Attenersi alla seguente procedura Visualizzare le regole in un gruppo Fare clic su firewall. . Comprimere un gruppo firewall. Fare clic su . Modificare una regola esistente. 1 Espandere il gruppo Aggiunto dall'utente. È possibile modificare regole solo nel gruppo Aggiunto dall'utente. 2 Fare doppio clic sulla regola. 3 Modificare le impostazioni della regola. 4 Per salvare le modifiche, fare clic su OK. Visualizzare una regola esistente in ogni nuovo gruppo. 1 Espandere il gruppo. Creare una regola. 1 Fare clic su Aggiungi regola. 2 Selezionare la regola per visualizzarne i dettagli nel riquadro inferiore. 2 Specificare le impostazioni della regola. 3 Per salvare le modifiche, fare clic su OK. La regola viene visualizzata alla fine del gruppo Aggiunto dall'utente. Creare copie di regole. 1 Selezionare la regola o le regole e fare clic su Duplica. Le regole copiate vengono visualizzate alla fine del gruppo Aggiunto dall'utente con lo stesso nome. 2 Modificare le regole per cambiare il nome e le impostazioni. 70 McAfee Endpoint Security 10 Guida del prodotto Utilizzo del Firewall Gestione di Firewall Per eseguire queste operazioni... Attenersi alla seguente procedura Eliminare regole. 1 Espandere il gruppo. È possibile eliminare regole solo dal gruppo Aggiunto dall'utente e dal gruppo Adattivo. Creare un gruppo. 4 2 Selezionare la regola o le regole e fare clic su Elimina. 1 Fare clic su Aggiungi gruppo. 2 Specificare le impostazioni del gruppo. 3 Per salvare le modifiche, fare clic su OK. Il gruppo viene visualizzato nel gruppo Aggiunto dall'utente. Sposta regole e gruppi all'interno e tra gruppi. È possibile spostare regole e gruppi solo nel gruppo Aggiunto dall'utente. Per spostare gli elementi: 1 Selezionare gli elementi da spostare. Il simbolo di spostamento viene visualizzato a sinistra degli elementi che possono essere spostati. 2 Trascinare e rilasciare gli elementi nella nuova posizione. Viene visualizzata una riga blu tra gli elementi dove è possibile rilasciare gli elementi trascinati. 4 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. Vedere anche Caratteri jolly nelle regole firewall a pagina 71 Autorizzazione delle connessioni FTP a pagina 72 Accesso come amministratore a pagina 24 Creazione di gruppi di isolamento connessione a pagina 72 Caratteri jolly nelle regole firewall È possibile utilizzare caratteri jolly al fine di rappresentare caratteri per alcuni valori nelle regole firewall. Caratteri jolly in percorsi e valori indirizzo Per percorsi di file, chiavi di registro, eseguibili e URL, utilizzare i seguenti caratteri jolly. I percorsi chiave di registro per le posizioni gruppo firewall non riconoscono i caratteri jolly. ? Punto interrogativo Singolo carattere. * Asterisco Caratteri multipli, esclusi barra (/) e barra rovesciata (\). Utilizzare questo carattere per creare una corrispondenza tra i contenuti a livello di radice di una cartella senza sottocartelle. ** Doppio asterisco Caratteri multipli, inclusi barra (/) e barra rovesciata (\). | Carattere jolly di escape. Barra verticale Per il doppio asterisco (**) il carattere di escape è |*|*. Caratteri jolly in tutti gli altri valori Per i valori che normalmente non contengono informazioni di percorso con barre, utilizzare questi caratteri jolly. McAfee Endpoint Security 10 Guida del prodotto 71 4 Utilizzo del Firewall Gestione di Firewall ? Punto interrogativo Singolo carattere. * Asterisco Caratteri multipli, inclusi barra (/) e barra rovesciata (\). | Barra verticale Carattere jolly di escape. Creazione di gruppi di isolamento connessione Creare un gruppo di regole firewall di isolamento connessione per stabilire un set di regole che si applicano solo in caso di connessione a una rete con particolari parametri. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. , selezionare Impostazioni, quindi fare clic su Firewall nella pagina 3 In REGOLE, fare clic su Aggiungi gruppo. 4 In Descrizione, specificare le opzioni per il gruppo. 5 In Posizione, selezionare Attiva riconoscimento della posizione e Attiva isolamento connessione. Quindi, selezionare i criteri di posizione per la corrispondenza. 6 In Opzioni di rete, per Tipi di supporto, selezionare il tipo di connessione (cablata, wireless o virtuale) per applicare le regole nel gruppo. Le impostazioni per Trasporto ed Eseguibili non sono disponibili per i gruppi di isolamento della connessione. 7 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. 8 Creare nuove regole nel gruppo o spostarvi le regole esistenti dall'elenco di regole firewall. Vedere anche Gruppi di regole Firewall e isolamento della connessione a pagina 67 Funzionamento dei gruppi di regole firewall a pagina 66 Autorizzazione delle connessioni FTP Per consentire le connessioni FTP in modalità attiva, creare regole firewall che consentano le connessioni in ingresso e in uscita su porte specifiche. Il protocollo FTP utilizza due connessioni: controllo per i comandi e dati per le informazioni. Poiché Firewall non controlla i pacchetti del protocollo FTP, le connessioni FTP non sono consentite per impostazione predefinita. Per consentire le connessioni FTP, creare regole firewall che consentano le connessioni per porte specifiche. 72 McAfee Endpoint Security 10 Guida del prodotto Utilizzo del Firewall Gestione di Firewall 4 FTP modalità attiva Quando un client si connette a un server FTP in modalità attiva: • Il canale di controllo viene stabilito sulla porta TCP 21. • Il canale dati viene stabilito sulla porta TCP 20. Per consentire a un client FTP di stabilire la connessione e scaricare/caricare dati su un server FTP utilizzando la modalità attiva, creare le seguenti regole firewall sul client: • Consentire le connessioni in uscita per la porta TCP 21 sul server. • Consentire le connessioni in ingresso per la porta TCP 20 sul server. Per consentire a un server FTP di stabilire la connessione e scaricare/caricare dati, creare le seguenti regole firewall sul server: • Consentire le connessioni in ingresso per la porta TCP 21 sul server. • Consentire le connessioni in uscita per la porta TCP 20 sul server. FTP modalità passiva L'FTP in modalità passiva richiede l'apertura di un intervallo di porte per il canale dati sul server FTP. Quando un client si connette a un server FTP in modalità passiva: • Il canale di controllo viene stabilito sulla porta TCP 21. • Il canale dati viene stabilito sull'intervallo di porte TCP 1025–5000. Per consentire a un client FTP di stabilire la connessione e scaricare/caricare dati su un server FTP utilizzando la modalità passiva, creare le seguenti regole firewall sul client: • Consentire le connessioni in uscita per la porta TCP 21 sul server. • Consentire le connessioni in uscita e in ingresso per l'intervallo di porte TCP 1025–5000 sul server. Per consentire a un server FTP di stabilire la connessione e scaricare/caricare dati, creare le seguenti regole firewall sul server: • Consentire le connessioni in ingresso per la porta TCP 21 sul server. • Consentire le connessioni in uscita e in ingresso per l'intervallo di porte TCP 1025–5000 sul server. Vedere anche Creazione e gestione di regole e gruppi Firewall a pagina 70 McAfee Endpoint Security 10 Guida del prodotto 73 4 Utilizzo del Firewall Gestione di Firewall 74 McAfee Endpoint Security 10 Guida del prodotto 5 Utilizzo di Web Control Accedere alle funzionalità di protezione di Web Control dal browser durante la navigazione o la ricerca. Sommario Informazioni sulle funzioni di Web Control Accesso alle funzioni di Web Control Gestione di Web Control Informazioni sulle funzioni di Web Control Poiché Web Control viene eseguito su ogni sistema gestito, esso invia una notifica all'utente relativa alle minacce mentre questo naviga sui siti Web. Un team di McAfee analizza ciascun sito Web e assegna classificazioni di sicurezza con codifica a colori in base ai risultati del test. Il colore indica il livello di sicurezza del sito. Il software utilizza i risultati del test per inviare una notifica all'utente in merito alle minacce basate sul Web che potrebbe incontrare. Sulle pagine dei risultati di ricerca – Viene visualizzata un'icona accanto a ciascun sito in elenco. Il colore dell'icona indica la classificazione di sicurezza del sito. Tramite le icone, l'utente può accedere a ulteriori informazioni. Nella finestra del browser – Viene visualizzato un pulsante nell'angolo in alto a destra. Il colore del pulsante indica la classificazione di sicurezza del sito. Facendo clic sul pulsante, l'utente può accedere a ulteriori informazioni. Il pulsante notifica inoltre l'utente quando si verificano problemi di comunicazione e fornisce un accesso rapido a test che consentono di identificare i problemi più comuni. Nei rapporti sulla sicurezza – I dettagli mostrano in che modo è stata calcolata la classificazione di sicurezza in base ai tipi di minacce rilevate, ai risultati dei test e ad altri dati. Per i sistemi gestiti, gli amministratori creano policy per: • Attivare e disattivare Web Control sul sistema personale e impedisce o consente la disattivazione dei plug-in di software e browser. • Controllare l'accesso a siti, pagine e download in base alla classificazione di sicurezza o al tipo di contenuto. Ad esempio, blocco dei siti rossi e avvisi per gli utenti che provano ad accedere ai siti gialli. • Identificare i siti come bloccati o consentiti, in base agli URL e ai domini. • Impedire all'utente di disinstallare o modificare file, chiavi di registro, valori di registro, servizi e processi di Web Control. McAfee Endpoint Security 10 Guida del prodotto 75 5 Utilizzo di Web Control Informazioni sulle funzioni di Web Control • Personalizzare la notifica visualizzata quando l'utente cerca di accedere a un sito Web bloccato. • Monitorare e regolare l'attività del browser sui computer della rete e creare report dettagliati sui siti Web. Per i sistemi autogestiti, è possibile configurare le impostazioni per: • Attivare e disattivare Web Control sul sistema e impedire o consentire la disattivazione dei plug-in di software e browser. • Controllare l'accesso a siti, pagine e download in base alla classificazione di sicurezza o al tipo di contenuto. Ad esempio, blocco dei siti rossi e avvisi per gli utenti che provano ad accedere ai siti gialli. Il software supporta i browser Microsoft Internet Explorer, Mozilla Firefox e Google Chrome. Firefox non consente all'utente di verificare i download di file o di nascondere il pulsante Web Control con il comando Visualizza | Barre degli strumenti . Chrome non supporta l'imposizione di download di file o l'opzione Mostra area commenti. Vedere anche Identificazione delle minacce durante la navigazione tramite il pulsante Web Control a pagina 76 Identificazione delle minacce durante la ricerca mediante le icone di sicurezza a pagina 77 Fornitura di dettagli da parte dei rapporti sul sito a pagina 77 Compilazione delle classificazioni di sicurezza a pagina 78 Identificazione delle minacce durante la navigazione tramite il pulsante Web Control con Quando l'utente naviga su un sito Web, viene visualizzato un pulsante codifica a colori nell'angolo superiore destro del browser. Il colore del pulsante indica la classificazione di sicurezza del sito. Nella finestra del browser Chrome viene visualizzato un piccolo pulsante nella barra dell'indirizzo. Verde Questo sito viene controllato quotidianamente e certificato come sicuro da McAfee SECURE . Verde Il sito è sicuro. Giallo Il sito potrebbe causare problemi. Rosso Il sito potrebbe causare problemi seri. Grigio Non è disponibile una classificazione per il sito. ™ Arancione Si è verificato un errore di comunicazione con il server McAfee GTI che contiene le informazioni di classificazione. Blu 76 McAfee Endpoint Security 10 Non sono disponibili informazioni per classificare il sito. Il motivo potrebbe essere che il sito è interno o si trova in un intervallo di indirizzi IP privati. Guida del prodotto Utilizzo di Web Control Informazioni sulle funzioni di Web Control Nero 5 Il sito è un sito di phishing. Il phishing è un tentativo di acquisizione di informazioni riservate, come nomi utente, password e dettagli di carte di credito. I siti di phishing si fingono entità affidabili nelle comunicazioni elettroniche. Bianco Un'impostazione consente questo sito. Argento Un'impostazione ha disattivato Web Control. Vedere anche Accesso alle funzioni durante la navigazione a pagina 79 Risoluzione dei problemi di comunicazione a pagina 81 Identificazione delle minacce durante la ricerca mediante le icone di sicurezza Quando l'utente digita parole chiave in un motore di ricerca come Google, Yahoo, Bing o Ask, vengono visualizzate icone di sicurezza accanto ai siti nella pagina dei risultati della ricerca. Il colore del pulsante corrisponde alla classificazione di sicurezza del sito. I test non hanno rivelato problemi significativi. I test hanno rilevato problemi dei quali informare l'utente. Ad esempio, il sito ha cercato di modificare le impostazioni predefinite del browser di chi ha eseguito il test, ha visualizzato popup o inviato a chi ha eseguito il test una quantità significativa di email non classificate come spam. I test hanno rilevato problemi gravi che l'utente deve tenere in considerazione prima di accedere a questo sito. Ad esempio, il sito ha inviato a chi ha eseguito il test email di spam o adware in bundle con un download. Un'impostazione ha bloccato questo sito. Questo sito non è classificato. Vedere anche Visualizzazione del rapporto sul sito durante le ricerche a pagina 80 Fornitura di dettagli da parte dei rapporti sul sito L'utente può visualizzare il rapporto sul sito per un sito Web per dettagli sulle minacce specifiche. I rapporti sul sito sono forniti dal server delle classificazioni McAfee GTI e offrono le seguenti informazioni. McAfee Endpoint Security 10 Guida del prodotto 77 5 Utilizzo di Web Control Informazioni sulle funzioni di Web Control Questo elemento... Indica... Panoramica La classificazione complessiva del sito Web, determinata da questi test: • Vengono valutate le pratiche di email e download di un sito Web utilizzando tecniche proprietarie di raccolta e analisi dei dati. • Viene esaminato il sito Web stesso per verificare se attiva pratiche fastidiose quali popup eccessivi o richieste di modifica della home page. • Viene eseguita un'analisi delle affiliazioni online per valutare se il sito è associato ad altri siti sospetti. • La valutazione dei siti sospetti di McAfee viene integrata con i commenti dei servizi Threat Intelligence. Affiliazioni online Indicazione del livello di aggressività con cui il sito tenta di indirizzare ad altri siti contrassegnati da McAfee come rossi. I siti sospetti spesso si associano con altri siti sospetti. Lo scopo principale dei siti feeder è quello di far visitare il sito sospetto. Un sito può essere classificato in rosso se, ad esempio, collega in modo troppo aggressivo ad altri siti rossi. In questo caso, Web Control considera il sito come rosso per associazione. Test di spam Web La classificazione complessiva delle procedure di invio di email di un sito Web, in base ai risultati dei test. McAfee classifica i siti in base alla quantità di messaggi email ricevuti dopo aver inserito un indirizzo nel sito e al fatto che tali messaggi siano di spam. Se uno di questi valori è superiore a quanto considerato accettabile, McAfee classifica il sito come giallo. Se entrambi i valori sono elevati o se uno dei due è particolarmente elevato, McAfee classifica il sito come rosso. Test di download La classificazione complessiva dell'impatto che un software scaricabile dal sito ha avuto sul computer che ha eseguito il test, in base ai risultati del test. McAfee contrassegna come rossi i siti con download con virus o che aggiungono software non correlato che molti utenti considererebbero adware o spyware. La classificazione tiene anche conto dei server di rete contattati dal programma scaricato durante la sua esecuzione, nonché di eventuali modifiche alle impostazioni del browser o ai file di registro del computer. Vedere anche Visualizzazione del rapporto sul sito durante le ricerche a pagina 80 Visualizzazione di rapporti sul sito a pagina 80 Compilazione delle classificazioni di sicurezza Un team McAfee sviluppa le classificazioni di sicurezza tramite la verifica di numerosi criteri per ogni sito e la valutazione dei risultati in modo da rilevare le minacce comuni. La compilazione delle classificazioni di sicurezza per un sito web a seguito delle verifiche automatiche viene eseguita mediante: 78 • Download di file per verificare la presenza di virus e programmi potenzialmente indesiderati uniti al download. • Immissione delle informazioni di contatto nei moduli di registrazione e verifica dello spam risultante o di un volume elevato di email non indesiderate provenienti dal sito o dalle sue affiliate. • Verifica di una presenza eccessiva di finestre popup. • Verifica dei tentativi da parte del sito di sfruttare le vulnerabilità del browser. • Verifica di eventuali pratiche ingannevoli o fraudolente utilizzate da un sito. McAfee Endpoint Security 10 Guida del prodotto Utilizzo di Web Control Accesso alle funzioni di Web Control 5 Il team inserisce i risultati delle verifiche in un rapporto sulla sicurezza, che può anche contenere: • Commenti inviati dal proprietario del sito, che possono includere descrizioni delle precauzioni di sicurezza utilizzate dal sito o risposte ai commenti degli utenti sul sito. • Commenti inviati dagli utenti del sito, che possono comprendere rapporti sui messaggi di phishing o sulle esperienze negative durante gli acquisti. • Ulteriori analisi effettuate da esperti McAfee. Il server McAfee GTI archivia le classificazioni sito e i report. Accesso alle funzioni di Web Control Accedere alle funzioni di Web Control dal browser. Attività • Accesso alle funzioni durante la navigazione a pagina 79 Accedere alle funzioni Web Control dal pulsante sul browser. Il pulsante funziona in modo diverso a seconda del browser in uso. • Visualizzazione del rapporto sul sito durante le ricerche a pagina 80 Utilizzare l'icona di sicurezza nella pagina dei risultati della ricerca per visualizzare ulteriori informazioni riguardo al sito. • Visualizzazione di rapporti sul sito a pagina 80 Per ulteriori informazioni sulla classificazione di sicurezza di un sito, consultare i rapporti sul sito. • Risoluzione dei problemi di comunicazione a pagina 81 Nel computer client, eseguire dei test dal browser per stabilire il motivo dei problemi di comunicazione con il server delle classificazioni di sicurezza McAfee GTI. Accesso alle funzioni durante la navigazione Accedere alle funzioni Web Control dal pulsante sul browser. Il pulsante funziona in modo diverso a seconda del browser in uso. Internet Explorer e Firefox • Posizionare il cursore sopra questo pulsante per visualizzare un'area commenti contenente il riepilogo del rapporto sulla sicurezza del sito. • Fare clic sul pulsante per visualizzare il rapporto sulla sicurezza dettagliato. • Fare clic sul pulsante accanto all'icona funzioni. per visualizzare un menu di Chrome – Fare clic sul pulsante per visualizzare un menu di funzioni. In Chrome non è possibile visualizzare le aree commenti con il pulsante menu. Le aree commenti sono disponibili solo dalle pagine dei risultati di ricerca. McAfee Endpoint Security 10 Guida del prodotto 79 5 Utilizzo di Web Control Accesso alle funzioni di Web Control Attività 1 Dal menu, selezionare le opzioni. Opzione Per... Note Visualizza rapporto sul sito Visualizzare il rapporto sulla sicurezza del sito attuale. Disponibile solo quando Web Control è attivato. È inoltre possibile fare clic su Leggi rapporto sul sito nell'area commenti del sito. Mostra area commenti 2 Mostra l'area commenti del sito attuale. Disponibile solo quando Web Control è attivato e per i browser diversi da Chrome. Se viene visualizzato il pulsante dell'errore di comunicazione visualizzare l'area commenti per il sito e fare clic su Risoluzione dei problemi. , La pagina di stato della connessione visualizzata indica la possibile causa dell'errore di comunicazione. Vedere anche Identificazione delle minacce durante la navigazione tramite il pulsante Web Control a pagina 76 Visualizzazione del rapporto sul sito durante le ricerche Utilizzare l'icona di sicurezza nella pagina dei risultati della ricerca per visualizzare ulteriori informazioni riguardo al sito. Attività 1 Posizionare il cursore sull'icona di sicurezza. Nel testo dell'area commenti viene visualizzato un riepilogo del rapporto sulla sicurezza. 2 Fare clic su Leggi rapporto sul sito nell'area commenti per aprire un rapporto sulla sicurezza del sito dettagliato in un'altra finestra del browser. Vedere anche Identificazione delle minacce durante la ricerca mediante le icone di sicurezza a pagina 77 Fornitura di dettagli da parte dei rapporti sul sito a pagina 77 Visualizzazione di rapporti sul sito Per ulteriori informazioni sulla classificazione di sicurezza di un sito, consultare i rapporti sul sito. Attività • Visualizzare il rapporto per un sito. Da questa posizione... Eseguire questa operazione... Sito Web • Selezionare Visualizza rapporto sito dal menu Web Control. • Fare clic sull'area commenti. • Fare clic su Leggi rapporto sul sito nell'area commenti. Pagina dei risultati della ricerca 80 McAfee Endpoint Security 10 Fare clic sull'icona di sicurezza accanto al link alla pagina Web. Guida del prodotto Utilizzo di Web Control Gestione di Web Control 5 Vedere anche Fornitura di dettagli da parte dei rapporti sul sito a pagina 77 Risoluzione dei problemi di comunicazione Nel computer client, eseguire dei test dal browser per stabilire il motivo dei problemi di comunicazione con il server delle classificazioni di sicurezza McAfee GTI. Un pulsante arancione nell'angolo superiore destro del browser indica problemi di comunicazione con il server McAfee GTI. La risoluzione dei problemi di comunicazione non è disponibile in Chrome. Per eseguire questi test, utilizzare Internet Explorer o Firefox. Attività 1 In Internet Explorer o Firefox, tenere posizionato il cursore sopra il pulsante arancione per visualizzare un messaggio. 2 Fare clic su Risoluzione dei problemi per eseguire i test e visualizzare i risultati. La pagina di stato della connessione mostra il motivo dell'errore di comunicazione e le possibili soluzioni una volta completati i test. Test Verifica di... Un errore durante il test indica che... Accesso a Internet Il browser dispone dell'accesso a Internet? Il computer non può effettuare l'accesso a Internet. Questo errore potrebbe significare che la connessione di rete è interrotta o le impostazioni proxy non sono configurate correttamente. Rivolgersi all'amministratore. Disponibilità server Il server McAfee GTI McAfee GTI non è accessibile? I server McAfee GTI non sono accessibili. 3 Controllare i risultati quando vengono visualizzati e seguire le istruzioni fornite per risolvere il problema. 4 Eseguire nuovamente un test della connessione facendo clic su Ripeti verifiche. Il pulsante Ripeti verifiche consente di capire se l'errore persiste o se è stato corretto mentre la pagina è aperta. Vedere anche Identificazione delle minacce durante la navigazione tramite il pulsante Web Control a pagina 76 Gestione di Web Control In qualità di amministratore, è possibile specificare le impostazioni Web Control per consentire e personalizzare la protezione, impostare blocchi in base alle categorie Web e registrare la configurazione. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO, McAfee ePO Cloud o da SecurityCenter potrebbero sovrascrivere le modifiche apportate dalla pagina Impostazioni. Vedere anche Configurazione delle opzioni Web Control a pagina 82 Specificare azioni di classificazione e bloccare l'accesso ai siti in base a una categoria Web a pagina 85 McAfee Endpoint Security 10 Guida del prodotto 81 5 Utilizzo di Web Control Gestione di Web Control Configurazione delle opzioni Web Control È possibile attivare Web Control e configurare le opzioni da Endpoint Security Client. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Web Control nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. , selezionare Impostazioni, quindi fare clic su Web Control nella pagina 3 Fare clic su Mostra Avanzate. 4 Fare clic su Opzioni. 5 Selezionare Attiva Web Control per attivare Web Control e modificarne le opzioni. Per... Eseguire questa operazione... Note Nascondere la barra degli Selezionare Nascondi barra degli strumenti di Web Control strumenti nel browser client. nel browser senza disattivare la protezione. Utilizzare questa impostazione per risolvere tutti i problemi di compatibilità con dispositivi di terze parti. Rilevare eventi browser da utilizzare per i report. Configurare le impostazioni nella Configurare gli eventi Web Control sezione Registrazione eventi. inviati dai sistemi client al server di gestione, da utilizzare per query e report. Attivare blocco o avviso per URL sconosciuti. In Imposizione azione, selezionare l'azione (Blocca, Consenti o Avvisa) per i siti non ancora verificati da McAfee GTI. Scansionare i file prima del download. Selezionare Attiva scansione file per il download di file, quindi selezionare il livello di rischio McAfee GTI per impostare il blocco. Bloccare la visualizzazione di siti rischiosi nei risultati di ricerca. In Ricerca sicura, selezionare Attiva ricerca sicura, selezionare il motore di ricerca e specificare se bloccare i collegamenti ai siti rischiosi. Ricerca sicura filtra automaticamente i siti dannosi nei risultati di ricerca in base alla classificazione di sicurezza. Web Control utilizza Yahoo come motore di ricerca predefinito. Se viene modificato il motore di ricerca predefinito, riavviare il browser affinché la modifica venga applicata. 82 6 Configurare le altre opzioni in base alle esigenze. 7 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. McAfee Endpoint Security 10 Guida del prodotto Utilizzo di Web Control Gestione di Web Control 5 Vedere anche Come viene eseguita la scansione dei download di file a pagina 84 Accesso come amministratore a pagina 24 McAfee Endpoint Security 10 Guida del prodotto 83 5 Utilizzo di Web Control Gestione di Web Control Come viene eseguita la scansione dei download di file Web Control invia richieste relative al download dei file a Threat Prevention, affinché venga eseguita la scansione prima del download. 84 McAfee Endpoint Security 10 Guida del prodotto 5 Utilizzo di Web Control Gestione di Web Control Specificare azioni di classificazione e bloccare l'accesso ai siti in base a una categoria Web Configurare le impostazioni della policy Azioni contenuto per specificare le azioni applicabili ai siti e ai download di file, sulla base di classificazioni di sicurezza. Facoltativamente, specificare di bloccare o consentire siti in ogni categoria Web. Prima di iniziare La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Web Control applica le azioni di classificazione ai siti nelle categorie non bloccate specificate nella sezione Blocco categoria Web in Avanzate. Utilizzare le impostazioni in Messaggi di imposizione per personalizzare il messaggio da visualizzare per siti e download di file bloccati o con avviso e le pagine di phishing bloccate. Attività Per le definizioni delle opzioni, fare clic su ? nell'interfaccia. 1 Aprire Endpoint Security Client. 2 Fare clic su Web Control nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. , selezionare Impostazioni, quindi fare clic su Web Control nella pagina 3 Fare clic su Mostra Avanzate. 4 Fare clic su Azioni contenuto. 5 Nella sezione Blocco categoria Web, per ogni Categoria Web, attivare o disattivare l'opzione Blocca. Per i siti nelle categorie non bloccate, Web Control applica anche le azioni di classificazione. 6 Nella sezione Azioni classificazione, specificare le azioni da applicare a tutti siti e download di file, sulle base delle classificazioni di sicurezza definite da McAfee. Queste azioni sono applicabili anche ai siti non bloccati da un blocco categoria Web. 7 Fare clic su Applica per salvare le modifiche o fare clic su Annulla. Vedere anche Uso delle categorie Web per controllare l'accesso a pagina 85 Uso delle classificazioni di sicurezza per controllare l'accesso a pagina 86 Accesso come amministratore a pagina 24 Uso delle categorie Web per controllare l'accesso Le categorie Web consentono di controllare l'accesso ai siti, in base alle categorie definite da McAfee. È possibile specificare opzioni per consentire o bloccare l'accesso ai siti in base alla categoria di contenuto. Quando viene attivato il blocco delle categorie Web nelle impostazioni della policy Azioni contenuto, il software blocca o consente categorie di siti Web. Le categorie includono: Gioco d'azzardo, Giochi e Messaggistica immediata. McAfee definisce e mantiene un elenco di circa 105 categorie Web. Per impostazione predefinita, la maggior parte delle categorie Web classificate come verdi da McAfee sono consentite, quelle classificate come gialle sono accompagnate da un avviso e quelle classificate come rosse vengono bloccate. Tuttavia, alcune categorie di contenuto non classificate vengono McAfee Endpoint Security 10 Guida del prodotto 85 5 Utilizzo di Web Control Gestione di Web Control bloccate o accompagnate da un avviso in base a quanto consigliato da McAfee GTI. Utilizzare le impostazioni per Azioni contenuto per bloccare o consentire le categorie Web. Per specificare le azioni per siti e download in categorie non bloccate, utilizzare le impostazioni Azioni classificazione. Quando un utente client accede a un sito, il software ne verifica la categoria Web. Se il sito rientra in una categoria definita, l'accesso viene bloccato o consentito in base alle impostazioni della policy Azioni contenuto. Per i siti e i download di file nelle categorie non bloccate, il software applica le Azioni classificazione specificate. Uso delle classificazioni di sicurezza per controllare l'accesso Configurare le azioni in base alle classificazioni di sicurezza per determinare se gli utenti possono accedere a un sito o alle relative risorse. È possibile specificare opzioni di accesso consentito, blocco o avviso per ogni sito o download di file, in base alla classificazione. Questa impostazione consente un maggior livello di granularità nella protezione degli utenti da file che potrebbero rappresentare una minaccia in siti con una classificazione complessiva verde. 86 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Gli argomenti della guida di riferimento dell'interfaccia forniscono assistenza sensibile al contesto per le pagine nell'interfaccia client. Sommario Pagina Registro eventi Pagina Quarantena Common – Opzioni Common – Attività Threat Prevention - Protezione dell'accesso Pagina Threat Prevention - Prevenzione exploit Pagina Threat Prevention - Scansione all'accesso Threat Prevention – Scansione su richiesta Percorsi di scansione McAfee GTI Azioni Aggiungi o modifica esclusioni Threat Prevention - Opzioni Ripristina AMCore content Firewall – Opzioni Firewall – Regole Web Control – Opzioni Web Control – Azioni contenuto Pagina Registro eventi Mostra le attività e gli eventi di debug nel Registro eventi. Opzione Definizione Numero di eventi Indica il numero di eventi registrati da Endpoint Security sul sistema negli ultimi 30 giorni. Aggiorna la visualizzazione del Registro eventi con eventuali nuovi dati di eventi. Visualizza cartella registri Apre la cartella contenente i file di registro in Windows Explorer. Mostra tutti gli eventi Rimuove eventuali filtri. McAfee Endpoint Security 10 Guida del prodotto 87 6 Riferimento dell'interfaccia client Pagina Registro eventi Opzione Definizione Filtra per gravità Filtra gli eventi per livello di gravità: Filtra per modulo Critico Mostra solo gli eventi con livello di gravità 1. Grave e superiori Mostra solo gli eventi con livello di gravità 1 e 2. Minore e superiori Mostra solo gli eventi con livello di gravità 1, 2 e 3. Avviso e superiori Mostra gli eventi con livello di gravità 1, 2, 3 e 4. Filtra gli eventi per modulo: Common Mostra solo gli eventi Common. Threat Prevention Mostra solo gli eventi Threat Prevention. Firewall Mostra solo gli eventi Firewall. Web Control Mostra solo gli eventi Web Control. Le funzioni visualizzate nell'elenco a discesa dipendono dalle funzionalità installate sul sistema nel momento in cui è stato aperto il Registro eventi. Cerca Esegue la ricerca di una stringa nel Registro eventi. Eventi per pagina Seleziona il numero di eventi da visualizzare in una pagina. (Per impostazione predefinita, 20 eventi per pagina) Pagina precedente Mostra la pagina precedente nel Registro eventi. Pagina successiva Mostra la pagina successiva nel Registro eventi. Pagina x di x Seleziona una pagina a cui accedere nel Registro eventi. Immettere un numero nel campo Pagina e premere Invio oppure fare clic su Vai per accedere alla pagina. 88 Intestazione colonna Ordina l'elenco eventi per... Data La data in cui si è verificato l'evento. Funzionalità Funzionalità che ha registrato l'evento. McAfee Endpoint Security 10 Guida del prodotto Riferimento dell'interfaccia client Pagina Quarantena Intestazione colonna Ordina l'elenco eventi per... Azione Azione eventualmente eseguita da Endpoint Security in risposta a un evento. 6 L'azione è configurata nelle impostazioni. Consentito L'accesso al file viene consentito. Accesso negato L'accesso al file viene impedito. Eliminato Il file viene eliminato automaticamente. Continua Ripulito La minaccia viene rimossa automaticamente dal file. Spostato Il file viene spostato in quarantena. Bloccato L'accesso al file è bloccato. Bloccherà Una regola di protezione dell'accesso, se imposta, bloccherà l'accesso al file. Livello di gravità dell'evento. Gravità Critico 1 Grave 2 Minore 3 Avviso 4 Informativo 5 Vedere anche Visualizzazione del Registro eventi a pagina 21 Pagina Quarantena Gestisce gli elementi nella quarantena. Opzione Definizione Elimina Elimina gli elementi selezionati dalla quarantena. Gli elementi eliminati non possono essere ripristinati. Ripristina Ripristina gli elementi dalla quarantena. Endpoint Security ripristina gli elementi nella posizione originale e li rimuove dalla quarantena. Se un elemento costituisce ancora una minaccia valida, Endpoint Security lo reinserisce immediatamente in quarantena. Ripeti scansione Ripete la scansione degli elementi selezionati nella quarantena. Se l'elemento non costituisce più una minaccia, Endpoint Security lo ripristina nella posizione originale e lo rimuove dalla quarantena. McAfee Endpoint Security 10 Guida del prodotto 89 6 Riferimento dell'interfaccia client Common – Opzioni Intestazione colonna Ordina elenco quarantena per... Nome rilevamento Nome del rilevamento. Tipo Tipo di minaccia, ad esempio, Trojan o Adware. Tempo in quarantena Il lasso di tempo durante il quale l'elemento è rimasto in quarantena. Numero di oggetti Il numero di oggetti del rilevamento. Versione AMCore content Il numero di versione di AMCore content che ha identificato la minaccia. Vedere anche Gestione degli elementi in quarantena a pagina 39 Nomi rilevamenti a pagina 41 Common – Opzioni Configura le impostazioni relative a: interfaccia Endpoint Security Client, autoprotezione, registrazione attività e debug, nonché server proxy. Tabella 6-1 Sezione Opzione Modalità interfaccia Accesso completo client Accesso standard Definizione Consente di accedere a tutte le funzionalità. (Predefinito per sistemi autogestiti) Visualizza lo stato di protezione e consente di accedere alla maggior parte delle funzionalità, come gli aggiornamenti e le scansioni. La modalità di accesso standard richiede una password per la visualizzazione e la modifica delle impostazioni della nella pagina delle Impostazioni Endpoint Security Client. La password predefinita è mcafee. (Predefinito per sistemi gestiti) Disinstallazione Blocca interfaccia client Richiede una password per accedere a Endpoint Security Client. Imposta password amministratore Per Accesso standard e Blocca interfaccia client, specifica la password amministratore per accedere a tutte le funzionalità dell'interfaccia Endpoint Security Client. Richiedi password per disinstallare il client Password Specifica la password amministratore. Conferma password Conferma la password amministratore. Richiede una password per disinstallare Endpoint Security Client e specifica la password. (Disattivato per impostazione predefinita per sistemi autogestiti) La password predefinita è mcafee. 90 McAfee Endpoint Security 10 Password Specifica la password di disinstallazione. Conferma password Conferma la password di disinstallazione. Guida del prodotto Riferimento dell'interfaccia client Common – Opzioni 6 Tabella 6-2 Opzioni avanzate Sezione Opzione Lingua Automatico interfaccia client Lingua Definizione Seleziona automaticamente la lingua da utilizzare per il testo dell'interfaccia Endpoint Security Client in base alla lingua del sistema client. Specifica la lingua da utilizzare per il testo dell'interfaccia Endpoint Security Client. Per i sistemi gestiti, le modifiche apportate dal sistema client influiscono sull'interfaccia Endpoint Security Client. La modifica della lingua viene applicata in seguito al riavvio di Endpoint Security Client. La lingua del client non interessa i file di registro. I file di registro vengono visualizzati nella lingua specificata dalle impostazioni locali predefinite del sistema. Autoprotezione Attiva autoprotezione Protegge le risorse del sistema Endpoint Security da attività dannose. Azione Specifica l'azione da intraprendere quando si verificano attività dannose: • Blocca e segnala – Blocca e segnala a McAfee ePO. (Opzione predefinita) • Solo blocco – Blocca ma non segnala a McAfee ePO. • Solo segnalazione – Segnala l'attività a McAfee ePO, ma non la blocca. File e cartelle Impedisce la modifica o l'eliminazione di file e cartelle di sistema McAfee. Registro Impedisce la modifica o l'eliminazione di chiavi e valori di registro McAfee. Processi Impedisce l'arresto dei processi McAfee. Escludi questi processi Consente l'accesso ai processi specificati. Aggiungi Aggiunge un processo all'elenco di esclusioni. Fare clic su Aggiungi, quindi immettere il nome esatto della risorsa, come avtask.exe. Elimina Elimina un processo dall'elenco di esclusioni. Selezionare la risorsa, quindi fare clic su Elimina. Registrazione client Percorso file di registro Specifica il percorso del file di registro. Il percorso predefinito è: <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs Per andare a una nuova posizione, immettere il percorso o fare clic su Sfoglia. Registrazione attività Attiva registrazione Attiva la registrazione di tutte le attività Endpoint Security. attività McAfee Endpoint Security 10 Guida del prodotto 91 6 Riferimento dell'interfaccia client Common – Opzioni Tabella 6-2 Opzioni avanzate (segue) Sezione Opzione Definizione Limita le dimensioni (MB) di ciascun file del registro attività Limita ciascun file del registro attività alla dimensione massima specificata (tra 1 MB e 999 MB). L'impostazione predefinita è 10 MB. Disattivare l'opzione per consentire ai file di registro di raggiungere qualsiasi dimensione. Se il file di registro supera le dimensioni impostate, il 25% delle voci meno recenti viene eliminato per consentire l'aggiunta di nuovi dati al file. Registrazione debug L'attivazione della registrazione debug per ogni modulo consente inoltre la registrazione di debug per le funzioni del modulo Common, come l'autoprotezione. Attiva per Threat Prevention Attiva la registrazione dettagliata per Threat Prevention e le singole tecnologie: Attiva per protezione dell'accesso Registra in AccessProtection_Debug.log Attiva per la prevenzione exploit Registra in ExploitPrevention_Debug.log Attiva per programma di scansione all'accesso Registra in OnAccessScan_Debug.log Attiva per programma di scansione su richiesta Registra in OnDemandScan_Debug.log L'attivazione della registrazione debug per ogni tecnologia Threat Prevention consente di eseguire la registrazione debug per Endpoint Security Client. Attiva per il Firewall Consente la registrazione dettagliata delle attività Firewall. Attiva per Web Control Consente la registrazione dettagliata delle attività Web Control. Limita le dimensioni (MB) di ciascun file del registro di debug Limita ciascun file di registro di debug alla dimensione massima specificata (compresa tra 1 MB e 999 MB). L'impostazione predefinita è 50 MB. Disattivare l'opzione per consentire ai file di registro di raggiungere qualsiasi dimensione. Se il file di registro supera le dimensioni impostate, il 25% delle voci meno recenti viene eliminato per consentire l'aggiunta di nuovi dati al file. Registrazione eventi Invia eventi a McAfee ePO Invia tutti gli eventi registrati nel Registro eventi in Endpoint Security Client a McAfee ePO. Questa opzione è disponibile solo sui sistemi gestiti da McAfee ePO o McAfee ePO Cloud. Registra eventi nel registro applicazione Windows 92 McAfee Endpoint Security 10 Invia tutti gli eventi registrati nel Registro eventi in Endpoint Security Client al registro applicazione Windows. Il registro applicazione Windows è accessibile da: Visualizzatore eventi | Registri di Windows | Applicazione. Guida del prodotto Riferimento dell'interfaccia client Common – Opzioni 6 Tabella 6-2 Opzioni avanzate (segue) Sezione Opzione Definizione Livelli di gravità Specifica il livello di gravità degli eventi da registrare nel Registro eventi in Endpoint Security Client: Eventi Threat Prevention da registrare Nessuno Non invia alcun avviso Solo critici Invia solo avvisi di livello 1 Gravi e critici Invia avvisi di livello 1 e 2 Minori, gravi e critici Invia avvisi di livello 1–3 Tutti tranne informativi Invia avvisi di livello 1–4 Tutti Invia avvisi di livello 1–5 1 Critico 2 Grave 3 Minore 4 Avviso 5 Informativo Specifica i livelli di gravità degli eventi per ciascuna funzionalità Threat Prevention da registrare: • Protezione dell'accesso • Prevenzione exploit • Programma di scansione all'accesso • Programma di scansione su richiesta Eventi Firewall da registrare Specifica i livelli di gravità degli eventi Firewall da registrare. Eventi Web Control Specifica i livelli di gravità degli eventi Web Control da registrare. da registrare Server proxy per Nessun server McAfee GTI proxy Specifica il recupero, da parte dei sistemi gestiti, delle informazioni relative alla reputazione McAfee GTI direttamente da Internet e non tramite un server proxy. (Opzione predefinita) Utilizza Specifica l'utilizzo di impostazioni proxy dal sistema client e attiva impostazioni proxy facoltativamente l'autenticazione proxy HTTP. di sistema Configura server proxy Personalizza le impostazioni proxy. • Indirizzo – Specifica l'indirizzo IP o il nome di dominio completo del server proxy HTTP. • Porta – Limita l'accesso dalla porta specificata. • Escludere i seguenti indirizzi – Il server proxy HTTP non deve essere utilizzato per i siti Web o gli indirizzi IP che iniziano con le voci specificate. Fare clic su Aggiungi, quindi immettere il nome dell'indirizzo da escludere. McAfee Endpoint Security 10 Guida del prodotto 93 6 Riferimento dell'interfaccia client Common – Opzioni Tabella 6-2 Opzioni avanzate (segue) Sezione Opzione Definizione Abilita autenticazione proxy HTTP Il server proxy HTTP necessita di autenticazione. (L'opzione è disponibile solo se è stata selezionata un server proxy HTTP.) Immettere le credenziali proxy HTTP: • Nome utente – Specifica l'account utente con autorizzazioni sufficienti per l'accesso al server proxy HTTP. • Password – Specifica la password per il Nome utente. • Conferma password – Conferma la password specificata. Aggiornamento Attiva il pulsante client predefinito Aggiorna ora nel client Attiva il pulsante Endpoint Security Client. nella pagina principale di Fare clic su questo pulsante per verificare e scaricare manualmente gli aggiornamenti dei file di contenuto e i componenti software nel sistema client. È possibile configurare queste impostazioni solamente nei sistemi autogestiti e gestiti da McAfee ePO. Elementi da aggiornare Siti di origine per gli aggiornamenti Specifica cosa aggiornare quando il pulsante selezionato. viene Contenuto di sicurezza, hotfix e patch Aggiorna tutti i contenuti di sicurezza (fra cui: motore, AMCore e contenuto prevenzione exploit), nonché altri hotfix e patch alle ultime versioni. Contenuto di sicurezza Aggiorna solo i contenuti di sicurezza (impostazione predefinita). Hotfix e patch Aggiorna solo hotfix e patch. Configura i siti da cui ottenere gli aggiornamenti per i file di contenuto e i componenti software. È possibile configurare queste impostazioni solamente nei sistemi autogestiti. Aggiungi Aggiunge un sito all'elenco siti di origine. Per ulteriori informazioni vedere Aggiungi o Modifica siti di origine a pagina 95. Importa Importa un elenco di siti da un file XML. Elimina Elimina il sito selezionato dall'elenco dei siti di origine. Indica gli elementi che possono essere spostati nell'elenco. Selezionare degli elementi, quindi trascinarli e rilasciarli nella nuova posizione. Viene visualizzata una riga blu tra gli elementi dove è possibile rilasciare gli elementi trascinati. È possibile attivare e disattivare i due siti di origine backup predefiniti (NAIFtp e NAIHttp), ma non modificarli, eliminarli o spostarli nell'elenco. 94 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Common – Opzioni Tabella 6-2 Opzioni avanzate (segue) Sezione Opzione Server proxy per Nessun server siti di origine proxy Definizione Specifica il recupero, da parte dei sistemi gestiti, delle informazioni relative alla reputazione McAfee GTI direttamente da Internet e non tramite un server proxy. (Opzione predefinita) Utilizza Specifica l'utilizzo di impostazioni proxy dal sistema client e attiva impostazioni proxy facoltativamente l'autenticazione proxy HTTP o FTP. di sistema Configura server proxy Personalizza le impostazioni proxy. • Indirizzo HTTP/FTP – Specifica l'indirizzo DNS, IPv4 o IPv6 del server proxy HTTP o FTP. • Porta – Limita l'accesso dalla porta specificata. • Escludere i seguenti indirizzi – Specifica gli indirizzi per i sistemi Endpoint Security Client per cui non si desidera utilizzare il server proxy per ottenere le classificazioni McAfee GTI. Fare clic su Aggiungi, quindi immettere il nome dell'indirizzo da escludere. Attiva autenticazione proxy HTTP/FTP Il server proxy HTTP o FTP necessita di autenticazione. (L'opzione è disponibile solo se è stata selezionata un'opzione server proxy HTTP o FTP.) Immettere le credenziali proxy: • Nome utente – Specifica l'account utente con autorizzazioni sufficienti per l'accesso al server proxy. • Password – Specifica la password per il Nome utente specificato. • Conferma password – Conferma la password specificata. Vedere anche Protezione di risorse Endpoint Security a pagina 28 Configurazione delle impostazioni di registrazione a pagina 29 Configurazione delle impostazioni per la sicurezza dell'interfaccia client a pagina 29 Configurazione delle impostazioni del server proxy per McAfee GTI a pagina 30 Configurare il comportamento di aggiornamento del a pagina 31 Configurazione dei siti di origine per gli aggiornamenti client a pagina 32 Aggiungi o Modifica siti di origine a pagina 95 Aggiungi o Modifica siti di origine Aggiunge o modifica un sito nell'elenco dei siti di origine. Tabella 6-3 Definizioni delle opzioni Opzione Definizione Nome Indica il nome del sito di origine contenente i file di aggiornamento. Attiva Attiva o disattiva l'uso del sito di origine per il download dei file di aggiornamento. Recupera file da Specifica da dove recuperare i file. McAfee Endpoint Security 10 Guida del prodotto 95 6 Riferimento dell'interfaccia client Common – Opzioni Tabella 6-3 Definizioni delle opzioni (segue) Opzione Definizione Archivio HTTP Recupera i file dal percorso dell'archivio HTTP specificato. Un sito HTTP consente l'aggiornamento indipendentemente dalla protezione di rete, ma supporta livelli di connessioni simultanee superiori rispetto a FTP. URL • Nome DNS – Indica che l'URL è un nome di dominio. • IPv4 – Indica che l'URL è un indirizzo IPv4. • IPv6 – Indica che l'URL è un indirizzo IPv6. http:// – Specifica l'indirizzo del server e della cartella HTTP in cui si trovano i file di aggiornamento. Porta – Specifica il numero di porta per il server HTTP. Utilizza autenticazione Seleziona l'utilizzo dell'autenticazione e specifica le credenziali per l'accesso alla cartella del file di aggiornamento. • Nome utente – Specifica l'account utente con autorizzazioni di lettura per la cartella del file di aggiornamento. • Password – Specifica la password per il Nome utente specificato. • Conferma password – Conferma la password specificata. 96 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Common – Opzioni Tabella 6-3 Definizioni delle opzioni (segue) Opzione Definizione Archivio FTP Recupera i file dal percorso dell'archivio FTP specificato. Un sito FTP offre flessibilità di aggiornamento senza la necessità di doversi conformare ad autorizzazioni di sicurezza della rete. Poiché l'FTP si è rivelato meno soggetto ad attacchi di codice non desiderato rispetto a HTTP, esso può offrire una maggiore tolleranza. URL • Nome DNS – Indica che l'URL è un nome di dominio. • IPv4 – Indica che l'URL è un indirizzo IPv4. • IPv6 – Indica che l'URL è un indirizzo IPv6. ftp:// – Specifica l'indirizzo del server e della cartella FTP in cui si trovano i file di aggiornamento. Porta – Specifica il numero di porta per il server FTP. Seleziona l'utilizzo dell'FTP anonimo per l'accesso alla cartella del file di aggiornamento. Utilizza accesso anonimo Deselezionare questa opzione per specificare le credenziali di accesso. • Nome utente – Specifica l'account utente con autorizzazioni di lettura per la cartella del file di aggiornamento. • Password – Specifica la password per il Nome utente specificato. • Conferma password – Conferma la password specificata. Percorso UNC o Recupera i file dal percorso UNC o locale specificato. Percorso locale Un sito UNC è il sito più rapido e semplice da impostare. Per gli aggiornamenti UNC tra domini è necessario disporre delle autorizzazioni di sicurezza per ciascun dominio e ciò rende la configurazione dell'aggiornamento più complessa. Percorso • Percorso UNC – Specifica il percorso utilizzando la notazione UNC (\ \servername\path\). • Percorso locale – Specifica il percorso di una cartella su un'unità locale o di rete. Utilizza account di connessione Accede ai file di aggiornamento utilizzando l'account con il quale è stato effettuato l'accesso. Questo account deve disporre di autorizzazioni di lettura alle cartelle contenenti i file di aggiornamento. Deselezionare questa opzione per specificare le credenziali di accesso. • Dominio – Specifica il dominio per l'account utente. • Nome utente – Specifica l'account utente con autorizzazioni di lettura per la cartella del file di aggiornamento. • Password – Specifica la password per il Nome utente specificato. • Conferma password – Conferma la password specificata. McAfee Endpoint Security 10 Guida del prodotto 97 6 Riferimento dell'interfaccia client Common – Attività Common – Attività Pianifica le attività di Endpoint Security Client. Sezione Opzione Definizione Attività Indica le attività attualmente definite e pianificate. Fare doppio clic sulla riga dell'attività per modificare un'attività esistente. Nome Nome dell'attività pianificata. Funzionalità Modulo o funzionalità ai quali è associata l'attività. Pianifica Indica se l'attività è pianificata per l'esecuzione e se è disattivata. Stato Stato dell'ultima volta in cui è stata eseguita l'attività: • (nessuno stato) – Nessuna esecuzione • Esecuzione – Attualmente in esecuzione o ripristinata • Sospesa – Sospesa dall'utente (come una scansione) • Rinviata – Rinviata dall'utente (come una scansione) • Terminata – Esecuzione completata senza errori • Terminata (errori) – Esecuzione completata con errori • Non riuscita – Completamento non riuscito Ultima esecuzione Data e ora dell'ultima esecuzione dell'attività. Esegui adesso Apre la finestra di dialogo associata all'attività selezionata. Scansione rapida Apre la finestra di dialogo Scansione rapida e avvia la scansione. Scansione completa Apre la finestra di dialogo Scansione completa e avvia la scansione. Aggiornamento client predefinito Apre la finestra di dialogo Aggiorna e avvia l'aggiornamento. Elimina Elimina l'attività selezionata. Aggiungi Aggiunge una nuova attività pianificata. Vedere anche Esecuzione di una scansione completa o di una scansione rapida a pagina 36 Aggiornamento manuale di protezione e software a pagina 20 Attività Modifica scansione completa o Modifica scansione rapida a pagina 98 Attività Modifica aggiornamento client predefinito a pagina 100 Attività Modifica scansione completa o Modifica scansione rapida Pianifica e modifica l'attività Scansione completa o Scansione rapida. Vedere Configurare le impostazioni della policy di scansione su richiesta a pagina 54 per informazioni sulla configurazione delle impostazioni di Scansione completa e Scansione rapida. 98 McAfee Endpoint Security 10 Guida del prodotto Riferimento dell'interfaccia client Common – Attività 6 Per impostazione predefinita, sia la Scansione completa sia la Scansione rapida sono pianificate per l'esecuzione quotidiana alle 23:59. Le pianificazioni sono disattivate. È possibile configurare queste impostazioni solamente nei sistemi autogestiti. Tabella 6-4 Categoria Opzione Definizione Pianifica Pianifica l'attività per l'esecuzione in un orario specifico. (Disattivato per impostazione predefinita) Attiva pianificazione È necessario selezionare questa opzione per pianificare l'attività. Ripetizioni Specifica la frequenza dell'attività. Ogni giorno Esegue l'attività ogni giorno all'Ora inizio specificata. Ogni settimana Esegue l'attività settimanalmente: • Nelle settimane specificate in Frequenza • Nei giorni specificati in Viene eseguito il Ogni mese Esegue l'attività mensilmente in: • Giorno del mese specificato • Giorni della settimana specificati: primo, secondo, terzo, quarto o ultimo Ora inizio Timeout Termina l'attività se eseguita per oltre Specifica l'orario in cui iniziare l'attività. Esegui una volta nell'orario definito Esegue l'attività una volta all'Ora inizio specificata. Esegui nell'orario definito e ripeti fino a Esegue l'attività all'Ora inizio specificata. Quindi, esegue l'attività dopo il numero di ore/minuti specificati fino all'ora di fine specificata. Esegui nell'orario definito e ripeti per Esegue l'attività all'Ora inizio specificata. Quindi, esegue l'attività dopo il numero di ore/minuti specificati per il periodo di tempo specificato. Arresta l'attività dopo il numero di Ore e Minuti specificato. Se l'attività viene interrotta prima del completamento, all'avvio successivo la scansione verrà ripresa dal punto in cui è stata interrotta. Specifica le credenziali per eseguire l'attività. Account Se non vengono specificate credenziali, l'attività viene eseguita come account amministratore del sistema locale. Nome utente Specifica l'account utente. Password Specifica la password per l'account utente specificato. Conferma password Conferma la password per l'account utente specificato. Dominio Specifica il dominio dell'account utente specificato. McAfee Endpoint Security 10 Guida del prodotto 99 6 Riferimento dell'interfaccia client Common – Attività Vedere anche Configurare le impostazioni della policy di scansione su richiesta a pagina 54 Esecuzione di una scansione completa o di una scansione rapida a pagina 36 Pianificazione delle attività di scansione completa e scansione rapida a pagina 59 Attività Modifica aggiornamento client predefinito Pianifica e modifica l'attività Aggiornamento client predefinito. Vedere Configurare il comportamento di aggiornamento del a pagina 31 per informazioni sulla configurazione delle impostazioni di Aggiornamento client predefinito. Per impostazione predefinita, l'attività Aggiornamento client predefinito viene eseguita ogni giorno alle 1:00 e ripetuta ogni quattro ore fino alle 23:59. È possibile configurare queste impostazioni solamente nei sistemi autogestiti. Tabella 6-5 Categoria Opzione Definizione Pianifica Pianifica l'attività per l'esecuzione in un orario specifico. (Attivato per impostazione predefinita) Attiva pianificazione È necessario selezionare questa opzione per pianificare l'attività. Ripetizioni Specifica la frequenza dell'attività. Ogni giorno Esegue l'attività ogni giorno all'Ora inizio specificata. Ogni settimana Esegue l'attività settimanalmente in: • Settimane specificate in Frequenza • Giorni specificati in Viene eseguito il Ogni mese Esegue l'attività mensilmente in: • Giorno del mese specificato • Giorni della settimana specificati: primo, secondo, terzo, quarto o ultimo Ora inizio Timeout Termina l'attività se eseguita per oltre Specifica l'orario in cui iniziare l'attività. Esegui una volta nell'orario definito Esegue l'attività una volta all'Ora inizio specificata. Esegui nell'orario definito e ripeti fino a Esegue l'attività all'Ora inizio specificata. Quindi, esegue l'attività dopo il numero di ore/minuti specificati fino all'ora di fine specificata. Esegui nell'orario definito e ripeti per Esegue l'attività all'Ora inizio specificata. Quindi, esegue l'attività dopo il numero di ore/minuti specificati per il periodo di tempo specificato. Arresta l'attività dopo il numero di Ore e Minuti specificato. Se l'attività viene interrotta prima del completamento, all'avvio successivo la scansione verrà ripresa dal punto in cui è stata interrotta. 100 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Threat Prevention - Protezione dell'accesso Tabella 6-5 (segue) Categoria Opzione Definizione Account Specifica le credenziali per eseguire l'attività. Se non vengono specificate credenziali, l'attività viene eseguita come account amministratore del sistema locale. Nome utente Specifica l'account utente. Password Specifica la password per l'account utente specificato. Conferma password Conferma la password per l'account utente specificato. Dominio Specifica il dominio dell'account utente specificato. Vedere anche Configurare il comportamento di aggiornamento del a pagina 31 Pianificazione dell'attività Aggiornamento client predefinito a pagina 33 Common – Attività a pagina 98 Threat Prevention - Protezione dell'accesso Consente di proteggere i punti di accesso del sistema in base alle regole configurate. Consultare le impostazioni Common – Opzioni a pagina 90 per la configurazione della registrazione. La protezione dell'accesso confronta un'azione richiesta con l'elenco di regole configurate e agisce secondo la regola. Tabella 6-6 Sezione Opzione Definizione PROTEZIONE DELL'ACCESSO Attiva protezione dell'accesso Attiva la funzione di protezione dell'accesso. McAfee Endpoint Security 10 Guida del prodotto 101 6 Riferimento dell'interfaccia client Threat Prevention - Protezione dell'accesso Tabella 6-7 Opzioni avanzate Sezione Opzione Descrizione Esclusioni Escludi questi processi per Consente di accedere ai processi specificati per tutte le regole. tutte le regole Aggiungi Aggiunge un processo all'elenco di esclusioni. Fare clic su Aggiungi, quindi immettere il nome esatto del processo, come avtask.exe. Rimuove un processo dall'elenco di esclusioni. Elimina Selezionare il processo, quindi fare clic su Elimina. Specifica le azioni per le regole di protezione dell'accesso. Regole Blocca (solo) Blocca i tentativi di accesso senza eseguire la registrazione. Segnala (solo) Avvisa senza bloccare i tentativi di accesso. Si tratta di un'impostazione utile quando non sono note le effettive conseguenze di una regola. Controllare i registri e i report per stabilire se è necessario bloccare l'accesso. Blocca e segnala Blocca e registra i tentativi di accesso. Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga. Per disattivare la regola, deselezionare Blocca e Segnala. Escludi questi processi per Modifica le esclusioni per la regola selezionata. la regola selezionata Selezionare una regola, fare clic su Aggiungi, quindi immettere un processo da escludere dalla regola selezionata. Per eliminare un'esclusione, selezionarla, quindi fare clic su Elimina. Installazione di nuovi CLSID, APPID e TYPELIB Impedisce l'installazione o la registrazione di nuovi server COM. Questa regola protegge da programmi adware e spyware che si installano come add-on COM in Internet Explorer o nelle applicazioni Microsoft Office. Per impedire il blocco di applicazioni legittime che registrano add-on COM, incluse alcune applicazioni comuni come Macromedia Flash, aggiungerle all'elenco di esclusioni. Disattivazione di Editor del Registro e Task Manager Protegge le voci di registro Windows, impedendo la disattivazione dell'Editor del Registro e di Task Manager. Durante un'epidemia, disattivare questa regola per poter modificare il registro oppure aprire Task Manager per arrestare i processi attivi. Alterazione delle policy di diritti utente Protegge i valori di registro che contengono informazioni di sicurezza Windows. Questa regola impedisce ai worm di alterare gli account che dispongono di diritti amministratore. 102 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Threat Prevention - Protezione dell'accesso Tabella 6-7 Opzioni avanzate (segue) Sezione Opzione Alterazione delle registrazioni delle estensioni di file Descrizione Protegge le chiavi di registro in HKEY_CLASSES_ROOT dove sono registrate le estensioni dei file. Questa regola impedisce ai malware di modificare le registrazioni di estensione dei file per consentire ai malware di essere eseguiti in background. Disattivare questa regola durante l'installazione di applicazioni valide che modificano le registrazioni dell'estensione dei file nel registro. Questa regola costituisce un'alternativa più restrittiva a Assunzione del controllo di file eseguibili con estensione .EXE e altre estensioni. Creazione o modifica remota di tipi di file quali eseguibile portabile, .INI, .PIF e percorsi sistema principale Impedisce ad altri computer di stabilire una connessione e alterare i file eseguibili, come i file nella cartella Windows. Questa regola riguarda solamente i tipi di file generalmente infettati da virus. Questa regola protegge da worm o virus che si diffondono rapidamente, che attraversano una rete tramite le condivisioni aperte o amministrative. Questa regola è un'alternativa meno sicura a Impostare tutte le condivisioni come di sola lettura. Creazione remota di file di esecuzione automatica Impedisce ad altri computer di stabilire una connessione e creare o alterare i file di esecuzione automatica (autorun.inf). I file di esecuzione automatica vengono utilizzati per avviare automaticamente i file di programmi, normalmente file di configurazione da CD. Questa regola impedisce l'esecuzione di spyware e adware distribuiti su CD. Questa regola è selezionata per impostazione predefinita per Blocca e Segnala. Esecuzione di file da qualsiasi cartella temporanea Impedisce agli eseguibili di eseguire o avviare file da qualsiasi cartella che contiene "temp" nel nome. Questa regola protegge contro i malware salvati ed eseguiti dalla cartella Temp dell'utente o del sistema, come gli allegati eseguibili nelle email e nei programmi scaricati. Nonostante questa regola fornisca la protezione maggiore, potrebbe bloccare l'installazione di applicazioni legittime. Esecuzione di script di Windows script host (CScript.exe o Wscript.exe) da qualsiasi cartella temporanea Impedisce a Windows script host di eseguire script VBScript e JavaScript da qualsiasi cartella che contiene "temp" nel nome. Questa regola protegge da numerosi trojan e meccanismi di installazione Web discutibili utilizzati da applicazioni adware e spyware. Questa regola potrebbe bloccare l'installazione o l'esecuzione di applicazioni di terze parti e script legittimi. Questa regola è selezionata per impostazione predefinita per Segnala. Accesso o modifica di file Rubrica telefonica di Accesso remoto McAfee Endpoint Security 10 Impedisce ai malware di leggere gli elenchi di contatti dell'utente, archiviati nei file rasphone.pbk delle cartelle del profilo utente. Guida del prodotto 103 6 Riferimento dell'interfaccia client Threat Prevention - Protezione dell'accesso Tabella 6-7 Opzioni avanzate (segue) Sezione Opzione Esecuzione e lettura di tftp.exe Descrizione Impedisce di utilizzare TFTP (Trivial File Transfer Protocol), un protocollo di trasferimento file senza autenticazione utente. Questa regola impedisce ai malware di utilizzare TFTP per scaricare altri malware nel sistema, impedendo ulteriori infezioni. Poiché Windows richiede l'accesso a tftp.exe durante l'installazione dei Service Pack Windows, disattivare questa regola durante l'installazione di patch e Service Pack. Lettura di file nella cache di Limita l'accesso agli elementi nella cache Internet Explorer soltanto Internet Explorer a Internet Explorer. Questa regola impedisce ai malware di eseguire una ricerca all'interno della cache Internet Explorer per individuare indirizzi email e password di siti Web. Qualsiasi processo che utilizza la libreria WinInet o ospita un controllo Internet Explorer in una finestra può accedere alla cache. Se attivata, potrebbe essere necessario aggiungere processi a questa regola. Accesso remoto a file o cartelle locali Impedisce l'accesso in lettura e scrittura da computer remoti al computer. Questa regola impedisce la diffusione di un worm di tipo share-hopping. In un ambiente standard, questa regola è adatta alle workstation, ma non ai server, ed è utile solamente quando i computer si trovano sotto attacco attivo. Se un computer viene gestito eseguendovi il push di file, questa regola impedisce l'installazione di aggiornamenti o patch. Questa regola non influisce sulle funzioni di gestione di McAfee ePO. Creazione o modifica di file o cartelle da remoto Blocca l'accesso in scrittura a tutte le condivisioni. Questa regola è utile durante un'epidemia, in quanto impedisce l'accesso in scrittura per limitare la diffusione dell'infezione. La regola blocca i malware che altrimenti limiterebbero gravemente l'uso del computer o della rete. In un ambiente standard, questa regola è adatta alle workstation, ma non ai server, ed è utile solamente quando i computer si trovano sotto attacco attivo. Se un computer viene gestito eseguendovi il push di file, questa regola impedisce l'installazione di aggiornamenti o patch. Questa regola non influisce sulle funzioni di gestione di McAfee ePO. Assunzione del controllo di file eseguibili con estensione .EXE e altre estensioni Protegge .EXE, .BAT e altre chiavi di registro eseguibili in HKEY_CLASSES_ROOT. Questa regola impedisce ai malware di modificare le chiavi di registro per eseguire il virus quando si sta eseguendo un altro eseguibile. Questa regola è un'alternativa meno restrittiva a Modifica di tutte le registrazioni delle estensioni di file. 104 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Pagina Threat Prevention - Prevenzione exploit Tabella 6-7 Opzioni avanzate (segue) Sezione Opzione Descrizione Esecuzione di eseguibili potenzialmente dannosi di Svchost Impedisce a svchost.exe di caricare DLL diverse dalle .DLL del servizio Windows. Modifica di processi Windows principali Impedisce la creazione o l'esecuzione di file con i nomi contraffatti più comuni. Questa regola impedisce ai malware di utilizzare svchost.exe per registrare .DLL che non fanno parte di Windows. Questa regola impedisce a virus e trojan di essere eseguiti con il nome di un processo Windows. Questa regola esclude i file Windows autentici. Modifica di file e impostazioni Mozilla Impedisce ai processi di apportare modifiche ai preferiti e alle impostazioni di Firefox. Questa regola impedisce a trojan, adware e spyware della pagina iniziale di modificare le impostazioni browser, come cambiare la pagina iniziale o installare i preferiti. Modifica di impostazioni Internet Explorer Impedisce ai processi di apportare modifiche alle impostazioni di Internet Explorer. Questa regola impedisce a trojan, adware e spyware della pagina iniziale di modificare le impostazioni browser, come cambiare la pagina iniziale o installare i preferiti. Installazione di oggetti Impedisce l'installazione di adware, spyware e trojan come oggetti helper browser o estensioni helper browser nel computer host. shell Questa regola impedisce l'installazione di adware e spyware sui sistemi. Per consentire ad applicazioni personalizzate o di terze parti legittime di installare questi oggetti, aggiungerli all'elenco di esclusioni. Dopo l'installazione, è possibile riattivare la regola in quanto non impedisce il funzionamento degli oggetti helper browser installati. Esecuzione URL di Guida e supporto tecnico di Windows (HCP) in Internet Explorer o Windows Media Player Impedisce a Internet Explorer e Media Player di eseguire URL della guida in linea e supporto tecnico (HCP) (hcp://). Modifica di preferiti o impostazioni Internet Explorer Impedisce ai processi di apportare modifiche alle configurazioni e ai file di Internet Explorer. Questa regole impedisce a un autore di attacchi di utilizzare un URL hcp:// per eseguire un codice arbitrario sul computer, con le autorizzazioni dell'utente. Questa regola impedisce a trojan, adware e spyware della pagina iniziale di modificare le impostazioni browser, come cambiare la pagina iniziale o installare i preferiti. Vedere anche Configurare le impostazioni della policy di protezione dell'accesso a pagina 46 Pagina Threat Prevention - Prevenzione exploit Abilita e configura la prevenzione degli exploit per impedire agli exploit di overflow del buffer di eseguire codice arbitrario sul computer dell'utente. Consultare le impostazioni Common – Opzioni a pagina 90 per la configurazione della registrazione. McAfee Endpoint Security 10 Guida del prodotto 105 6 Riferimento dell'interfaccia client Pagina Threat Prevention - Prevenzione exploit Tabella 6-8 Sezione Opzione Definizione PREVENZIONE EXPLOIT Attiva la prevenzione degli exploit Attiva la funzione di prevenzione degli exploit. Se questa opzione non viene attivata, il sistema non è protetto da numerosi attacchi malware. Tabella 6-9 Opzioni avanzate Sezione Opzione Definizione Prevenzione Utilizza esecuzione dati prevenzione Windows esecuzione dati Windows Attiva prevenzione esecuzione dati Windows (DEP). (Disattivato per impostazione predefinita) Livello di protezione Specifica il livello di protezione della prevenzione exploit. Standard Disattivando questa opzione non si hanno effetti sui processi con DEP attivato come conseguenza della policy di prevenzione esecuzione dati Windows. Rileva e blocca solo gli exploit di overflow del buffer con livello di gravità elevato identificati nel file di contenuto di prevenzione exploit e arresta il thread rilevato. Utilizzare questa funzione in modalità Standard per un breve periodo. Consultare contemporaneamente il file di registro per stabilire se passare alla protezione Massima. Massima Rileva e blocca gli exploit di overflow del buffer con livello di gravità elevato e medio identificati nel file di contenuto di prevenzione exploit e arresta il thread rilevato. Questa impostazione può generare falsi positivi. Esclusioni Escludi questi processi Specifica il nome del processo che effettua la chiamata e a cui appartiene la memoria scrivibile. Immettere il nome del processo da escludere. La prevenzione exploit esclude il processo indipendentemente da dove questo si trovi. Le esclusioni fanno distinzione tra maiuscole e minuscole e i caratteri jolly non sono consentiti. Aggiungi Aggiunge un processo all'elenco di esclusioni. Immettere il nome del processo o il nome e il relativo percorso. Elimina Rimuove il processo selezionato dall'elenco di esclusioni. Vedere anche Configurare le impostazioni della policy di prevenzione exploit a pagina 48 106 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Pagina Threat Prevention - Scansione all'accesso Pagina Threat Prevention - Scansione all'accesso Consente di attivare e configurare le impostazioni di scansione all'accesso. Consultare le impostazioni Common – Opzioni a pagina 90 per la configurazione della registrazione. Tabella 6-11 Sezione Opzione Definizione SCANSIONE ALL'ACCESSO Attiva scansione all'accesso Attiva la funzione Scansione all'accesso. Attivato per impostazione predefinita. Attiva scansione Attiva la funzione Scansione all'accesso ogni volta che si accende il all'accesso all'avvio del computer. Attivato per impostazione predefinita. sistema Specifica il numero massimo di secondi per la scansione di ciascun file Limita la scansione di ciascun file al numero di secondi specificato. Attivato per impostazione predefinita. Scansiona settori di avvio Esamina il settore di avvio del disco. Attivato per impostazione predefinita. Se viene superato il limite di tempo, la scansione si interrompe e viene registrato un messaggio. Quando il disco contiene un settore di avvio univoco o anomalo che non può essere sottoposto a scansione, disattivare la scansione del settore di avvio. Esegui scansione dei Esegue nuovamente la scansione di tutti i processi attualmente in processi all'attivazione memoria, ogni volta che: • Si disattiva e riattiva la scansione all'accesso. • Il sistema viene avviato. Poiché alcuni programmi o eseguibili si avviano automaticamente all'avvio del sistema, l'attivazione di questa opzione rallenta il sistema e aumenta il tempo di avvio dello stesso. Disattivato per impostazione predefinita. Quando il programma di scansione all'accesso è attivo, eseguirà sempre le scansioni di tutti i processi quando questi vengono eseguiti. Esegui scansione dei programmi di installazione affidabili Esegue la scansione dei file MSI (installati da msiexec.exe e con firma McAfee o Microsoft) o dei file del servizio Windows Trusted Installer. Disattivato per impostazione predefinita. Disattivare questa opzione per migliorare le prestazioni dei programmi di installazione della maggior parte delle applicazioni Microsoft. McAfee Endpoint Security 10 Guida del prodotto 107 6 Riferimento dell'interfaccia client Pagina Threat Prevention - Scansione all'accesso Tabella 6-11 Sezione (segue) Opzione Definizione Scansione durante la copia da cartelle locali Esegue la scansione dei file quando l'utente li copia da una cartella locale a un'altra. Se questa opzione è: • Disattivato – Vengono sottoposti a scansione solo gli elementi che si trovano nella cartella di destinazione. • Attivato – Vengono sottoposti a scansione sia gli elementi nella cartella di origine (lettura) sia quelli in quella di destinazione (scrittura). Disattivato per impostazione predefinita. Per ulteriori informazioni vedere McAfee GTI a pagina 115. McAfee GTI Tabella 6-12 Opzioni avanzate Sezione Opzione Definizione Messaggistica utente rilevamento minacce Al rilevamento di una minaccia, mostra la finestra di scansione all'accesso Mostra la pagina Scansione all'accesso con il messaggio specificato agli utenti client quando si verifica un rilevamento. Attivato per impostazione predefinita. Quando questa opzione è selezionata, gli utenti possono aprire questa pagina dalla pagina Avvia scansione ogni volta che l'elenco di rilevamenti include almeno una minaccia. L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security o del sistema. Messaggio Mostra il messaggio specificato agli utenti client quando si verifica un rilevamento. Il messaggio predefinito è: McAfee Endpoint Security ha rilevato una minaccia. Impostazioni processi Utilizza impostazioni standard per tutti i processi Applica le stesse impostazioni configurate a tutti i processi durante l'esecuzione di una scansione all'accesso. Configura impostazioni diverse per processi ad alto e basso rischio Configura diverse impostazioni di scansione per ciascun tipo di processo identificato. • Standard – Processi non identificati come a rischio elevato o basso. Attivato per impostazione predefinita. • Rischio elevato – Processi che presentano un rischio elevato. • Rischio basso - Processi che presentano un rischio basso. Aggiungi Aggiunge un processo all'elenco Rischio elevato o Rischio basso. Elimina Scansione 108 Rimuove un processo dall'elenco Rischio elevato o Rischio basso. Specifica quando eseguire la scansione Durante la scrittura sul disco Esegue la scansione di tutti i file quando vengono scritti o modificati nel computer o in altri dispositivi di memorizzazione dati. Durante la lettura dal disco Esegue la scansione di tutti i file quando vengono letti dal computer o da altri dispositivi di memorizzazione dati. McAfee consiglia vivamente di attivare questa opzione. McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Pagina Threat Prevention - Scansione all'accesso Tabella 6-12 Opzioni avanzate (segue) Sezione Opzione Definizione Lascia decidere McAfee Consente a McAfee di decidere se sottoporre un file a scansione, utilizzando la logica di affidabilità per ottimizzare la scansione. La logica di affidabilità migliora la sicurezza e le prestazioni evitando scansioni non necessarie. Non eseguire la Specifica di non eseguire la scansione dei soli processi con Rischio scansione durante la basso. lettura o la scrittura da disco Sulle unità di rete Esegue la scansione delle risorse sulle unità di rete mappate. La scansione delle risorse di rete può incidere sulle prestazioni. Aperto per i backup Esamina i file aperti per le operazioni di backup. Tipi di file da sottoporre a scansione Tutti i file Esegue la scansione di tutti i file, indipendentemente dalla loro estensione. McAfee consiglia vivamente di attivare questa opzione. Se questa opzione non viene attivata, il sistema non è protetto dagli attacchi malware. Tipi di file specificati e Esegue la scansione di: predefiniti • Elenco predefinito di estensioni nel file AMCore content corrente. • (facoltativo) Minacce di macro conosciute. • Eventuali estensioni aggiuntive specificate. • (facoltativo) File senza estensione. Solo i tipi di file specificati Esegue la scansione solo dei file con le estensioni specificate e, facoltativamente, dei file senza estensioni. Specifica cosa scansionare File di archivio compressi Esamina il contenuto dei file di archivio (compressi), inclusi i file .jar. Poiché la scansione di file compressi può avere effetti negativi sulle prestazioni di sistema, McAfee consiglia di eseguire le scansioni degli archivi quando il sistema non è in uso. File compressi con codifica MIME Consente di rilevare, decodificare e sottoporre a scansione i file MIME (Multipurpose Internet Mail Extensions) codificati. Rileva programmi indesiderati Specifica la rilevazione, da parte del programma di scansione all'accesso, di programmi potenzialmente indesiderati. Il programma di scansione utilizza le informazioni configurate nelle impostazioni Opzioni allo scopo di rilevare programmi potenzialmente indesiderati. Azioni McAfee Endpoint Security 10 Per ulteriori informazioni vedere Azioni a pagina 116. Guida del prodotto 109 6 Riferimento dell'interfaccia client Threat Prevention – Scansione su richiesta Tabella 6-12 Opzioni avanzate (segue) Sezione Opzione Definizione Esclusioni Specifica i file, le cartelle e le unità da escludere dalla scansione. Per ulteriori informazioni vedere Aggiungi o modifica esclusioni a pagina 118. Aggiungi Aggiunge un elemento all'elenco di esclusioni Predefinito, Rischio elevato o Rischio basso. Rimuove un elemento dall'elenco di esclusioni Predefinito, Rischio elevato o Rischio basso. Elimina ScriptScan Attiva ScriptScan Consente agli script di scansione JavaScript e VBScript di impedire l'esecuzione di script indesiderati. Attivato per impostazione predefinita. Se ScriptScan è disattivato all'avvio di Internet Explorer e viene attivato in seguito, non rileva gli script dannosi nell'istanza di Internet Explorer. È necessario riavviare Internet Explorer dopo aver attivato ScriptScan affinché rilevi gli script dannosi. Deselezionare questa opzione per consentire al computer client di utilizzare le esclusioni specificate in questa attività e le esclusioni specificate localmente sul client. Escludi questi URL Specifica le esclusioni ScriptScan in base all'URL. Aggiungi Aggiunge un URL all'elenco di esclusioni. Elimina Rimuove un URL dall'elenco di esclusioni Gli URL non possono includere caratteri jolly. Tuttavia, qualsiasi URL che contenga una stringa proveniente da un URL escluso viene a sua volta escluso. Ad esempio, se l'URL msn.com è escluso, anche i seguenti URL vengono esclusi: • http://weather.msn.com • http://music.msn.com Sui sistemi Windows Server 2008, le esclusioni degli URL ScriptScan non funzionano con Windows Internet Explorer, a meno che non si selezioni Attiva estensioni di browser di terze parti e si riavvii il sistema. Per ulteriori dettagli, consultare l'articolo KB relativo alle esclusioni di URL per ScriptScan. Vedere anche Configurare le impostazioni della policy di scansione all'accesso a pagina 49 McAfee GTI a pagina 115 Azioni a pagina 116 Aggiungi o modifica esclusioni a pagina 118 Threat Prevention – Scansione su richiesta Configura le impostazioni di scansione su richiesta per le scansioni preconfigurate eseguite sul sistema personale. Consultare le impostazioni Common – Opzioni a pagina 90 per la configurazione della registrazione. 110 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Threat Prevention – Scansione su richiesta Queste impostazioni specificano il comportamento del programma di scansione quando: • Si seleziona Scansione completa o Scansione rapida dalla pagina Esegui scansione in Endpoint Security Client. • Si fa clic con il pulsante destro del mouse su un file o una cartella e si seleziona Ricerca minacce dal menu popup. Tabella 6-14 Sezione Opzione Definizione Tipo di scansione Scansiona settori di avvio Il programma di scansione esamina il settore di avvio del disco. Quando il disco contiene un settore di avvio univoco o anomalo che non può essere sottoposto a scansione, può essere opportuno disattivare la scansione del settore di avvio. Rileva programmi indesiderati Consente al programma di scansione di rilevare programmi potenzialmente indesiderati. Il programma di scansione utilizza le informazioni configurate nelle impostazioni Common allo scopo di rilevare programmi potenzialmente indesiderati. Decodifica file con codifica MIME Consente di rilevare, decodificare e sottoporre a scansione i file MIME (Multipurpose Internet Mail Extensions) codificati. Esegui scansione su Esamina il contenuto dei file di archivio (compressi), inclusi i file .jar. file all'interno di archivi Poiché la scansione di file compressi può avere effetti negativi sulle prestazioni di sistema, McAfee consiglia di utilizzare questa opzione nelle scansioni eseguite durante l'orario non lavorativo, quando il sistema non è in uso. Esegui la scansione di file migrati in archivio Esegue la scansione di file gestiti dall'archiviazione remota. Quando il programma di scansione incontra un file il cui contenuto è stato migrato, il file viene ripristinato nel sistema locale prima della scansione. Trova minacce di programma sconosciute Utilizza McAfee GTI per rilevare file eseguibili con codice simile a malware. Trova minacce di macro sconosciute Utilizza McAfee GTI per rilevare virus macro sconosciuti. Scansiona sottocartelle Esamina tutte le sottocartelle della cartella specificata. Questa opzione si applica solamente alle impostazioni di scansione di scelta rapida. Per ulteriori informazioni vedere Percorsi di scansione a pagina 114. Percorsi di scansione Queste opzioni si applicano solamente a scansione completa e scansione rapida. Tipi di file da sottoporre a scansione Tutti i file Esegue la scansione di tutti i file, indipendentemente dalla loro estensione. McAfee consiglia vivamente di attivare Tutti i file. Se questa opzione non viene attivata, il sistema non è protetto dagli attacchi malware. McAfee Endpoint Security 10 Guida del prodotto 111 6 Riferimento dell'interfaccia client Threat Prevention – Scansione su richiesta Tabella 6-14 Sezione (segue) Opzione Definizione Tipi di file specificati Esegue la scansione di: e predefiniti • Elenco predefinito di estensioni nel file AMCore content corrente. • (Facoltativo) minacce di macro conosciute. • Eventuali estensioni aggiuntive specificate. • (Facoltativo) file senza estensione. Solo i tipi di file specificati Esegue la scansione solo dei file con le estensioni specificate e, facoltativamente, dei file senza estensioni. Per ulteriori informazioni vedere McAfee GTI a pagina 115. McAfee GTI Esclusioni Specifica i file, le cartelle e le unità da escludere dalla scansione. Per ulteriori informazioni vedere Aggiungi o modifica esclusioni a pagina 118. Aggiungi Aggiunge un elemento all'elenco di esclusioni. Elimina Rimozione di un elemento dall'elenco di esclusioni. Selezionare l'elemento nella tabella, quindi fare clic su Elimina. Per ulteriori informazioni vedere Azioni a pagina 116. Azioni Prestazioni Utilizza la cache di scansione Consente al programma di scansione di utilizzare i risultati di scansione dei file ripuliti esistenti. Selezionare questa opzione per ridurre le scansioni duplicate e migliorare le prestazioni. Utilizzo del sistema Consente al sistema operativo di impostare la quantità di tempo della CPU che il programma di scansione riceve durante il processo di scansione. Ogni attività viene eseguita in maniera indipendente e senza considerare i limiti impostati per le altre attività. Consente di completare la scansione più rapidamente. Normale Selezionare questa opzione per i sistemi che dispongono di grandi volumi e una minima attività dell'utente finale. Al di sotto del normale Imposta l'utilizzo di sistema per la scansione sul valore McAfee ePO predefinito. Basso Fornisce prestazioni migliori per le altre applicazioni in uso. Selezionare questa opzione per i sistemi con attività dell'utente finale. Opzioni di scansione pianificata 112 McAfee Endpoint Security 10 Queste opzioni si applicano solamente a scansione completa e scansione rapida. Guida del prodotto 6 Riferimento dell'interfaccia client Threat Prevention – Scansione su richiesta Tabella 6-14 Sezione (segue) Opzione Definizione Esegui scansione solo quando il sistema è inattivo Esegue la scansione solo quando il sistema è inattivo. Threat Prevention mette in pausa la scansione quando rileva attività del disco o dell'utente, come l'accesso mediante tastiera o mouse. Threat Prevention riprende la scansione dopo tre minuti dall'ultimo accesso al sistema da parte dell'utente. McAfee consiglia di disattivare questa opzione sui sistemi server e i sistemi ai quali gli utenti accedono solamente tramite connessione desktop remota (RDP). Threat Prevention dipende da McTray per stabilire se il sistema è inattivo. Sui sistemi ai quali si accede solamente tramite RDP, McTray non viene avviato e il programma di scansione su richiesta non viene mai eseguito. Per aggirare questo problema, gli utenti possono avviare McTray (in C:\Program Files\McAfee\Agent\mctray.exe, per impostazione predefinita) manualmente quando accedono tramite RDP. Scansiona in qualsiasi momento Esegue la scansione anche se l'utente è attivo e specifica le opzioni di scansione. L'utente può rinviare le scansioni – Consente all'utente di rinviare le scansioni pianificate e specifica le opzioni per il rinvio della scansione. Numero massimo di volte in cui gli utenti possono rinviare per un'ora Specifica il numero di volte (1-23) in cui l'utente può rinviare la scansione per un'ora. Messaggio utente Specifica il messaggio da visualizzare quando una scansione sta per iniziare. Il messaggio predefinito è: McAfee Endpoint Security sta per eseguire la scansione del sistema. Durata messaggio (secondi) Specifica la durata (in secondi) di visualizzazione del messaggio utente quando una scansione sta per iniziare. L'intervallo valido per la durata è 30–300; il valore predefinito è 45 secondi. Non eseguire la scansione quando il sistema è in modalità presentazione – Rinvia la scansione mentre il sistema si trova in modalità di presentazione. Non eseguire la Rinvia la scansione quando l'alimentazione è a batteria. scansione quando il sistema è alimentato a batteria Vedere anche Configurare le impostazioni della policy di scansione su richiesta a pagina 54 Esecuzione di una scansione completa o di una scansione rapida a pagina 36 Scansione di un file o una cartella a pagina 38 Percorsi di scansione a pagina 114 McAfee GTI a pagina 115 Azioni a pagina 116 Aggiungi o modifica esclusioni a pagina 118 McAfee Endpoint Security 10 Guida del prodotto 113 6 Riferimento dell'interfaccia client Percorsi di scansione Percorsi di scansione Specifica i percorsi da sottoporre a scansione. Queste opzioni si applicano solamente a scansione completa e scansione rapida. Tabella 6-15 Sezione Opzione Definizione Percorsi di scansione Scansiona sottocartelle Il programma di scansione esamina tutte le sottocartelle nei volumi specificati quando una di queste opzioni è selezionata: • Cartella principale • Cartella temporanea • Cartella del profilo utente • Unità o cartella • Cartella Programmi Deselezionare questa opzione per esaminare solo il livello principale dei volumi. Specifica percorsi Specifica i percorsi da sottoporre a scansione. Aggiungi Aggiunge un percorso da sottoporre a scansione. Fare clic su Aggiungi, quindi selezionare la posizione dal menu a discesa. Elimina Rimuove un percorso dalla scansione. Selezionare il percorso e fare clic su Elimina. Memoria per i rootkit Esegue la scansione della memoria del sistema per individuare rootkit installati, processi nascosti e altri segnali che indichino il tentativo di nascondersi da parte di malware. Questa scansione viene eseguita prima di tutte le altre. Se questa opzione non viene attivata, il sistema non è protetto dagli attacchi malware. Processi in esecuzione Esegue la scansione della memoria di tutti i processi in esecuzione. Le Azioni diverse da Pulisci file vengono trattate come Continua scansione. Se questa opzione non viene attivata, il sistema non è protetto dagli attacchi malware. File registrati Esegue la scansione dei file riportati dal registro di Windows. Il programma di scansione esegue prima una ricerca nel registro in base al nome dei file, stabilisce se i file esistono, crea un elenco di file da sottoporre a scansione ed esegue la scansione dei file. Risorse del computer Esegue la scansione di tutte le unità collegate fisicamente al computer o delle unità logiche mappate a lettere di unità del computer in uso. Tutte le unità locali Esegue la scansione di tutte le unità e delle relative sottocartelle appartenenti al computer in uso. Tutte le unità fisse Esegue la scansione di tutte le unità collegate fisicamente al computer in uso. Tutte le unità rimovibili Esegue la scansione di tutte le unità rimovibili o di altri supporti di archiviazione collegati al computer in uso. Tutte le unità mappate Esegue la scansione di tutte le unità logiche di rete mappate a un'unità di rete del computer in uso. 114 McAfee Endpoint Security 10 Guida del prodotto Riferimento dell'interfaccia client McAfee GTI Tabella 6-15 Sezione 6 (segue) Opzione Definizione Cartella principale Esegue la scansione della cartella principale dell'utente che ha avviato la scansione. Cartella del profilo utente Esegue la scansione del profilo dell'utente che avvia la scansione, inclusa la cartella Documenti dell'utente. Cartella Windows Esegue la scansione della cartella Windows. Cartella Programmi Esegue la scansione dei contenuti della cartella Programmi. Cartella Temp Esegue la scansione della cartella Temp. Cestino Esegue la scansione del contenuto del Cestino. File o cartella Esegue la scansione di un file o cartella specifici. Vedere anche Threat Prevention – Scansione su richiesta a pagina 110 McAfee GTI Attiva e configura le impostazioni di McAfee GTI. Tabella 6-16 Sezione Opzione Definizione Attiva e disattiva i controlli euristici. Attiva McAfee GTI • Quando è attivata, questa opzione invia impronte digitali degli esempi o hash a McAfee Labs per stabilire se si tratta di malware. Inviando gli hash, il rilevamento potrebbe essere reso disponibile prima del successivo aggiornamento dei file AMCore content, quando McAfee Labs pubblica l'aggiornamento. • Quando non è attiva, nessuna impronta digitale o dato viene inviato a McAfee Labs. Consente di configurare il livello di sensibilità da utilizzare per determinare se un elemento rilevato è una minaccia malware. Livello di sensibilità Un livello di sensibilità più elevato comporta un maggior numero di rilevamenti di malware. Tuttavia, consentendo l'esecuzione di un elevato numero di rilevamenti è possibile ottenere un maggior numero di risultati falsi positivi. Livello di rischio Molto basso Indica che la quantità di rilevamenti e il rischio che si verifichino falsi positivi corrispondono a quelli che si presentano quando si utilizzano i normali file AMCore content. Anziché attendere il successivo aggiornamento del file AMCore content, un rilevamento può essere reso disponibile a Threat Prevention quando viene pubblicato da McAfee Labs. Utilizzare questa impostazione per i desktop e server con diritti utente limitati e un'impronta digitale di sicurezza affidabile. Questa impostazione produce una media di 10-15 query al giorno, per computer. McAfee Endpoint Security 10 Guida del prodotto 115 6 Riferimento dell'interfaccia client Azioni Tabella 6-16 Sezione (segue) Opzione Definizione Basso Questa impostazione è quella minima raccomandata per i laptop o i desktop e per i server con un'impronta digitale di sicurezza affidabile. Questa impostazione produce una media di 10-15 query al giorno, per computer. Medio Utilizzare questo livello quando il rischio normale di esposizione al malware è maggiore del rischio di un falso positivo. Le verifiche euristiche proprietarie di McAfee Labs sono in grado di individuare correttamente gli elementi malware. Tuttavia, alcuni rilevamenti possono generare falsi positivi. Con questa impostazione, McAfee Labs verifica che i file di applicazioni e sistemi operativi largamente diffusi non generino falsi positivi. Questa impostazione è quella minima raccomandata per i laptop o i desktop e per i server. Questa impostazione produce una media di 20-25 query al giorno, per computer. Elevato Utilizzare questa impostazione per la distribuzione nei sistemi o nelle aree infettati regolarmente. Questa impostazione produce una media di 20-25 query al giorno, per computer. Molto elevato McAfee consiglia di utilizzare questo livello solamente per la scansione di volumi e directory che non supportano i sistemi operativi o l'esecuzione di programmi. Benché presumibilmente pericolosi, i rilevamenti ottenuti mediante questo livello non sono stati sottoposti a verifiche esaustive per confermare che non si tratti di falsi positivi. Utilizzare questa impostazione per le scansioni su richiesta su volumi di sistema non operativi. Questa impostazione produce una media di 20-25 query al giorno, per computer. Vedere anche Pagina Threat Prevention - Scansione all'accesso a pagina 107 Threat Prevention – Scansione su richiesta a pagina 110 Web Control – Opzioni a pagina 129 Azioni Consente di specificare la modalità di risposta del programma di scansione al rilevamento di una minaccia. Tabella 6-17 Sezione Opzione Definizione Tipo di scansione Scansione all'accesso Prima risposta al rilevamento delle minacce Nega l'accesso ai file 116 McAfee Endpoint Security 10 Scansione su richiesta Consente di selezionare la prima azione che il programma di scansione deve intraprendere al rilevamento di una minaccia. Impedisce agli utenti di accedere a X qualsiasi file con potenziali minacce. Guida del prodotto 6 Riferimento dell'interfaccia client Azioni Tabella 6-17 (segue) Sezione Opzione Definizione Tipo di scansione Scansione all'accesso Scansione su richiesta Continua a eseguire la scansione Continua a eseguire la scansione in caso di rilevamento di una minaccia. Il programma di scansione non sposta gli elementi in quarantena. X Pulisci file Rimuove la minaccia dal file rilevato, se possibile. X X Elimina file Elimina i file contenenti potenziali minacce. X X Se la prima risposta non riesce Consente di selezionare l'azione che il programma di scansione deve intraprendere al rilevamento di una minaccia se la prima azione non riesce. Nega l'accesso ai file Impedisce agli utenti di accedere a X qualsiasi file con potenziali minacce. Continua a eseguire la scansione Continua a eseguire la scansione in caso di rilevamento di una minaccia. Il programma di scansione non sposta gli elementi in quarantena. Elimina file Elimina i file contenenti potenziali minacce. Prima risposta ai programmi indesiderati X X X Consente di selezionare la prima azione che il programma di scansione deve eseguire al rilevamento di un programma potenzialmente indesiderato. Questa opzione è disponibile solo se Rileva programmi indesiderati è selezionato. Nega l'accesso ai file Impedisce agli utenti di accedere a X qualsiasi file con potenziali minacce. Consenti l'accesso ai file Consente agli utenti di accedere ai file con potenziali minacce. Continua a eseguire la scansione Continua a eseguire la scansione in caso di rilevamento di una minaccia. Il programma di scansione non sposta gli elementi in quarantena. Pulisci file Rimuove la minaccia dal file del programma potenzialmente indesiderato, se possibile. X X Elimina file Elimina i file del programma potenzialmente indesiderato. X X X X Se la prima risposta non riesce Consente di selezionare l'azione che il programma di scansione deve eseguire al rilevamento di un programma potenzialmente indesiderato, se la prima azione non ha esito positivo. Questa opzione è disponibile solo se Rileva programmi indesiderati è selezionato. Nega l'accesso ai file McAfee Endpoint Security 10 Impedisce agli utenti di accedere a X qualsiasi file con potenziali minacce. Guida del prodotto 117 6 Riferimento dell'interfaccia client Aggiungi o modifica esclusioni Tabella 6-17 (segue) Sezione Opzione Definizione Tipo di scansione Scansione all'accesso Consenti l'accesso ai file Consente agli utenti di accedere ai file con potenziali minacce. Continua a eseguire la scansione Continua a eseguire la scansione in caso di rilevamento di una minaccia. Il programma di scansione non sposta gli elementi in quarantena. Elimina file Elimina i file del programma potenzialmente indesiderato automaticamente. Scansione su richiesta X X X X Vedere anche Pagina Threat Prevention - Scansione all'accesso a pagina 107 Threat Prevention – Scansione su richiesta a pagina 110 Aggiungi o modifica esclusioni Consente di aggiungere o modificare una definizione di esclusione. Tabella 6-18 Sezione Opzione Definizione Tipo di scansione All'accesso Su richiesta Specifica il tipo di esclusione e i dettagli dell'esclusione. Elementi da escludere Criterio Specifica il criterio con il quale eseguire le esclusioni. X X Se necessario, selezionare Escludi anche le sottocartelle. Tipo di file Specifica i tipi di file (estensioni di file) da escludere. X X Data file Specifica il tipo di accesso (Ultima modifica, Ultimo accesso o Data creazione) dei file da escludere e il Tempo minimo in giorni. X X Specifica quando escludere l'elemento selezionato. Quando escludere Durante la scrittura Esclude dalla scansione quando i file o la lettura del disco vengono scritti o letti dal disco o da altri dispositivi di memorizzazione dati. X Durante la lettura dal Esclude dalla scansione quando i file disco vengono letti dal computer o da altri dispositivi di memorizzazione dati. X Durante la scrittura sul disco Esclude dalla scansione quando i file vengono scritti o modificati dal disco o da altri dispositivi di memorizzazione dati. X Vedere anche Pagina Threat Prevention - Scansione all'accesso a pagina 107 Threat Prevention – Scansione su richiesta a pagina 110 118 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Threat Prevention - Opzioni Threat Prevention - Opzioni Consente di configurare le impostazioni applicabili alla funzionalità Threat Prevention, incluse quarantena, programmi potenzialmente indesiderati ed esclusioni. Consultare le impostazioni Common – Opzioni a pagina 90 per la configurazione della registrazione. In questa sezione sono incluse solo opzioni avanzate. Tabella 6-19 Sezione Opzione Gestore quarantena Directory di quarantena Definizione Specifica il percorso per la cartella di quarantena o accetta il percorso predefinito: c:\Quarantena Specifica il numero massimo di giorni di conservazione dei dati in quarantena Esclusioni in base Escludi questi nomi al nome rilevamento rilevamento Specifica il numero di giorni (1–999) in cui gli elementi resteranno in quarantena prima di essere automaticamente eliminati. Il valore predefinito è 30 giorni. Specifica le esclusioni di rilevamento in base al nome rilevamento. Ad esempio, per specificare che il programma di scansione all'accesso e su richiesta non rilevino le minacce di verifica dell'installazione, immettere Installation Check. Aggiungi Aggiunge un nome rilevamento all'elenco di esclusioni. Fare clic su Aggiungi, quindi immettere il nome rilevamento. Elimina Rimuove un nome rilevamento dall'elenco di esclusioni. Selezionare il nome, quindi fare clic su Elimina. Rilevamenti di programmi potenzialmente indesiderati Escludere i programmi indesiderati personalizzati Consente di specificare singoli file o programmi da rilevare come programmi potenzialmente indesiderati. I programmi di scansione rilevano i programmi specificati dall'utente e quelli specificati nei file AMCore content. Il programma di scansione non rileva programmi indesiderati definiti dall'utente di dimensioni pari a zero byte. Aggiungi Definisce i programmi indesiderati personalizzati. Fare clic su Aggiungi, immettere il nome, quindi premere Tab per immettere la descrizione. • Nome – Specifica il nome del file del programma potenzialmente indesiderato. • Descrizione – Specifica le informazioni da visualizzare come nome rilevamento quando viene rilevato un elemento. Elimina Rimuove un programma potenzialmente indesiderato dall'elenco. Selezionare il programma nella tabella, quindi fare clic su Elimina. McAfee Endpoint Security 10 Guida del prodotto 119 6 Riferimento dell'interfaccia client Ripristina AMCore content Vedere anche Configurazione delle impostazioni di scansione comuni a pagina 59 Ripristina AMCore content Modifica di AMCore content a una versione precedente. Opzione Definizione Selezionare la versione da caricare Specifica i numeri di versione di un file AMCore content precedente da caricare. Endpoint Security conserva le due versioni precedenti sul sistema client. Quando si torna a una versione precedente, Endpoint Security rimuove la versione corrente di AMCore content dal sistema. Vedere anche Modifica della versione AMCore content a pagina 25 Firewall – Opzioni Consente di attivare e disattivare il modulo Firewall e di impostare le opzioni di protezione. Consultare le impostazioni Common – Opzioni a pagina 90 per la configurazione della registrazione. La modalità dell'interfaccia per Endpoint Security Client deve essere impostata su Accesso completo oppure è necessario essere registrati come amministratore. Tabella 6-21 Sezione Opzioni di protezione Opzione Definizione Attiva Firewall Attiva e disattiva il modulo Firewall. Consenti il traffico per protocolli non supportati Consente tutto il traffico che utilizza protocolli non supportati. Quando è disattivato, tutto il traffico che utilizza protocolli non supportati viene bloccato. Consenti solo traffico in uscita fino all'avvio dei servizi firewall Consente il traffico in uscita ma non quello in ingresso fino a che il servizio Firewall non viene avviato. Se questa opzione è disattivata, Firewall consente tutto il traffico prima dell'avvio dei servizi. Consenti traffico con Consente il traffico con un indirizzo MAC locale. bridge L'indirizzo MAC è un indirizzo nell'elenco di VM supportate da Firewall, non l'indirizzo MAC del sistema locale. Utilizzare questa opzione per consentire il traffico attraverso un ambiente con bridge con le macchine virtuali. Attiva protezione spoofing IP 120 McAfee Endpoint Security 10 Blocca il traffico di rete dagli indirizzi IP host non locali o dai processi locali che cercano di eseguire lo spoofing degli indirizzi IP. Guida del prodotto 6 Riferimento dell'interfaccia client Firewall – Opzioni Tabella 6-21 Sezione Blocco DNS (segue) Opzione Definizione Attiva avvisi intrusione firewall Mostra gli avvisi automaticamente quando Firewall rileva un potenziale attacco. Nome di dominio Specifica i nomi di dominio da bloccare. Quando applicata, questa impostazione aggiunge una regola nella parte iniziale delle regole firewall che blocchi le connessioni agli indirizzi IP risolvendo i nomi di dominio. Aggiungi Aggiunge un nome di dominio all'elenco degli elementi bloccati. È possibile utilizzare i caratteri jolly * e ?. Ad esempio, *domain.com. Separare più domini con una virgola (,) o un a capo. Eventuali voci duplicate saranno rimosse automaticamente. Elimina Rimuove il nome di dominio selezionato dall'elenco degli elementi bloccati. Tabella 6-22 Opzioni avanzate Sezione Opzione Definizione Opzioni regolazione Attiva modalità adattiva Crea automaticamente regole per consentire il traffico. Attivare questa opzione temporaneamente durante la regolazione di una distribuzione. Registra tutto il traffico Registra tutto il traffico bloccato nel registro eventi Firewall bloccato (FirewallEventMonitor.log) in Endpoint Security Client. (Attivato per impostazione predefinita) Registra tutto il traffico Registra tutto il traffico consentito nel registro eventi Firewall consentito (FirewallEventMonitor.log) in Endpoint Security Client. (Disattivato per impostazione predefinita) L'attivazione di questa opzione potrebbe incidere negativamente sulle prestazioni. Reputazione di rete di McAfee GTI Invia eventi McAfee GTI Invia eventi al server McAfee ePO se l'impostazione della soglia di al server blocco di McAfee GTI per il traffico in ingresso e in uscita corrisponde. (Disattivato per impostazione predefinita) Qualsiasi indirizzo IP per una rete affidabile viene escluso dalla ricerca McAfee GTI. McAfee Endpoint Security 10 Guida del prodotto 121 6 Riferimento dell'interfaccia client Firewall – Regole Tabella 6-22 Opzioni avanzate (segue) Sezione Opzione Definizione Soglia reputazione rete Specifica la soglia di classificazione McAfee GTI per il blocco del in ingresso/uscita traffico in ingresso o in uscita da una connessione di rete. Firewall con stato Non bloccare Questo sito è una fonte o destinazione legittima di contenuti/traffico. Rischio elevato Questa origine/destinazione invia o ospita contenuti/traffico potenzialmente nocivi che McAfee considera rischiosi. Rischio medio Questa origine/destinazione mostra il comportamento che McAfee considera sospetto. Qualsiasi contenuto/traffico da questo sito richiede attenzione speciale. Non verificato Questo sito sembra essere una fonte o destinazione legittima di contenuti/traffico, ma presenta anche proprietà che suggeriscono la necessità di un'ulteriore verifica. Numero di secondi (1-240) prima della scadenza delle connessioni TCP Specifica il tempo, in secondi, in cui una connessione TCP non stabilita rimane attiva se non vengono più inviati o ricevuti pacchetti che corrispondono alla connessione. Il numero predefinito è 30; l'intervallo valido è 1-240. Numero di secondi (1-300) prima della scadenza delle connessioni virtuali UDP ed echo ICMP Specifica il tempo, in secondi, in cui una connessione virtuale UDP ed echo ICMP rimane attiva se non vengono più inviati o ricevuti pacchetti che corrispondono alla connessione. Questa opzione viene reimpostata al proprio valore predefinito ogni volta che viene inviato o ricevuto un pacchetto che corrisponde alla connessione virtuale. Il numero predefinito è 30; l'intervallo valido è 1-300. Vedere anche Configurazione delle opzioni Firewall a pagina 62 Firewall – Regole Gestisce le regole e i gruppi firewall. È possibile aggiungere ed eliminare regole e gruppi solo nel gruppo aggiunto dall'utente. Tabella 6-23 Sezione Opzione Definizione Regola Gruppo REGOLE Aggiunge una regola firewall. X Aggiungi regola Vedere Pagina Aggiungi o modifica regole e gruppi a pagina 123 per informazioni. Aggiungi gruppo Aggiunge un gruppo firewall. X Duplica Crea una copia dell'elemento selezionato. X X Elimina Rimuove un elemento firewall selezionato. X X Indica gli elementi che possono essere spostati nell'elenco. X X Selezionare degli elementi, quindi trascinarli e rilasciarli nella nuova posizione. Viene visualizzata una riga blu tra gli elementi dove è possibile rilasciare gli elementi trascinati. 122 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Firewall – Regole Vedere anche Creazione e gestione di regole e gruppi Firewall a pagina 70 Pagina Aggiungi o modifica regole e gruppi a pagina 123 Pagina Aggiungi o modifica regole e gruppi Aggiunge o modifica le regole e i gruppi firewall. Tabella 6-24 Sezione Opzione Definizione Descrizione Nome Specifica il nome descrittivo dell'elemento (obbligatorio). X X Stato Attiva o disattiva l'elemento. X X Specifica azioni Consenti – Consente il traffico tramite il firewall se l'elemento corrisponde. X Blocca – Blocca il traffico tramite il firewall se l'elemento corrisponde. X Gestisci corrispondenza come intrusione – Gestisce il traffico che corrisponde alla regola come un attacco e genera un evento che viene inviato al server McAfee ePO. L'azione Blocca per la regola deve essere selezionata per la generazione di un evento. X Registra traffico corrispondente – Conserva un archivio del traffico corrispondente nel registro attività Firewall in Endpoint Security Client. X Specifica la direzione: X X X X Direzione Regola Gruppo • Ingresso – Monitora il traffico in ingresso. • Uscita – Monitora il traffico in uscita. • Entrambe – Monitora il traffico in ingresso e quello in uscita. Posizione Note Fornisce ulteriori informazioni sull'elemento. Attiva riconoscimento della posizione Attiva o disattiva le informazioni di posizione per il gruppo. X Nome Specifica il nome della posizione (obbligatorio). X McAfee Endpoint Security 10 Guida del prodotto 123 6 Riferimento dell'interfaccia client Firewall – Regole Tabella 6-24 (segue) Sezione Opzione Definizione Regola Gruppo Attiva isolamento Blocca il traffico su schede di rete che non corrispondono connessione al gruppo quando è presente una scheda non corrispondente. X Le impostazioni per Trasporto ed Eseguibili non sono disponibili per i gruppi di isolamento della connessione. Questa opzione blocca l'ingresso nella rete aziendale del traffico generato da origini potenzialmente indesiderate esterne alla rete. Questo tipo di blocco del traffico è possibile solo se il traffico non è già stato consentito da una regola che precede il gruppo nel firewall. Quando l'isolamento connessione è attivato e una scheda NIC corrisponde al gruppo, il traffico viene consentito solo se si applica una delle seguenti condizioni: • Il traffico corrisponde a una Regola di consenso prima del gruppo. • Il traffico che passa per la scheda NIC corrisponde al gruppo ed è presente una regola nel gruppo o dopo di esso che lo consente. Se nessuna scheda NIC corrisponde al gruppo, questo viene ignorato e prosegue il tentativo di far corrispondere le regole. Richiede la raggiungibilità di ePolicy Orchestrator 124 McAfee Endpoint Security 10 Attiva la corrispondenza del gruppo solo se presente la comunicazione con il server McAfee ePO e se l'FQDN del server è stato risolto. X Guida del prodotto 6 Riferimento dell'interfaccia client Firewall – Regole Tabella 6-24 (segue) Sezione Opzione Criteri posizione Definizione Regola Gruppo Suffisso DNS specifico per la connessione Indica un suffisso DNS specifico per la connessione con formato: esempio.com. Gateway predefinito Specifica un unico indirizzo IP per un gateway predefinito con formato IPv4 o IPv6. Server DHCP Specifica un unico indirizzo IP per un server DHCP con formato IPv4 o IPv6. Server DNS Specifica un unico indirizzo IP per un server DNS con formato IPv4 o IPv6. WINS principale Specifica un unico indirizzo IP per un server WINS principale con formato IPv4 o IPv6. WINS secondario Specifica un unico indirizzo IP per un server WINS secondario con formato IPv4 o IPv6. Raggiungibilità dominio Controlla la raggiungibilità del dominio specificato. Ad esempio: • IPv4 – 123.123.123.123 • IPv6 – 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Chiave di registro Specifica la chiave di registro e il relativo valore. X 1 Nel primo campo, specificare la chiave di registro con il formato: <ROOT>\<KEY>\[VALUE_NAME] • <ROOT> – Deve indicare il nome completo della directory principale, come HKEY_LOCAL_MACHINE e non l'HKLM abbreviato. • <KEY> – È il nome chiave sotto la directory principale. • [VALUE_NAME] – È il nome del valore chiave. Se non viene incluso il nome del valore, si presume sia il valore predefinito. 2 Nel secondo campo dopo il segno di uguale, immettere i dati del valore chiave. Per copiare una chiave di registro per incollarla, fare clic con il pulsante destro del mouse su una chiave nel Registro di sistema (eseguire regedit) e selezionare Copia Nome chiave. Reti Protocollo di rete McAfee Endpoint Security 10 Specifica le opzioni host di rete applicabili all'elemento. X X Specifica il protocollo di rete applicabile all'elemento. X X Guida del prodotto 125 6 Riferimento dell'interfaccia client Firewall – Regole Tabella 6-24 (segue) Sezione Opzione Qualsiasi protocollo Definizione Regola Gruppo Consente sia i protocolli IP sia quelli non IP. X X X X X X Indica se uno o tutti i tipi di connessione sono applicabili: X X Se viene specificato un protocollo di trasporto o un'applicazione, sono consentiti solo i protocolli IP. Protocollo IP Esclude i protocolli non IP. • Protocollo IPv4 • Protocollo IPv6 Se nessuna casella di controllo è selezionata, è applicabile qualsiasi protocollo IP. Possono essere selezionati entrambi i protocolli: IPv4 e IPv6. Protocollo non IP Include solo i protocolli non IP. • Seleziona etherType da elenco – Specifica un etherType. • Specifica etherType personalizzato – Specifica i quattro caratteri del valore esadecimale etherType del protocollo non IP. Vedere Numeri ethernet per i valori etherType. Ad esempio, immettere 809B per AppleTalk, 8191 per NetBEUI o 8037 per IPX. Tipi di connessione • Cablata • Wireless • Virtuale Un tipo di connessione Virtuale consiste in un adattatore presentato da una VPN o un'applicazione macchina virtuale, come VMware, piuttosto che un adattatore fisico. Specifica reti Specifica le reti applicabili all'elemento. X X • Aggiungi – Crea e aggiunge una rete. Vedere Aggiungi reti a pagina 128 per informazioni. • Importa – Importa un elenco di nomi di rete da un file XML. • Elimina – Rimuove la rete dall'elenco. Trasporto 126 McAfee Endpoint Security 10 Specifica le opzioni di trasporto applicabili all'elemento. Guida del prodotto 6 Riferimento dell'interfaccia client Firewall – Regole Tabella 6-24 (segue) Sezione Opzione Protocollo di trasporto Definizione Regola Gruppo Specifica il protocollo di trasporto associato all'elemento. X X Selezionare il protocollo, quindi fare clic su Aggiungi per aggiungere porte. Tutti i protocolli Sono consentiti i protocolli IP, non IP e non supportati. TCP e UDP Dal menu a discesa, selezionare: • Porta locale – Specifica il servizio o la porta del traffico locale ai quali è applicabile l'elemento. • Porta remota – Specifica il servizio o la porta su un altro computer ai quali è applicabile l'elemento. Porta locale e Porta remota possono essere: • Un singolo servizio. Ad esempio, 23. • Un intervallo. Ad esempio, 1–1024. • Un elenco separato da virgole di singole porte e intervalli. Ad esempio, 80, 8080, 1–10, 8443 (fino a quattro elementi). Per impostazione predefinita, le regole sono applicabili a tutti i servizi e porte. ICMP e ICMPv6 Nel menu a discesa Tipo di messaggio, specificare un tipo di messaggio ICMP: • ICMP • ICMPv6 Altro Eseguibili Esegue la selezione da un elenco di protocolli meno comuni. Specifica gli eseguibili applicabili alla regola. • Aggiungi – Crea e aggiunge un eseguibile. Per ulteriori informazioni vedere Eseguibili Aggiungi o Modifica a pagina 128. • Importa – Importa un elenco di nomi di eseguibili da un file XML. • Elimina – Rimuove un eseguibile dall'elenco. Vedere anche Creazione e gestione di regole e gruppi Firewall a pagina 70 Aggiungi reti a pagina 128 Eseguibili Aggiungi o Modifica a pagina 128 McAfee Endpoint Security 10 Guida del prodotto 127 6 Riferimento dell'interfaccia client Firewall – Regole Eseguibili Aggiungi o Modifica Aggiunge e modifica un eseguibile associato a una regola o gruppo, oppure aggiunge un eseguibile al Catalogo Firewall. Tabella 6-25 Opzione Definizione Regola Gruppo Nome Specifica il nome assegnato all'eseguibile. X X Percorso file Specifica il percorso file per raggiungere l'eseguibile da aggiungere o modificare. X X X X X X X X Fare clic su Sfoglia per selezionare l'eseguibile. Il percorso file può contenere caratteri jolly. Descrizione del file Indica la descrizione del file. Questo campo viene compilato automaticamente quando si seleziona un eseguibile. Indica l'hash MD5 del processo. Impronta Questo campo viene compilato automaticamente quando si seleziona un eseguibile. Attiva controllo firma digitale Attiva o disattiva il controllo firma digitale che garantisce che il codice non sia stato alterato o corrotto dalla sua firma con un hash crittografico. Se attivato, specificare: • Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di processo. • Firmato da – Consente solo i file firmati dal firmatario del processo specificato. Aggiungi reti Aggiunge o modifica una rete associata a una regola o gruppo, oppure aggiunge una rete al Catalogo Firewall. Tabella 6-26 Opzione Definizione Regola Gruppo Nome Specifica il nome dell'indirizzo di rete (obbligatorio). X X Tipo Consente di selezionare: X X • Rete locale – Crea e aggiunge una rete locale. • Rete remota – Crea e aggiunge una rete remota. Aggiungi Aggiunge un tipo di rete all'elenco di reti. X X Elimina Elimina l'elemento selezionato. X X X X X X Tipo di rete Specifica l'origine o la destinazione del traffico. Eseguire la selezione dall'elenco a discesa Tipo di indirizzo. Vedere Tipo di indirizzo a pagina 129 per un elenco dei tipi di indirizzo. Indirizzo Specifica l'indirizzo IP da aggiungere alla rete. I caratteri jolly sono validi. 128 McAfee Endpoint Security 10 Guida del prodotto 6 Riferimento dell'interfaccia client Web Control – Opzioni Vedere anche Tipo di indirizzo a pagina 129 Tipo di indirizzo Specifica il tipo di indirizzo. Tabella 6-27 Definizioni delle opzioni Opzione Definizione IP singolo Specifica un particolare indirizzo IP. Ad esempio: • IPv4 – 123.123.123.123 • IPv6 – 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Specifica l'indirizzo della sottorete di qualsiasi adattatore nella rete. Ad esempio: Sottorete • IPv4 – 123.123.123.0/24 • IPv6 – 2001:db8::0/32 Sottorete locale Specifica l'indirizzo della sottorete dell'adattatore locale. Intervallo Specifica un intervallo di indirizzi IP. Inserire il punto di inizio e il punto di fine dell'intervallo. Ad esempio: • IPv4 – 123.123.1.0 – 123.123.255.255 • IPv6 – 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff Nome di dominio completo Specifica l'FQDN. Ad esempio, www.esempio.com. Web Control – Opzioni Consente di configurare le impostazioni generali di Web Control, che includono l'attivazione, la specifica dell'imposizione di azioni, la ricerca sicura, e le annotazioni email. Consultare le impostazioni Common – Opzioni a pagina 90 per la configurazione della registrazione. Tabella 6-28 Sezione Opzione Definizione OPZIONI Attiva Web Control Disattiva o attiva Web Control. (Attivato per impostazione predefinita) Nascondi barra degli strumenti nel browser del client Nasconde la barra degli strumenti di Web Control nel browser senza disattivarne le funzionalità. (Disattivato per impostazione predefinita) Utilizzare questa opzione per risolvere tutti i problemi di compatibilità con dispositivi di terze parti. Registro eventi Registra categorie Web per siti classificati come verdi Registra le categorie di contenuti per tutti i siti classificati come verdi. La disattivazione di questa funzione può incidere negativamente sulle performance del server McAfee ePO. Registra eventi iFrame Web Registra il blocco dei siti pericolosi (rossi) e con avviso (gialli) Control visualizzati in un iframe HTML. McAfee Endpoint Security 10 Guida del prodotto 129 6 Riferimento dell'interfaccia client Web Control – Opzioni Tabella 6-28 (segue) Sezione Opzione Definizione Imposizione azione Applica questa azione ai siti Specifica l'azione predefinita da applicare ai siti non ancora non ancora verificati da classificati da McAfee GTI. McAfee GTI Per personalizzare il messaggio, è possibile utilizzare le opzioni in Messaggi di imposizione. Attiva supporto di iFrame HTML Consenti (predefinito) Consente agli utenti di accedere al sito. Avvisa Mostra un avviso per informare gli utenti delle potenziali minacce associate al sito. Gli utenti dovranno chiudere l'avviso prima di procedere. Blocca Impedisce agli utenti di accedere al sito e mostra un messaggio che indica il blocco del download dal sito. Blocca l'accesso ai siti pericolosi (Rosso) e con avviso (Giallo ) visualizzati in un iframe HTML. (Attivato per impostazione predefinita) Blocca siti per Blocca l'accesso ai siti Web per impostazione predefinita se Web impostazione predefinita se Control non può raggiungere il server McAfee GTI. il server delle classificazioni McAfee GTI non è raggiungibile Blocca pagine di phishing per tutti i siti Blocca tutte le pagine di phishing, sovrascrivendo le azioni di classificazione dei contenuti. (Attivato per impostazione predefinita) Attiva scansione file per il download di file Esegue la scansione di tutti i file, compresi i file .zip, prima di scaricarli. (Attivato per impostazione predefinita) Questa opzione impedisce agli utenti di accedere a un file scaricato fino a quando Threat Prevention lo contrassegna come non infetto. I file scaricati vengono inviati a Threat Prevention per la scansione. Threat Prevention esegue una ricerca McAfee GTI nel file. Se un file scaricato viene rilevato come minaccia, Endpoint Security non intraprende alcuna azione sul file e avvisa l'utente. Specifica il livello di rischio Specifica il livello di rischio McAfee GTI per eseguire il blocco McAfee GTI da bloccare quando la funzione di scansione su richiesta di Threat Prevention non è installata e attivata. Per ulteriori informazioni vedere McAfee GTI a pagina 115. Web Control utilizza il livello di rischio per calcolare il punteggio durante il recupero della reputazione checksum da McAfee GTI. Intervallo IP privato Configura Web Control per non eseguire classificazioni o azioni sull'intervallo dell'indirizzo IP privato specificato. Aggiungi Aggiunge un indirizzo IP privato all'elenco degli indirizzi da escludere dalla classificazione o dal blocco. Elimina Ricerca sicura Attiva ricerca sicura 130 McAfee Endpoint Security 10 Elimina un indirizzo IP dall'elenco di indirizzi da escludere dalla classificazione o dal blocco. La ricerca sicura blocca automaticamente i siti dannosi nei risultati di ricerca in base alla classificazione di sicurezza. Guida del prodotto Riferimento dell'interfaccia client Web Control – Azioni contenuto Tabella 6-28 Sezione 6 (segue) Opzione Definizione Imposta il motore di ricerca Specifica il motore di ricerca predefinito da utilizzare nei browser predefinito nei browser supportati: supportati • Yahoo • Google • Bing • Ask Blocca i link a siti rischiosi nei risultati di ricerca Impedisce agli utenti di fare clic su link a siti rischiosi nei risultati di ricerca. Tabella 6-29 Opzioni avanzate Sezione Opzione Definizione Annotazioni email Attiva annotazioni nelle email basate su Prende nota degli URL nei client email basati su browser browser, come Yahoo Mail e Gmail. Attiva annotazioni nelle email non basate su browser Prende nota degli URL negli strumenti di gestione delle email a 32 bit, come Microsoft Outlook o Outlook Express. Vedere anche Configurazione delle opzioni Web Control a pagina 82 McAfee GTI a pagina 115 Web Control – Azioni contenuto Definisce le azioni da intraprendere per siti e categorie di contenuti Web classificati. Per i siti e i download di file nelle categorie non bloccate, Web Control applica le azioni di classificazione. McAfee Endpoint Security 10 Guida del prodotto 131 6 Riferimento dell'interfaccia client Web Control – Azioni contenuto Tabella 6-31 Sezione Opzione Definizione Azioni di classificazione Azioni di classificazione per siti Specifica le azioni per i siti classificati come rossi, gialli oppure non classificati. Siti e download classificati come verdi vengono consentiti automaticamente. Consenti Consente agli utenti di accedere al sito. (Opzione predefinita per i siti indicati come Non classificato) Azioni di classificazione per i download di file Avvisa Mostra un avviso per informare gli utenti delle potenziali minacce associate al sito. Gli utenti dovranno chiudere l'avviso prima di annullare o procedere con l'accesso al sito. (Opzione predefinita per i siti classificati come Giallo) Blocca Impedisce agli utenti di accedere al sito e mostra un messaggio che indica il blocco del sito. (Opzione predefinita per i siti classificati come Rosso) Specifica le azioni per i download di file classificati come rossi, gialli o non classificati. Consenti Consente agli utenti di procedere con il download. (Opzione predefinita per i siti indicati come Non classificato) Avvisa Visualizza un avviso per segnalare agli utenti i potenziali pericoli associati al file di download. L'avviso va chiuso prima di terminare o di procedere con il download. (Opzione predefinita per i siti classificati come Giallo) Blocca Impedisce agli utenti di scaricare il file. Un messaggio segnala il blocco del download. (Opzione predefinita per i siti classificati come Rosso) Per personalizzare il messaggio, è possibile utilizzare le opzioni in Messaggi di imposizione. Tabella 6-32 Opzioni avanzate Sezione Opzione Definizione Blocco categoria Web Attiva blocco categoria Web Attiva il blocco dei siti in base alla categoria di contenuto. Blocca Impedisce agli utenti di accedere a qualsiasi sito che rientra in questa categoria e mostra un messaggio che indica il blocco del sito. Categoria Web Elenca le categorie Web, da quella con rischio più elevato a quella con rischio più basso. Le prime 7 categorie sono considerate come a rischio elevato e sono attivate per impostazione predefinita. Le categorie seguenti vengono visualizzate in ordine alfabetico e sono disattivate per impostazione predefinita. Vedere anche Specificare azioni di classificazione e bloccare l'accesso ai siti in base a una categoria Web a pagina 85 Uso delle classificazioni di sicurezza per controllare l'accesso a pagina 86 Uso delle categorie Web per controllare l'accesso a pagina 85 132 McAfee Endpoint Security 10 Guida del prodotto Indice A account utente, controllo dell'accesso al client 30 adattatore di rete, consenso alla connessione 66 adware, informazioni 41 aggiornamenti annullamento 20 configurazione siti per gli aggiornamenti 32 pulsante Aggiorna ora, Endpoint Security Client 20 aggiornamenti manuali, esecuzione 20 aggiornamenti prodotto pianificazione 33 ricerca manuale 20 aggiornamenti software pianificazione 33 ricerca manuale 20 aggiornamenti su richiesta, vedere aggiornamenti manuali, esecuzione aggiornamenti, componenti software client 8 aggiornamenti, Endpoint Security comportamento di configurazione 31 pianificazione da client 33 aggiornamenti, Threat Prevention Attività di aggiornamento client predefinito, informazioni 34 file di contenuto 8 file Extra.DAT 27 panoramica 9 pianificazione automatica 33 ricerca manuale 20 amministratori accesso a Endpoint Security Client 24 definite 8 password 24 password predefinita 11 annullamento scansione 50 App di Windows Store, rilevamento minacce 50, 54 app, Windows Store 50, 54 archivi, specifica delle opzioni di scansione 49, 54 aree commenti, Web Control 80 attacchi basati su heap, exploit di overflow del buffer 49 attacchi basati su stack, exploit di overflow del buffer 49 attacchi, exploit di overflow del buffer 49 Attività di aggiornamento client predefinito configurazione 31 configurazione siti per gli aggiornamenti 32 McAfee Endpoint Security 10 Attività di aggiornamento client predefinito informazioni 34 pianificazione con Endpoint Security Client 33 attività, Threat Prevention Aggiornamento client predefinito, informazioni 34 Aggiornamento client predefinito, pianificazione 33 Scansione completa e scansione rapida, pianificazione 59 Scansioni completa e rapida, informazioni 35 autogestito, informazioni 20 autonomo, vedere autogestito, informazioni Autoprotezione, configurazione 28 avvisi, Firewall 10 avvisi, Threat Prevention panoramica della scansione all'accesso 50 panoramica della scansione su richiesta 54 azioni, Threat Prevention consentire agli utenti di ripulire ed eliminare i file infetti 49, 54 esecuzione sugli elementi in quarantena 39 programmi indesiderati 45 specifica delle operazioni necessarie al rilevamento di una minaccia 49, 54 B backup, specifica delle opzioni di scansione 49, 54 browser disattivazione del plug-in di Web Control 82 risoluzione dei problemi di comunicazione 81 supportati 75, 79 visualizzazione delle opzioni di menu Web Control 79 C cache di scansione scansioni all'accesso 50 scansioni su richiesta 54 cache di scansione globale scansioni all'accesso 50 scansioni su richiesta 54 cache, scansione globale scansioni all'accesso 50 scansioni su richiesta 54 caratteri jolly uso nelle esclusioni dalla scansione 43 Guida del prodotto 133 Indice caratteri jolly (segue) uso nelle regole firewall 71 cartelle caratteri jolly nelle esclusioni di scansione 43 configurazione per la quarantena 59 esecuzione di scansioni 38 gestione della quarantena 39 categorie di contenuto, vedere categorie Web categorie Web, blocco o avviso in base a 85 Chrome browser supportati 75, 79 Pulsanti Web Control 76 visualizzazione delle opzioni di menu Web Control 79 classificazioni di sicurezza configurazione delle azioni per siti e download 85 controllo dell'accesso ai siti 86 icone di sicurezza 77 ottenimento delle classificazioni dei siti web 78 Web Control e 75 classificazioni, sicurezza, vedere classificazioni di sicurezza classificazioni, Web Control, vedere classificazioni di sicurezza client, vedere Endpoint Security Client Client di protezione McAfee, vedere Endpoint Security Client Client McAfee, vedere Endpoint Security Client colori, pulsanti Web Control 76 credenziali, amministratore predefinito 11 D Desktop remoto, e funzione di scansione quando il sistema è inattivo 56 dialer, informazioni 41 domande frequenti, McAfee GTI 63 domini, blocco 62 download di file blocco da siti Web sconosciuti 82 blocco o avviso in base alle classificazioni 85 scansione con Threat Prevention 84 E Endpoint Security gestione 24 Endpoint Security Client accesso come amministratore 24 aggiornamento della protezione 20 apertura 10, 17 Attività di aggiornamento client predefinito, configurazione 31 Attività di aggiornamento client predefinito, informazioni 34 Attività di aggiornamento client predefinito, pianificazione 33 configurazione delle impostazioni di sicurezza 29 configurazione siti per gli aggiornamenti 32 esecuzione di scansioni 36 gestione dei rilevamenti di minacce 39 impostazioni della policy 13 134 McAfee Endpoint Security 10 Endpoint Security Client informazioni 11 interazione con 9 moduli 14 protezione con una password 30 registri, informazioni 22 ricerca di malware 35 Riepilogo minacce 12 sblocco dell'interfaccia 24 Scansione completa e scansione rapida, pianificazione 59 scansioni di sistema 35 tipi di gestione 8, 19 visualizzazione del registro eventi 21 visualizzazione di informazioni sulla protezione 19 visualizzazione guida 18 Endpoint Security, modalità di protezione del computer 8 errori, aggiornamento 20 esclusioni nome rilevamento 59 scansione all'accesso, specifica di file, cartelle e unità 49 scansione su richiesta, specifica 54 specifica di URL per ScriptScan 49 uso dei caratteri jolly 43 eventi, localizzazione eventi browser Web Control 82 exploit blocco dell'overflow del buffer 48 modalità di esecuzione dell'exploit di overflow del buffer 49 exploit di overflow del buffer, informazioni 49 F file caratteri jolly nelle esclusioni di scansione 43 configurazione file di registro 29 configurazione per la quarantena 59 esclusione di specifici tipi dalle scansioni 42 esecuzione di scansioni 38 file di registro 22 gestione della quarantena 39 impedire la modifica 28 registri Endpoint Security Client 21 file AMCore content file Extra.DAT 26, 27 informazioni 8 informazioni su firme e aggiornamenti 9 modifica della versione 25 panoramica della scansione all'accesso 50 panoramica della scansione su richiesta 54 file di contenuto aggiornamenti pianificazione 33 e rilevamenti 18 file Extra.DAT 26, 27 informazioni 8 modifica della versione AMCore 25 panoramica della scansione all'accesso 50 panoramica della scansione su richiesta 54 Guida del prodotto Indice file di contenuto (segue) G verifica manuale degli aggiornamenti 20 Google file di definizione dei rilevamenti, vedere file di contenuto Chrome 75 file di registro icone di sicurezza 77 configurazione 29 motori di ricerca supportati 77 errori aggiornamento 20 gruppi firewall posizioni 22 Vedere anche gruppi regole firewall visualizzazione 21 file Extra.DAT configurazione 64 caricamento 27 gruppi in grado di riconoscere la posizione download 27 creazione 72 file AMCore content 9 informazioni 66 informazioni 26 isolamento connessione 67 panoramica della scansione all'accesso 50 gruppi regole firewall panoramica della scansione su richiesta 54 capacità di riconoscere la posizione, informazioni 66 utilizzo 26 e isolamento connessione 67 file, contenuto funzionamento di Firewall 61 caricamento file Extra.DAT 27 priorità 66 Extra.DAT e AMCore 9 riconoscimento della posizione, creazione 72 file Extra.DAT 26, 27 gruppi regole, Firewall, vedere gruppi regole firewall firme e aggiornamenti 9 gruppi, firewall, vedere gruppi regole firewall modifica della versione AMCore content 25 Gruppo regole adattive 70 panoramica della scansione all'accesso 50 Guida, visualizzazione 11, 18 panoramica della scansione su richiesta 54 Prevenzione exploit 9 H uso dei file Extra.DAT 26 hash, informazioni 31 Firefox browser supportati 75, 79 I test dei problemi di comunicazione 81 icona della barra delle applicazioni, McAfee 9, 10, 29 visualizzazione delle opzioni di menu Web Control 79 apertura di Endpoint Security Client 17 Firewall configurazione dell'accesso a Endpoint Security 29 attivazione e disattivazione protezione 62 definita 10 avvisi intrusione 10 Icona McAfee, vedere icona della barra delle applicazioni, blocco traffico DNS 62 McAfee Endpoint Security Client 14 icone, McAfee, vedere icona della barra delle applicazioni, file di registro 22 McAfee funzionamento 61 icone, Web Control 77 funzionamento delle regole firewall 64 Impostazione della priorità di Windows 58 gestione 61 impostazioni gestione di regole e gruppi 70 aggiornamenti, configurazione per 31 gruppi in grado di riconoscere la posizione, creazione 72 siti di origine, configurazione per 32 gruppi in grado di riconoscere la posizione, informazioni 66 impostazioni Azioni contenuto informazioni 7 Web Control 85, 86 modifica delle opzioni 62 impostazioni processo, scansioni su richiesta 58 registro attività 22 impostazioni, Threat Prevention registro di debug 22 configurazione dei programmi potenzialmente indesiderati 44 regole, vedere regole firewall funzionalità di protezione dell'accesso 46 firme, informazioni su minacce conosciute 9 scansioni all'accesso 45 funzionalità scansioni su richiesta 45 Accesso a Endpoint Security Client basato su policy 13 impostazioni, Web Control attivazione e disattivazione 25 controllo dell'accesso ai siti Web 85 funzione di scansione quando il sistema è inattivo 19, 56 controllo dell'accesso con categorie Web 85 controllo dell'accesso mediante classificazioni di sicurezza 86 McAfee Endpoint Security 10 Guida del prodotto 135 Indice indirizzi IP gruppi in grado di riconoscere la posizione 66 gruppi regole 66 informazioni, visualizzazione della protezione 19 Internet Explorer browser supportati 75, 79 e comportamento ScriptScan 50 test dei problemi di comunicazione 81 visualizzazione delle opzioni di menu Web Control 79 intrusioni, attivazione avvisi Firewall 62 J joke, informazioni 41 K keylogger, informazioni 41 L L'utente ha aggiunto un gruppo di regole 70 La protezione dell'accesso configurazione 46 esempi 47 file di registro 22 informazioni 46 limitazione delle richieste, configurazione 58 livello di sensibilità, McAfee GTI 31 logica di affidabilità, ottimizzazione delle scansione all'accesso 50 M malware ricerca di 35 rilevamento durante la scansione 36, 38 risposta ai rilevamenti 18 McAfee Endpoint Security Client, vedere Endpoint Security Client McAfee ePO aggiornamento della protezione 8 e tipi di gestione 20 recupero file AMCore content 9 McAfee GTI classificazioni sicurezza Web Control 78 configurazione del livello di sensibilità 59 domande frequenti 63 e categorie Web 85 errore di comunicazione Web Control 76 invio di eventi di blocco al server 62 opzioni firewall, configurazione 62 panoramica 31 rapporto sul sito Web Control 77 reputazione di rete per firewall, configurazione 62 risoluzione dei problemi di comunicazione 81 scansione dei file prima del download 82, 84 scansioni all'accesso, configurazione 49 136 McAfee Endpoint Security 10 McAfee GTI scansioni all'accesso, funzionamento 50 scansioni su richiesta, configurazione 54 scansioni su richiesta, funzionamento 54 specifica delle impostazioni del server proxy 30 McAfee Labs aggiornamenti file AMCore content 9 download di Extra.DAT 26 e McAfee GTI 31 Extra.DAT 27 ottenere altre informazioni sulle minacce 39 McAfee SECURE, pulsante Web Control 76 McTray, avvio 56 menu Azione 11, 25 Guida 11, 18 Impostazioni 11, 13, 14, 62, 70 Informazioni 19 Menu Azione, informazioni 11 Menu Start, apertura di Endpoint Security Client 17 messaggi di notifica informazioni 10 interazione con Endpoint Security Client 9 Windows 8 10 messaggi errore, stati dell'icona della barra delle applicazioni 10 messaggi, Endpoint Security informazioni 10 visualizzazione al rilevamento di una minaccia 49, 54 messaggi, Web Control 77 Microsoft Internet Explorer, vedere Internet Explorer minacce App di Windows Store 50, 54 Cartella di quarantena 39 e classificazioni di sicurezza 78 file AMCore content 9 gestione rilevamenti 39 ottenere altre informazioni da McAfee Labs 39 Processo di protezione dell'accesso 47 rilevamento durante la scansione 38 risposta ai rilevamenti 18 tipi 41 violazioni dei punti di accesso 47 Modalità adattiva configurazione in Firewall 62 priorità regola 64 modalità Desktop, Windows 8 risposta a messaggi di rilevamento minaccia 18 Windows 8 10 Modalità di accesso completo impostazioni della policy 13 modifica delle opzioni firewall 62 Modalità di accesso standard accesso come amministratore 24 configurazione delle impostazioni di sicurezza del client 29 e impostazioni delle policy 13 Guida del prodotto Indice Modalità di accesso standard (segue) effetti dell'impostazione di una password 30 gestione di regole e gruppi firewall 70 modalità di accesso, Endpoint Security Client 13 Modalità di blocco interfaccia client all'apertura di Endpoint Security Client 17 e impostazioni delle policy 13 sblocco dell'interfaccia 24 modalità interfaccia Accesso standard 24, 30 configurazione delle impostazioni di sicurezza del client 29 Modalità interfaccia client, opzioni 13 modalità Metro, Windows 8 messaggi di notifica 10 risposta a messaggi di rilevamento minaccia 18 moduli Accesso a Endpoint Security Client basato su policy 13 informazioni su Endpoint Security 7 installati in Endpoint Security Client 14 visualizzazione di informazioni su 19 moduli, Common Autoprotezione, configurazione 28 configurazione dei siti di origine per gli aggiornamenti client 32 funzionamento di McAfee GTI 31 impostazioni aggiornamento client, configurazione 31 Impostazioni del server proxy McAfee GTI, configurazione 30 impostazioni di aggiornamento, configurazione 31 registrazione, configurazione 29 sicurezza dell'interfaccia client, configurazione 29 modulo Common, configurazione siti di origine per aggiornamenti client 32 Modulo Common, configurazione Autoprotezione 28 impostazioni 27 Impostazioni del server proxy McAfee GTI 30 impostazioni di aggiornamento 31 registrazione 29 sicurezza dell'interfaccia client 29 Modulo Common, Endpoint Security Client 7, 14 Motore di ricerca Ask e icone di sicurezza 77 Motore di ricerca Bing e icone di sicurezza 77 motori di scansione, panoramica file AMCore content 9 Mozilla Firefox, vedere Firefox N non gestito, vedere autogestito, informazioni notifiche di tipo avviso popup, modalità Metro Windows 8 10, 18 O opzione di utilizzo del sistema, panoramica 58 opzioni configurazione delle scansioni all'accesso 49 configurazione delle scansioni su richiesta 54 McAfee Endpoint Security 10 opzioni ricerca di malware 35 opzioni firewall modifica 62 Opzioni, Common Autoprotezione, configurazione 28 configurazione 27 impostazioni del server proxy, configurazione 30 impostazioni di aggiornamento, configurazione 31 impostazioni di registrazione, configurazione 29 pianificazione delle scansioni su richiesta 35 sicurezza dell'interfaccia client, configurazione 29 siti di origine per aggiornamenti client, configurazione 32 Opzioni, Threat Prevention impostazioni di scansione comuni 59 programmi indesiderati 44 P Pagina di accesso amministratore all'apertura di Endpoint Security Client 17 sblocco dell'interfaccia client 24 Pagina di aggiornamento 20 Pagina di Esegui scansione del sistema 36 Pagina di ripristino AMCore content 25 pagina di scansione, visualizzazione 18, 36 pagina Esegui scansione del sistema 39 pagina Impostazioni siti di origine per aggiornamenti client, configurazione 32 Pagina Impostazioni Autoprotezione, configurazione 28 e modalità interfaccia client 13 gestione di regole e gruppi firewall 70 impostazioni del server proxy, configurazione 30 impostazioni di aggiornamento, configurazione 31 impostazioni di scansione all'accesso, configurazione 49 impostazioni di scansione su richiesta, configurazione 54 modifica delle opzioni firewall 62 registrazione, configurazione 29 sicurezza dell'interfaccia client, configurazione 29 Pagina Informazioni 8, 19 Pagina Quarantena 39 pagina Scansione all'accesso 39 pagina stato della sicurezza McAfee, visualizzazione 10 Pagina Stato, visualizzazione di Riepilogo minacce 12 pagine Aggiorna 20 Esegui scansione del sistema 36, 39 Impostazioni 13, 28–32, 54, 62 Informazioni 8, 19 Quarantena 39 Registro eventi 21 Ricerca minacce 38 Ripristina AMCore content 25 Scansione all'accesso 18, 39 Guida del prodotto 137 Indice pagine (segue) scansione, visualizzazione 36 Stato della sicurezza McAfee 10 password amministratore 24 amministratore predefinito 11 configurazione di sicurezza del client 29 controllo dell'accesso al client 30 password cracker, informazioni 41 password predefinita, Endpoint Security Client 11 phishing, rapporti inviati da utenti del sito 78 pianificazioni, scansione su richiesta, rinvio 56 policy accesso a Endpoint Security Client 13 definite 8 funzionalità client 9 policy, Common configurazione 27 policy, Threat Prevention impostazioni di scansione comuni 59 scansioni all'accesso 53 scansioni su richiesta, rinvio 56 popup e classificazioni di sicurezza 78 porte, connessioni FTP 72 Prevenzione exploit aggiornamenti file contenuto 9 configurazione 48 file di registro 22 informazioni 48 priorità gruppi firewall 66 regole firewall 64 priorità, scansioni all'accesso 58 problemi di comunicazione, Web Control 81 processi a rischio basso, specifica 49 processi a rischio elevato, specifica 49 processi, Threat Prevention inclusione ed esclusione nella protezione dell'accesso 46 scansione 49, 50 specifica di rischio basso ed elevato 49 programmi di installazione affidabili, scansione 49 programmi di installazione, scansione affidabili 49 programmi potenzialmente indesiderati attivazione rilevamento 45, 49, 54 caratteri jolly nelle esclusioni di scansione 43 configurazione del rilevamento 44 informazioni 41 rilevamento durante la scansione 36, 38 specifica 44 specificare i programmi da rilevare 59 programmi, abilitare il rilevamento di potenzialmente indesiderati 49, 54 protezione configurazione autoprotezione 28 interazione con 9 138 McAfee Endpoint Security 10 protezione mantenimento dell'aggiornamento 8 visualizzazione di informazioni su 19 Protezione dell'accesso processi, inclusione ed esclusione 46 protocollo FTP 72 protocollo FTP modalità attiva 72 protocollo FTP modalità passiva 72 pulsante Avvia scansione 36 pulsante Visualizza rilevamenti 39 pulsante Visualizza scansione 36 pulsanti Avvia scansione 36 Visualizza rilevamenti 39 Visualizza scansione 36 pulsanti, Web Control 76 Q Quarantena, Threat Prevention configurazione del percorso e delle impostazioni di conservazione 59 R rapporti sul sito, vedere report, Web Control rapporti sulla sicurezza, vedere report, Web Control registrazione client, configurazione 29 registri attività, Endpoint Security Client 22 registri di debug, Endpoint Security Client 22 registri errori, Endpoint Security Client 22 registri eventi errori aggiornamento 20 visualizzazione della pagina Registro eventi 21 registri eventi, Endpoint Security Client 22 regole firewall configurazione 64 consentire e bloccare 64 funzionamento 64 funzionamento di Firewall 61 ordini e priorità 64 per l'autorizzazione delle connessioni FTP 72 uso dei caratteri jolly 71 regole, firewall, vedere Firewall regole, Threat Prevention configurazione 46 modalità di funzionamento della protezione dell'accesso 47 report, Web Control 77, 78 sicurezza 75 sicurezza siti web 77 visualizzazione 80 Ricerca pagina minacce 38 Ricerca sicura, configurazione di Web Control 82 ricerche blocco dei siti rischiosi nei risultati 82 icone di sicurezza 77 Guida del prodotto Indice richieste di download, vedere download di file richieste, Endpoint Security informazioni 10 risposta a una scansione 19 Windows 8 18 Riepilogo minacce, informazioni 12 rilevamenti esclusione per nome 59 gestione 36, 39 nomi 41 risposta a 18 segnalazione al server di gestione 8 tipi 36, 38 visualizzazione dei messaggi agli utenti 49, 54 rinvio scansione, panoramica 56 risposte, configurazione del rilevamento di programmi indesiderati 45 S Scansione completa configurazione 54 esecuzione da Endpoint Security Client 36 informazioni 35 pianificazione nel client 59 Scansione di scelta rapida configurazione 54 esecuzione da Windows Explorer 38 informazioni 35 Scansione rapida configurazione 54 esecuzione da Endpoint Security Client 36 pianificazione nel client 59 tipi di scansioni 35 scansioni esecuzione da Endpoint Security Client 36 esecuzione scansione di scelta rapida 38 impostazioni comuni per le scansioni all'accesso e su richiesta 59 pianificazione con Endpoint Security Client 59 rinvio, sospensione, ripresa e annullamento 19 risposta a richieste 19 tipi 35 uso dei caratteri jolly nelle esclusioni 43 Web Control 84 scansioni a impatto zero 56 scansioni all'accesso configurazione 49, 59 esclusione di elementi 42 file di registro 22 fra scrittura sul disco e lettura dal disco 50 informazioni 35 numero di policy di scansione 53 ottimizzazione mediante logica di affidabilità 50 panoramica 50 McAfee Endpoint Security 10 scansioni all'accesso programmi potenzialmente indesiderati, attivazione rilevamento 45 rilevamenti delle minacce 18 scansione degli script 50 ScriptScan 50 Scansioni dell'archivio remoto, panoramica 58 scansioni di sistema, tipi 35 scansioni incrementali 56 scansioni manuali esecuzione da Endpoint Security Client 36, 38 informazioni sui tipi di scansione 35 scansioni recuperabili, vedere scansioni incrementali scansioni su richiesta configurazione 59 esclusione di elementi 42 esecuzione di una scansione completa o di una scansione rapida 36 esecuzione scansione di scelta rapida 38 file di registro 22 impatto zero 56 informazioni 35 panoramica 54 programmi potenzialmente indesiderati, attivazione rilevamento 45 rinvio 56 risposta a richieste 19 scansione di file o cartelle 38 Scansioni dell'archivio remoto 58 utilizzo del sistema 58 scansioni, all'accesso configurazione 49 esclusione di elementi 42 numero di policy 53 ottimizzazione mediante logica di affidabilità 50 panoramica 50 rilevamenti delle minacce, risposta a 18 rilevamento minacce nelle app di Windows Store 50 ScriptScan 50 scansioni, su richiesta configurazione 54 esclusione di elementi 42 esecuzione solo quando il sistema è inattivo 56 impatto zero 56 panoramica 56 pianificazione nel client 59 rilevamento minacce nelle app di Windows Store 54 rinvio 56 Scansioni dell'archivio remoto 58 utilizzo del sistema 58 ScriptScan attivazione 49 informazioni 50 server proxy configurazione per McAfee GTI 30 funzionamento di McAfee GTI 31 Guida del prodotto 139 Indice settori di avvio, scansione 49, 54 sicurezza configurazione della sicurezza dell'interfaccia client 29 sistemi server, e funzione di scansione quando il sistema è inattivo 56 siti classificazioni di sicurezza 78 protezione della navigazione 76 protezione durante le ricerche 77 visualizzazione rapporti sul sito Web Control 80 siti di origine, configurazione per aggiornamenti client 32 siti web protezione della navigazione 76 siti Web classificazioni di sicurezza 78 protezione durante le ricerche 77 visualizzazione rapporti sul sito Web Control 80 siti Web, avviso in base alle classificazioni 85 in base alle classificazioni di sicurezza 86 siti Web, blocco in base alla categoria Web 85 in base alle classificazioni 85 in base alle classificazioni di sicurezza 86 non classificato o sconosciuto 82 siti rischiosi nei risultati di ricerca 82 siti Web, controllo dell'accesso con categorie Web 85 con classificazioni di sicurezza 86 siti, avviso in base alle classificazioni 85 in base alle classificazioni di sicurezza 86 siti, blocco in base alla categoria Web 85 in base alle classificazioni 85 in base alle classificazioni di sicurezza 86 siti, controllo dell'accesso con categorie Web 85 con classificazioni di sicurezza 86 software client, definito 8 spyware, informazioni 41 stato, Endpoint Security, visualizzazione con l'icona della barra delle applicazioni McAfee 10 stealth, informazioni 41 strumenti di amministrazione remota, informazioni 41 T tempo CPU, scansioni su richiesta 58 thread, priorità 58 Threat Prevention Endpoint Security Client 14 Funzionalità di prevenzione exploit 48 funzionalità di protezione dell'accesso 46 gestione 42 informazioni 7 140 McAfee Endpoint Security 10 Threat Prevention Opzioni, programmi indesiderati 44 programmi potenzialmente indesiderati, rilevamento 44 scansione dei file prima del download 82, 84 scansioni all'accesso, configurazione 49 scansioni all'accesso, informazioni 50 scansioni su richiesta, configurazione 54 scansioni su richiesta, informazioni 54 tipi di gestione informazioni 20 visualizzazione 19 tipo di gestione di McAfee ePO Cloud 20 tipo gestione di SecurityCenter 20 traffico autorizzazione in uscita fino all'avvio dei servizi firewall 62 esaminati da Firewall 61 traffico DNS, blocco 62 trojan informazioni 41 rilevamento durante la scansione 36, 38 U unità di rete, specifica delle opzioni di scansione 49 URL blocco sconosciuto 82 esclusione dalla scansione script 49 V virus firme 9 informazioni 41 rilevamento durante la scansione 36, 38 risposta ai rilevamenti 18 vulnerabilità, vedere minacce W Web Control aree commenti e icone 80 attivazione 82 come viene eseguita la scansione dei download di file 84 configurazione 82 Endpoint Security Client 14 file di registro 22 funzionalità 75 gestione 81 icone, descrizione 77 informazioni 7 menu 76 motori di ricerca e icone di sicurezza 77 pulsanti, descrizione 76 rapporti sul sito 77 registro attività 22 registro di debug 22 risoluzione dei problemi di comunicazione 81 Guida del prodotto Indice Web Control (segue) visualizzazione delle opzioni di menu nel browser 79 visualizzazione di rapporti sul sito 80 Windows 8 apertura di Endpoint Security Client 17 informazioni sui messaggi di notifica 10 risposta a messaggi di rilevamento minaccia 18 McAfee Endpoint Security 10 Y Yahoo icone di sicurezza 77 motore di ricerca predefinito 82 motore di ricerca supportato 77 Guida del prodotto 141 0-04